Posté le février 23, 2022 à 10:34
DES AUTEURS DE LOGICIELS MALVEILLANTS DÉCOUVERTS EN TRAIN DE CIBLER LEURS RIVAUX AVEC DES PAQUETS NPM MALVEILLANTS
Les chercheurs en cybersécurité de JFrog ont déclaré avoir découvert 25 paquets malveillants Node Package Manager (npm) qui sont utilisés pour voler des jetons.
Deux chercheurs de la société de sécurité, Shachar Menashe et Andrey Polkovnychenko, l’ont révélé dans un rapport récent.
Si l’acteur malveillant vole les jetons, ils peuvent être utilisés pour implanter un logiciel malveillant dans le compte de la cible, en détournant les serveurs Discord. En outre, ils peuvent également être utilisés par l’acteur malveillant pour les vendre sur les marchés criminels souterrains.
L’équipe de sécurité a également révélé qu’elle a surveillé et observé les principaux dépôts de logiciels libres (OSS) à l’aide de ses outils automatisés afin de prévenir toute menace imminente pour la sécurité de la chaîne d’approvisionnement. Certaines vulnérabilités ont déjà été signalées aux fournisseurs pour leur permettre de créer des correctifs de sécurité avant qu’elles ne soient exploitées par des hackers.
La société de sécurité a découvert les paquets à l’aide de ses outils d’analyse
L’équipe de sécurité a déclaré que les paquets malveillants ont été identifiés par ses outils d’analyse automatisés, mais que tous les logiciels malveillants signalés ont été supprimés par les gestionnaires de NPM. Cependant, les chercheurs ont noté que l’avertissement a pour but d’informer les entreprises d’être attentives à la sécurité car d’autres logiciels malveillants peuvent exister, mais se cachent pour ne pas être détectés.
Les chercheurs ont également noté que certains paquets NPM malveillants peuvent encore être présentés comme le populaire paquet npm colors.js. Ce dernier était vulnérable à une importante attaque DDoS il y a quelques jours. Les acteurs de la menace sont toujours efficaces dans leurs tactiques de camouflage car colors.js est toujours considéré comme l’un des paquets les plus installés dans NPM.
Les acteurs de la menace ciblent d’autres auteurs de logiciels malveillants
L’entreprise de sécurité a déclaré avoir découvert d’autres opérateurs de logiciels malveillants ciblant leurs collègues opérateurs de logiciels malveillants dans l’attaque.
L’un des paquets de logiciels malveillants découverts par le scanner de l’équipe de sécurité, baptisé « lemaaa », est une bibliothèque utilisée par les auteurs de logiciels malveillants pour manipuler les comptes Discord.
Cependant, la bibliothèque est capable de détourner le jeton Discord secret qu’elle reçoit lorsqu’elle est utilisée différemment. Cela s’ajoute à l’exécution de la fonction de base pour laquelle elle a été conçue.
L’équipe a également déclaré que la plupart des paquets se font passer pour le paquet colors.js npm, qui est un logiciel open-source créé par Marak Squires. Il a été développé pour permettre la mise en œuvre de textes colorés sur node.js. Cependant, son créateur a saboté le paquet le mois dernier, ce qui a fait planter plusieurs milliers de programmes JavaScript à la fois.
Les chercheurs ont également découvert d’autres paquets comme des environmental variable stealers et des injecteurs de code à distance.
Le paquet « Lemaaa » a retenu l’attention de JFrog, même après que d’autres paquets aient été détectés et supprimés par les gestionnaires de NPM. La bibliothèque était utilisée par des auteurs de logiciels malveillants pour manipuler des comptes Discord.
Le paquet Lemaaa possède plusieurs fonctions uniques
Lemaaa possède certaines fonctions qui le rendent très attrayant pour les acteurs de la menace. Il peut vérifier et surveiller les mots de passe, voler les informations de facturation, saisir les codes de sauvegarde et supprimer des amis d’une liste. La plupart de ces fonctions peuvent être exécutées lorsqu’un jeton discord est fourni.
L’équipe de sécurité a noté que le paquet Lamaaa est un module d’aide pour les auteurs de logiciels malveillants Novice Discord qui fournit des fonctions communes. Celles-ci peuvent être réutilisées par les acteurs de la menace lorsqu’ils reçoivent le jeton Discord de la victime, par exemple pour voler le compte de la victime ou obtenir les informations de sa carte de crédit.
Lorsque les chercheurs ont examiné les activités de Lemaaa, ils ont découvert que le paquet a été chargé avec un cheval de Troie pour voler les jetons secrets Discord fournis à la bibliothèque et les envoyer à son développeur pour d’autres actions.
Il est possible que ce type d’attaque malveillante se développe au fil du temps, étant donné que le paquet NPM est utilisé par des millions de développeurs dans le monde entier.
D’autres paquets pourraient être découverts à l’avenir
Les chercheurs ont également noté que des dizaines de nouveaux logiciels malveillants apparaissent régulièrement et que leur scanner de menaces en découvre davantage chaque jour. Cela signifie que la menace posée par le paquet malveillant va probablement se poursuivre.
JFrog a déclaré avoir découvert 17 paquets NPM malveillants en décembre. Selon l’entreprise, les paquets ont été développés pour voler les jetons Discord. Ils ont été utilisés pour voler les informations d’identification des comptes, ce qui a permis aux acteurs de la menace de détourner un serveur Discord.
Parmi les paquets malveillants découverts figurent water-template, environmental variable stealer, wafer-text, Typosquatting, Discord token stealer, hidden functionality, wafer-template, tools-for-Discord, mynewpkg, adv-discord-utility, et Crypto-standards, Connectback.shell, markedjs et Lamaaa. Les chercheurs ont également déclaré qu’il existe une forte probabilité que le scanner puisse détecter d’autres paquets malveillants à l’avenir.
