Blockchain & Crypto-monnaie , Fraude aux crypto-monnaies , Gestion de la fraude & Cybercriminalité
Sonatype : Cryptominers lancés sur les appareils Windows, macOS et Linux
Prajeet Nair (@prajeetspeaks) •
22 octobre 2021
Chercheurs dans une entreprise de logiciels open source Sonatype a découvert plusieurs packages malveillants qui se déguisent en bibliothèques JavaScript légitimes sur les registres npm pour lancer des cryptomineurs sur des machines Windows, macOS et Linux.
Voir également: Webinaire en direct | Un guide d’achat : ce qu’il faut considérer lors de l’évaluation d’un CASB
Un registre npm est une base de données de packages JavaScript, comprenant des logiciels et des métadonnées utilisés par les développeurs open source pour prendre en charge le partage de code JavaScript.
Les chercheurs ont signalé les paquets malveillants à npm le 15 octobre 2021, et il les a supprimés dans les heures suivant leur publication, selon le rapport.
Les chercheurs de Sonatype ont attribué la propriété des packages malveillants à un auteur dont Compte est actuellement désactivé, note le rapport.
Analyse technique
Les packages malveillants sont surnommés okhsa – catalogués sous le nom de Sonatype-2021-1473 – et klow et klown – catalogués sous le nom de Sonatype-2021-1472, note le rapport.
Okhsa, disent les chercheurs, contient un code squelette qui lance l’application de calculatrice sur les machines Windows avant l’installation. Les versions d’okhsa qui le font contiennent également le klow ou les packages klown en tant que dépendance, selon le rapport.
« L’équipe de recherche en sécurité de Sonatype a découvert que le klown avait émergé quelques heures après avoir été supprimé par npm », indique le rapport.
« Klown se présente faussement comme une bibliothèque JavaScript légitime UA-Parser-js pour aider les développeurs à extraire les spécificités matérielles (OS, CPU, navigateur, moteur, etc.) de l’en-tête HTTP User-Agent », déclarent les chercheurs.
Le chercheur de Sonatype Ali ElShakankiry a analysé les packages et a découvert que les packages klow et klown contenaient des mineurs de crypto-monnaie.
« Ces packages détectent le système d’exploitation actuel au stade de la préinstallation et exécutent un script .bat ou .sh, selon que l’utilisateur exécute Windows ou un système d’exploitation basé sur Unix », note ElShakankiry.
Les scripts susmentionnés « téléchargent également un EXE hébergé en externe ou un ELF Linux, qui exécute ensuite le binaire avec des arguments spécifiant le pool de minage à utiliser, le portefeuille pour lequel exploiter la crypto-monnaie et le nombre de threads CPU à utiliser », selon les chercheurs. (voir: Les logiciels malveillants d’extraction de crypto-monnaie devraient-ils faire leur retour ?).
Les chercheurs n’ont pas été en mesure de déterminer pleinement comment l’acteur malveillant prévoyait de cibler les développeurs.
« Aucun signe évident n’indique un cas de typosquattage ou de détournement de dépendance. Klow(n) usurpe l’identité de la bibliothèque légitime UAParser.js en surface, faisant de cette attaque une tentative de détournement de marque faible », notent les chercheurs.
Sonatype n’a pas immédiatement répondu à la demande de commentaires supplémentaires d’Information Security Media Group.
Attaques compromettant les écosystèmes
Les chercheurs d’Uptycs Threat Research ont récemment découvert une campagne dans laquelle le groupe de cryptojacking axé sur le cloud TeamTNT déployait des images de conteneurs malveillants hébergées sur Docker Hub avec un script intégré pour télécharger des outils de test utilisés pour la capture de bannières et la numérisation de ports.
Les chercheurs ont découvert que les acteurs malveillants recherchaient des cibles dans le sous-réseau de la victime et effectuaient des activités malveillantes à l’aide des outils d’analyse à l’intérieur de l’image Docker malveillante (voir : TeamTNT déploie une image Docker malveillante sur Docker Hub).
Pascal Geenens, directeur du renseignement sur les menaces chez Radware, a déclaré à l’ISMG que le succès de ces attaques contre les écosystèmes n’a pas échappé à l’attention des acteurs malveillants, qui ne sont que trop heureux de saisir une nouvelle opportunité de perpétrer des activités criminelles.
« Ils compromettent ces écosystèmes en téléchargeant des modules malveillants sur les référentiels en ligne, dans le but d’inciter les développeurs à télécharger et à exécuter ces modules sur leurs systèmes. Ces attaques dites de chaîne d’approvisionnement ne se limitent pas aux référentiels de packages et à l’open source. Le NotPetya et Les attaques de SolarWinds Orion étaient toutes deux le résultat de mises à jour logicielles commerciales compromises », note Geenens.
«Nous avons suivi une récente augmentation du nombre d’adversaires ciblant de plus en plus les dépôts open source pour mener des attaques à des fins différentes – du vol de données sensibles et de fichiers système au cryptomining. Nous avons vu cette tendance à plusieurs reprises, avec les attaques de cryptomining d’avril contre GitHub, suivies de la découverte par Sonatype du malware de cryptomining PyPI en juin », a déclaré à ISMG Ax Sharma, chercheur principal en sécurité chez Sonatype.
Geenens dit qu’étant donné le succès et la taille des écosystèmes derrière PyPI et npm, il existe de nombreuses opportunités d’exploiter des cibles avec des objectifs allant de la reconnaissance au compromis, qui incluent des techniques telles que la collecte et l’exfiltration d’informations, le backdoor, le vol et, dans le cas de npm, cryptojacking.
Se défendre contre les attaques de dépendance
Sharma avertit que les packages malveillants de typosquatting, de brandjacking et de piratage de dépendances sur npm peuvent tout faire, de l’exfiltration de données mineures à la génération de shells inversés et au vol de fichiers sensibles, en passant par des activités de surveillance telles que l’enregistrement de frappe et l’accès à des webcams, et le spam de référentiels avec des liens vers du contenu piraté et warez des sites.
« Alors que les attaques de typosquatting et de brandjacking nécessitent une certaine forme d’effort manuel de la part du développeur, les attaques de détournement de dépendance malveillantes sont beaucoup plus dangereuses étant donné leur nature automatisée », dit-il.
Sharma recommande de se méfier des fautes de frappe. Il dit : « Par exemple, « twilio-npm » peut ne pas être le même package que « twilio ».
Il recommande également de maintenir une solution automatisée en place pour se défendre contre les attaques de détournement de dépendance, ce qui peut être aussi simple que de déployer un script qui vérifie si des dépendances publiques extraites dans votre code ont des noms en conflit avec vos dépendances privées.
.