Command-jacking : la nouvelle technique d’attaque ciblant la chaîne d’approvisionnement logicielle qui menace plusieurs écosystèmes de langages
octobre 2024 par Checkmarx
L’écosystème open source, largement adopté parmi les développeurs, est désormais une cible privilégiée pour les attaques de la chaîne d’approvisionnement. Les acteurs malveillants tirent souvent parti des fonctionnalités natives des packages open source pour diffuser et exécuter automatiquement du code malveillant. Deux techniques sont particulièrement prisées : l’utilisation de scripts de pré-installation qui s’exécutent automatiquement lors de l’installation d’un paquet, et l’intégration de paquets apparemment fiables qui importent à leur insu des dépendances malveillantes.
À mesure que ces tactiques sont devenues reconnaissables, les outils de sécurité actuels et les développeurs plus vigilants ont amélioré leur capacité à les détecter rapidement. Toutefois, une caractéristique souvent négligée mais potentiellement dangereuse persiste : les points d’entrée.
Les points d’entrée, bien qu’il s’agisse d’une fonctionnalité puissante pour le développement de packages légitimes, peuvent être manipulés pour diffuser du code malveillant lors de l’exécution de commandes spécifiques dans plusieurs écosystèmes de programmation notamment PyPI (Python), npm (JavaScript), Ruby Gems, NuGet (.NET), Dart Pub et Rust Crates ce qui pose un risque généralisé dans le paysage open source.
Les méthodes d’attaque comprennent le détournement de commandes, c’est-à-dire l’usurpation de l’identité d’outils tiers et de commandes système populaires, et le ciblage des différentes étapes du processus de développement par le biais de plug-ins et d’extensions malveillants.
Les attaques par point d’entrée, tout en nécessitant l’interaction de l’utilisateur, offrent aux attaquants une méthode plus furtive et persistante pour compromettre les systèmes, en contournant potentiellement les contrôles de sécurité traditionnels, ce qui souligne la nécessité de mesures de sécurité plus complètes pour les packages Python.
Dans le cadre de la solution Checkmarx Supply Chain Security, l’équipe de recherche surveille en permanence les activités suspectes dans l’écosystème des logiciels open source. Elle suit et signale les « signaux » pouvant indiquer un acte criminel, y compris les points d’entrée suspects, et alerte rapidement les clients afin de les protéger contre les menaces potentielles.