News
Cybersécurité de la supply chain : les chiffres du mois par les chercheurs de Checkmarx
février 2024 par Checkmarx
De plus en plus d’attaques visant à siphonner des données sensibles comme les informations sur l’hôte ou les identités des utilisateurs. Les pirates tentent d’obtenir un accès non autorisé à ces données confidentielles, qui vont être potentiellement exploitables pour d’autres activités malveillantes. Le plus souvent, les attaquants s’infiltrent dans des serveurs ou des référentiels de code en amont, puis y injectent leurs charges utiles, pour y être redistribuées largement aux utilisateurs en aval.
D’autres méthodes sont aussi utilisées comme dans l’attaque de la chaîne d’approvisionnement Codecov en 2021, qui a activé une porte dérobée HTTP lors du chargement du plug-in Inventory Manager. L’hacker a procédé au vol d’informations d’identification profitant d’une brèche dans le processus de création d’image Docker. Ces informations lui ont permis ensuite de modifier le téléchargeur Bash hébergé sur le serveur Codecov lui-même pour collecter les variables d’environnement d’intégration continue / livraison continue (CI/CD) des clients de l’entreprise.
Confusion de dépendances et typosquatting : 28 % du nombre d’attaques en janvier 2024
Découverte d’un grand nombre d’attaques qui ont impliqué des paquets dotés de noms quasi similaires aux bibliothèques légitimes. Le typosquatting est une attaque d’ingénierie sociale utilisant des noms de domaines délibérément mal orthographiés comme vecteurs d’actions malveillantes. Dans les attaques open source, le typosquatting tente d’inciter les développeurs à télécharger et intégrer des paquets malveillants dans leurs logiciels. Dans d’autres cas, il est utilisé à des fins d’extorsion en revendant un nom de domaine mal orthographié au propriétaire de la marque.
Injections de malwares et de portes dérobées : 16 % du nombre d’attaques en janvier 2024
Une utilisation de plus en plus répandue de malwares et de portes dérobées au sein de packages, fournissant aux attaquants un accès secret pour exposer les données ou perturber les opérations au sein des organisations ciblées. Au cours de l’année passée, les hackers ont utilisé un plugin WordPress obsolète, Eval PHP, pour injecter du code PHP. Ce dernier fournissait une charge utile et donnait la capacité au pirate d’exécuter du code à distance sur le site compromis. Les recherches Checkmarx de janvier 2024 ont mis à jour une attaque qui a débuté par le transfert de toutes les données exfiltrées via une API Telegram bot vers le chat Telegram personnel d’un chercheur sécurité, puis redirigé les données volées du chat de l’hacker vers celui du chercheur.
