Attaque de la chaîne d'approvisionnement : des dizaines de packages open source compromises

Introduction

Une attaque de la chaîne d'approvisionnement en cours a compromis des dizaines de packages open source populaires utilisés par les développeurs de logiciels dans le monde entier.

Contexte Technique

Les firmes de cybersécurité StepSecurity et SafeDep ont averti mardi d'une nouvelle vague d'attaques de type « chaîne d'approvisionnement », qui visent à compromettre les développeurs de projets open source populaires et à utiliser cet accès pour planter des mises à jour malveillantes qui sont poussées vers les utilisateurs en aval. Les hackers ont pris le contrôle du compte d'un développeur et ont publié plus de 630 versions malveillantes à travers 317 packages en environ 20 minutes.

Les packages compromises incluent Antv, une bibliothèque développée par Alibaba. Dans certains cas, les hackers ont publié des mises à jour malveillantes sur GitHub, selon JFrog Security. L'objectif de l'attaque est de voler des informations d'identification pour divers services, y compris les gestionnaires de mots de passe, afin de voler des données et de continuer à propager le malware.

Analyse et Implications

Cette dernière vague d'attaques fait partie d'une campagne plus large ciblant les projets open source et les développeurs qui utilisent le code pour leurs propres projets. Les chercheurs ont surnommé les attaques « Mini Shai-Hulud », après que l'attaque ait suivi une campagne de piratage plus large précédente.

La semaine dernière, dans une autre vague d'attaques dans le cadre des attaques Mini Shai-Hulud, les hackers ont compromis les ordinateurs de deux employés d'OpenAI après avoir piraté la bibliothèque open source TanStack. OpenAI n'était qu'une des nombreuses victimes.

Perspective

Il est essentiel de surveiller de près les mises à jour des packages open source et de mettre en place des mesures de sécurité robustes pour prévenir de telles attaques. Les développeurs doivent être conscients des risques potentiels liés à l'utilisation de packages open source et prendre des mesures pour protéger leurs projets et leurs utilisateurs.