Malicious NuGet Packages Stole ASP.NET Data; npm Package Dropped Malware
Mis à jour :
Menaces dans les dépôts de packages : vol de données ASP.NET et distribution de malware via npm
Des chercheurs ont identifié quatre paquets malveillants sur le dépôt NuGet conçus pour cibler les développeurs d’applications web ASP.NET. Ces paquets dérobent des données d’authentification ASP.NET, telles que les comptes utilisateurs, les rôles et les permissions. Ils permettent également d’établir des portes dérobées persistantes en manipulant les règles d’autorisation. Les paquets, nommés NCryptYo, DOMOAuth2, IRAOAuth2.0 et SimpleWriter, ont été téléchargés plus de 4 500 fois avant d’être retirés. NCryptYo agit comme un chargeur initial, installant un proxy local pour relayer le trafic vers un serveur de commande et contrôle (C2) de l’attaquant. Les autres paquets volent les données et introduisent des fonctionnalités d’écriture de fichiers non conditionnelle et d’exécution de processus cachés.
Parallèlement, un paquet npm malveillant, ambar-src, a été retiré du registre JavaScript après avoir été téléchargé plus de 50 000 fois. Ce paquet utilise les scripts preinstall de npm pour exécuter du code malveillant lors de son installation. Il télécharge et exécute ensuite différents charges utiles selon le système d’exploitation : un fichier exécutable crypté sur Windows, un script bash puis un client shell inversé SSH sur Linux, et un agent Apfell (utilisant JXA) sur macOS pour effectuer de la reconnaissance, voler des données et capturer des mots de passe via une fausse invite. Ces charges utiles communiquent avec un domaine Yandex Cloud pour tenter de se dissimuler dans le trafic légitime.
Points clés :
- Ciblage des développeurs : Les attaques visent à compromettre les applications développées plutôt que les machines des développeurs directement.
- Vol de données d’authentification : Les informations relatives aux utilisateurs, aux rôles et aux permissions ASP.NET sont ciblées.
- Établissement de portes dérobées : Les règles d’autorisation sont modifiées pour accorder un accès administrateur persistant aux attaquants.
- Propagation multi-plateforme : Le paquet npm malveillant cible les systèmes Windows, Linux et macOS avec des charges utiles adaptées.
- Dissimulation du trafic : L’utilisation de domaines cloud comme Yandex Cloud vise à masquer le trafic malveillant.
Vulnérabilités (non spécifiées avec des CVE) :
- Compromission de la chaîne d’approvisionnement logicielle : L’injection de code malveillant dans des bibliothèques tierces utilisées par les développeurs.
- Manque de validation des dépôts de packages : Permet la publication de paquets malveillants.
- Dépendance excessive aux scripts d’installation : Les scripts
preinstalldes paquets npm peuvent être exploités.
Recommandations :
- Audit et surveillance des dépendances : Examiner attentivement les paquets ajoutés aux projets, en particulier ceux dont la provenance est inconnue ou qui présentent un comportement suspect.
- Utilisation d’outils de sécurité de la chaîne d’approvisionnement logicielle : Des solutions peuvent aider à détecter les paquets malveillants et à évaluer les risques associés aux dépendances.
- Mise à jour des logiciels et des outils de développement : Maintenir les environnements de développement et les gestionnaires de paquets à jour pour bénéficier des correctifs de sécurité.
- Principe du moindre privilège : Appliquer ce principe aux applications déployées pour limiter l’impact d’une éventuelle compromission des autorisations.
- Suppression immédiate des paquets suspects : Dès qu’une menace est identifiée, retirer les paquets malveillants de tous les environnements.
- Analyse post-suppression : Dans le cas de
ambar-src, la simple suppression du paquet ne garantit pas l’élimination de tous les logiciels malveillants installés, nécessitant une investigation plus approfondie du système compromis.