Une backdoor dans une offre d'emploi LinkedIn

Introduction

Récemment, j'ai reçu un message LinkedIn d'un recruteur d'une petite entreprise de crypto-monnaies. Nous avons échangé quelques messages pendant quelques jours, et il m'a envoyé un lien vers un dépôt GitHub public pour que je l'examine. Cependant, quelque chose m'a paru suspect et j'ai décidé de prendre des précautions.

Contexte Technique

Le dépôt GitHub contenait un projet React avec un backend Node. Cependant, après avoir examiné le code, j'ai découvert une backdoor dans le fichier app/test/index.js. Cette backdoor était dissimulée dans un fichier de tests et pouvait exécuter du code arbitraire provenant d'un serveur distant.

La backdoor était déclenchée par l'exécution du script prepare dans le fichier package.json, qui était exécuté automatiquement après l'installation des dépendances avec npm. Le recruteur m'avait demandé de vérifier les modules Node obsolètes, ce qui était en réalité un piège pour me faire exécuter la backdoor.

Analyse et Implications

Cette attaque a utilisé l'identité d'un développeur réel pour créer un dépôt GitHub et une offre d'emploi fictive. Le recruteur a également utilisé l'identité d'un journaliste des arts pour communiquer avec moi. Cette attaque montre que les pirates peuvent utiliser des méthodes sophistiquées pour tromper les victimes et les amener à exécuter du code malveillant.

Il est important de prendre des précautions lors de l'examen de code provenant de sources inconnues et de ne pas exécuter de code sans avoir vérifié sa sécurité. L'utilisation d'outils de sécurité tels que des agents de lecture seule peut aider à détecter les backdoors et les autres menaces.

Perspective

Cette attaque montre que les pirates sont de plus en plus sophistiqués et qu'il est important de rester vigilant pour protéger nos systèmes et nos données. Il est essentiel de prendre des précautions lors de l'examen de code provenant de sources inconnues et de ne pas exécuter de code sans avoir vérifié sa sécurité.

Il est également important de signaler les dépôts GitHub suspects et les profils de recruteurs fictifs pour aider à prévenir de futures attaques. Enfin, l'utilisation d'outils de sécurité tels que des agents de lecture seule peut aider à détecter les backdoors et les autres menaces.