Posté le juin 2, 2020 à 12:06
LE LOGICIEL MALVEILLANT OCTOPUS SCANNER SE RÉPAND CHEZ LES DÉVELOPPEURS OPEN-SOURCE
Dans un rapport récent, GitHub Security Lab a révélé que le logiciel malveillant Octopus Scanner a infecté vingt-six projets open-source hébergées sur ses dépôts. Le rapport révèle que le logiciel malveillant peut servir de code piégé à des développeurs potentiels.
L’incident a fait l’objet d’une enquête, et GitHub l’a décrit comme le premier logiciel malveillant de ce type à énumérer et à utiliser des protocoles NetBeans détournés. Selon GitHub, le programme malveillant utilise à la fois les artefacts et son processus de construction pour propager le logiciel malveillant.
Une attaque caractéristique de la chaîne logistique des logiciels consiste à voler des noms de paquets populaires ou à voler les références d’un développeur. Cependant, cette attaque est un peu différente car elle permet au logiciel malveillant d’être très efficace dans la transmission, puisque le projet attaqué sera cloné et utilisé pour d’autres systèmes différents.
Comme l’a déclaré Alvaro Muñoz, chercheur en sécurité chez GitHub, « cela donne au logiciel malveillant un moyen de transmission efficace puisque les projets touchés seront vraisemblablement clonés ».
Il a également déclaré que les principaux artefacts de la construction pourraient même se répandre davantage, ce qui pourrait être plus difficile à retrouver et différent de la version originale.
GitHub a révélé avoir été informé de l’incident par un chercheur en sécurité, JJ, le 9 mars.
Les personnes qui s’occupaient des dépôts infiltrés ne savaient pas que les projets open-source NetBeans envoyaient des logiciels malveillants à un plus grand nombre d’utilisateurs. Par conséquent, GitHub a dû relever le défi de trouver des solutions pour supprimer les logiciels malveillants dans ces dépôts. Le logiciel malveillant porte le nom de « Octopus Scanner » en raison de son mode de fonctionnement.
Le portail open-source est très difficile à sécuriser
Maintenir une chaîne open-source est une tâche importante. Il ne s’agit pas seulement de corriger les failles de sécurité d’une évaluation de la sécurité. La sécurité de la chaîne logistique concerne l’intégrité de l’ensemble de l’écosystème de livraison et de développement de logiciels. Et tout au long du cercle de sécurité, il y a toujours des problèmes de sécurité et la probabilité d’une perte d’intégrité.
L’équipe de sécurité de GitHub reçoit toujours des rapports sur les tentatives d’atteinte à la sécurité des mauvais acteurs qui profitent des dépôts de GitHub pour héberger des logiciels malveillants ou utiliser le portail Github comme infrastructure de commande et de contrôle. Mais pour cette attaque, les opérateurs des dépôts ne savaient pas qu’ils commettaient des codes cachés dans leurs dépôts.
Les logiciels malveillants sont capables d’implanter des charges utiles malveillantes
L’équipe de sécurité de GitHub a donné des détails sur les vulnérabilités et a décrit les activités du logiciel malveillant « Octopus Scanner ».
L’équipe a noté que le logiciel malveillant a la capacité de repérer les fichiers de projet NetBeans et d’implanter des charges utiles malveillantes à la fois dans les fichiers JAR de construction et dans les fichiers de projet.
L’équipe de sécurité de GitHub a décrit le logiciel malveillant comme étant capable de ce qui suit :
- – Identifier le répertoire NetBeans des utilisateurs
- – Énumérer de tous les projets dans le répertoire NetBeans
- – Modifier le fichier nbproject/build-imp.xml pour assurer l’exécution de la charge utile malveillante
- – Copier de données utiles malveillantes cache.dat vers nbproject/cache.net
Bien que les serveurs C2 semblent inactifs, les dépôts infiltrés sont toujours une source d’inquiétude et de danger pour les utilisateurs de Github qui pourraient potentiellement cloner et construire les projets.
Pas d’approche simple pour une suppression complète du logiciel malveillant
L’équipe de sécurité de GitHub a déclaré qu’elle voulait contacter les propriétaires des dépôts compromis afin qu’ils puissent supprimer leurs fichiers bnproject/build-impl-xml et nettoyer le nbproject/cahse.dat. L’équipe s’attendait à ce que ce soit la solution idéale pour nettoyer les dépôts.
Bien qu’elle ne nettoie pas les infections locales des développeurs, elle stoppera la propagation du logiciel malveillant au sein de la plate-forme GitHub. L’équipe a déclaré qu’elle voulait agir avant de procéder à une analyse du logiciel malveillant.
Mais après une analyse plus approfondie du logiciel malveillant, elle a réalisé que les étapes simples ne suffiraient toujours pas à résoudre le problème. C’est parce que le logiciel malveillant a également infiltré les fichiers JAR dans le projet.
La chaîne logistique des logiciels libres a subi quelques attaques au cours des dernières années. Il y a eu un flux ininterrompu d’attaques typosquatting contre des gestionnaires de paquets largement connus comme PyPI et npm. Il y a également eu des vols de qualifications de développeurs pour introduire des portes dérobées, comme l’incident de streaming.
