Dans le domaine de la cybersécurité, la capacité à anticiper et à comprendre les tactiques des attaquants est cruciale. Un rapport publié par les experts de Checkmarx révèle l’émergence de nouveaux cas d’attaques cyber, marquant une continuité avec des techniques observées pour la première fois en 2023. Ces découvertes mettent en évidence trois tendances principales qui ont donné naissance à ces nouvelles formes d’attaques, chacune illustrant l’évolution constante des menaces dans le paysage numérique.
Parmi ces sources possibles d’attaques, les actifs numériques abandonnés ne sont pas juste des reliques inutiles, ils représentent de véritables bombes à retardement souvent ignorées. Les attaquants exploitent de plus en plus ces opportunités pour les convertir en chevaux de Troie au sein des écosystèmes open source. Les cas de MavenGate et CocoaPods révèlent comment des domaines et sous-domaines abandonnés peuvent être détournés pour tromper les utilisateurs et propager des actions malveillantes.
De plus, le détournement de noms de paquets Rubygems abandonnés montre comment des noms laissés pour compte peuvent être usurpés et utilisés à des fins malveillantes. L’exemple du paquet NPM « bignum », compromis via un bucket S3 abandonné, illustre la manière dont les attaquants peuvent discrètement substituer des binaires nécessaires par des versions malicieuses.
Abus de services légitimes
Autre type de détournement, celui de domaines de courriels, comme illustrés par les compromissions des paquets « ctx » et « PHPass » suite à la récupération de domaines d’email expirés, met en évidence une autre méthode d’attaque. Enfin, l’attaque dite de RepoJacking souligne une vulnérabilité de GitHub où les dépôts peuvent être détournés en exploitant des changements de noms d’utilisateur, démontrant ainsi l’ingéniosité des cybercriminels dans l’exploitation des faiblesses des infrastructures numériques.
La seconde tendance observée par les experts de Checkmarx concerne une méthode de plus en plus répandue parmi les cybercriminels. Elle implique l’utilisation de bots Telegram pour extraire des données des victimes. Surveiller les communications d’un attaquant peut révéler des informations précieuses, non seulement sur ses méthodes, mais aussi sur l’étendue des données compromises. Il a été ainsi possible de rediriger les messages d’un bot de l’attaquant vers le compte Telegram des experts de Checkmarx, offrant ainsi une opportunité unique d’espionner les opérations de l’attaquant. Les attaquants publient souvent des paquets malveillants qui exfiltrent les données des victimes via ces bots Telegram.
Déni de service sur l’hébergement de paquets open source critiques
Cette approche d’infiltration et de surveillance des bots Telegram utilisés par les attaquants ouvre de nouvelles avenues pour la défense contre les cyberattaques. Elle illustre l’importance d’une veille proactive et de la compréhension des tactiques adverses pour mieux sécuriser les données numériques dans un paysage cybernétique en évolution constante.
La troisième tendance concerne les attaques par déni de service (DoS) ciblant les infrastructures critiques de l’hébergement de paquets open source. Elle est illustrée par l’incident impliquant le package NPM « everything » de l’utilisateur « gdi 2290 ». Ce package, en exploitant des millions de dépendances, a causé un DoS limité en saturant l’espace de stockage et en interrompant les processus de build. Cette attaque souligne la vulnérabilité des plateformes d’hébergement de paquets open source face à des abus potentiellement dévastateurs. Pour prévenir ce type de menace, Checkmarx conseille l’adoption de plateformes de sécurité spécialisées dans la sécurisation de la supply chain logicielle.
