Un cas d’attaque de la chaîne d’approvisionnement logicielle a été observé dans le registre de caisse du langage de programmation Rust qui a exploité des techniques de typosquattage pour publier une bibliothèque malveillante contenant des logiciels malveillants. La société de cybersécurité SentinelOne a surnommé l’attaque « CrateDepression ». Les attaques de typosquattage ont lieu lorsqu’un adversaire imite le nom d’un package populaire sur un registre public dans l’espoir que les développeurs téléchargent accidentellement le package malveillant au lieu de la bibliothèque légitime. Dans ce cas, la caisse en question est « rustdecimal », un typosquat du vrai package « rust_decimal » qui a été téléchargé plus de 3,5 millions de fois à ce jour. Le package a été signalé plus tôt ce mois-ci le 3 mai par Askar Safin, un développeur basé à Moscou. Selon un avis publié par les responsables de Rust, la caisse aurait été poussée pour la première fois le 25 mars 2022, attirant moins de 500 téléchargements avant d’être définitivement supprimée du référentiel. Comme les précédentes attaques de typosquattage de ce type, la bibliothèque mal orthographiée reproduit l’intégralité des fonctionnalités de la bibliothèque d’origine tout en introduisant une fonction malveillante conçue pour récupérer un binaire Golang hébergé sur une URL distante.

Plus précisément, la nouvelle fonction vérifie si la variable d’environnement « GITLAB_CI » est définie, suggérant un « intérêt singulier pour les pipelines d’intégration continue (CI) GitLab », a noté SentinelOne. La charge utile, qui est équipée pour capturer des captures d’écran, enregistrer des frappes au clavier et télécharger des fichiers arbitraires, est capable de fonctionner à la fois sur Linux et macOS, mais pas sur les systèmes Windows. Les objectifs ultimes de la campagne sont encore inconnus. Alors que des attaques de typosquattage ont déjà été documentées contre NPM (JavaScript), PyPi (Python) et RubyGems (Ruby), le développement marque un cas peu courant où un tel incident a été découvert dans l’écosystème Rust. « Les attaques de la chaîne d’approvisionnement logicielle sont passées d’un événement rare à une approche hautement souhaitable pour les attaquants de » pêcher avec de la dynamite « dans le but d’infecter des populations entières d’utilisateurs à la fois », ont déclaré les chercheurs de SentinelOne. « Dans le cas de CrateDepression, l’intérêt du ciblage pour les environnements de construction de logiciels cloud suggère que les attaquants pourraient tenter de tirer parti de ces infections pour des attaques à plus grande échelle de la chaîne d’approvisionnement. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *