{"id":2148,"date":"2020-06-02T12:06:00","date_gmt":"2020-06-02T10:06:00","guid":{"rendered":"https:\/\/fr.koddos.net\/blog\/?p=2148"},"modified":"2020-06-03T12:10:08","modified_gmt":"2020-06-03T10:10:08","slug":"le-logiciel-malveillant-octopus-scanner-se-repand-chez-les-developpeurs-open-source","status":"publish","type":"post","link":"https:\/\/fr.koddos.net\/blog\/le-logiciel-malveillant-octopus-scanner-se-repand-chez-les-developpeurs-open-source\/","title":{"rendered":"LE LOGICIEL MALVEILLANT OCTOPUS SCANNER SE R\u00c9PAND CHEZ LES D\u00c9VELOPPEURS OPEN-SOURCE"},"content":{"rendered":"\n

Dans un rapport r\u00e9cent, GitHub Security Lab a r\u00e9v\u00e9l\u00e9 que le logiciel malveillant Octopus Scanner a infect\u00e9 vingt-six projets open-source h\u00e9berg\u00e9es sur ses d\u00e9p\u00f4ts. Le rapport r\u00e9v\u00e8le que le logiciel malveillant<\/a><\/strong> peut servir de code pi\u00e9g\u00e9 \u00e0 des d\u00e9veloppeurs potentiels.<\/p>\n\n\n\n

L’incident a fait l’objet d’une enqu\u00eate, et GitHub l’a d\u00e9crit comme le premier logiciel malveillant de ce type \u00e0 \u00e9num\u00e9rer et \u00e0 utiliser des protocoles NetBeans d\u00e9tourn\u00e9s. Selon GitHub, le programme malveillant utilise \u00e0 la fois les artefacts et son processus de construction pour propager le logiciel malveillant.<\/p>\n\n\n\n

Une attaque caract\u00e9ristique de la cha\u00eene logistique des logiciels consiste \u00e0 voler des noms de paquets populaires ou \u00e0 voler les r\u00e9f\u00e9rences d’un d\u00e9veloppeur. Cependant, cette attaque est un peu diff\u00e9rente car elle permet au logiciel malveillant d’\u00eatre tr\u00e8s efficace dans la transmission, puisque le projet attaqu\u00e9 sera clon\u00e9 et utilis\u00e9 pour d’autres syst\u00e8mes diff\u00e9rents.<\/p>\n\n\n\n

Comme l’a d\u00e9clar\u00e9<\/a><\/strong> Alvaro Mu\u00f1oz, chercheur en s\u00e9curit\u00e9 chez GitHub, \u00ab\u00a0cela donne au logiciel malveillant un moyen de transmission efficace puisque les projets touch\u00e9s seront vraisemblablement clon\u00e9s\u00a0\u00bb.<\/p>\n\n\n\n

Il a \u00e9galement d\u00e9clar\u00e9 que les principaux artefacts de la construction pourraient m\u00eame se r\u00e9pandre davantage, ce qui pourrait \u00eatre plus difficile \u00e0 retrouver et diff\u00e9rent de la version originale.<\/p>\n\n\n\n

GitHub<\/a><\/strong> a r\u00e9v\u00e9l\u00e9 avoir \u00e9t\u00e9 inform\u00e9 de l’incident par un chercheur en s\u00e9curit\u00e9, JJ, le 9 mars.<\/p>\n\n\n\n

Les personnes qui s’occupaient des d\u00e9p\u00f4ts infiltr\u00e9s ne savaient pas que les projets open-source NetBeans envoyaient des logiciels malveillants \u00e0 un plus grand nombre d’utilisateurs. Par cons\u00e9quent, GitHub a d\u00fb relever le d\u00e9fi de trouver des solutions pour supprimer les logiciels malveillants dans ces d\u00e9p\u00f4ts. Le logiciel malveillant porte le nom de \u00ab\u00a0Octopus Scanner\u00a0\u00bb en raison de son mode de fonctionnement.<\/p>\n\n\n\n

Le portail open-source est tr\u00e8s difficile \u00e0 s\u00e9curiser<\/strong><\/p>\n\n\n\n

Maintenir une cha\u00eene open-source est une t\u00e2che importante. Il ne s’agit pas seulement de corriger les failles de s\u00e9curit\u00e9 d’une \u00e9valuation de la s\u00e9curit\u00e9. La s\u00e9curit\u00e9 de la cha\u00eene logistique concerne l’int\u00e9grit\u00e9 de l’ensemble de l’\u00e9cosyst\u00e8me de livraison et de d\u00e9veloppement de logiciels. Et tout au long du cercle de s\u00e9curit\u00e9, il y a toujours des probl\u00e8mes de s\u00e9curit\u00e9 et la probabilit\u00e9 d’une perte d’int\u00e9grit\u00e9.<\/p>\n\n\n\n

L’\u00e9quipe de s\u00e9curit\u00e9 de GitHub re\u00e7oit toujours des rapports sur les tentatives d’atteinte \u00e0 la s\u00e9curit\u00e9 des mauvais acteurs qui profitent des d\u00e9p\u00f4ts de GitHub pour h\u00e9berger des logiciels malveillants ou utiliser le portail Github comme infrastructure de commande et de contr\u00f4le. Mais pour cette attaque, les op\u00e9rateurs des d\u00e9p\u00f4ts ne savaient pas qu’ils commettaient des codes cach\u00e9s dans leurs d\u00e9p\u00f4ts.<\/p>\n\n\n\n

Les logiciels malveillants sont capables d’implanter des charges utiles malveillantes<\/strong><\/p>\n\n\n\n

L’\u00e9quipe de s\u00e9curit\u00e9 de GitHub a donn\u00e9 des d\u00e9tails sur les vuln\u00e9rabilit\u00e9s et a d\u00e9crit les activit\u00e9s du logiciel malveillant \u00ab\u00a0Octopus Scanner\u00a0\u00bb.<\/p>\n\n\n\n

L’\u00e9quipe a not\u00e9 que le logiciel malveillant a la capacit\u00e9 de rep\u00e9rer les fichiers de projet<\/a><\/strong> NetBeans et d’implanter des charges utiles malveillantes \u00e0 la fois dans les fichiers JAR de construction et dans les fichiers de projet.<\/p>\n\n\n\n

L’\u00e9quipe de s\u00e9curit\u00e9 de GitHub a d\u00e9crit le logiciel malveillant comme \u00e9tant capable de ce qui suit :<\/p>\n\n\n\n