Outre les nouveaux risques induits par l’IA générative, il ne faut pas négliger les menaces classiques liées aux actifs open source abandonnés, au détournement de réseaux légitimes tels Telegram ou aux attaques Ddos associées, entre autres, à l’exécution de l’environnement NPM. Une analyse détaillée de Checkmarx décrit ces techniques malveillantes déjà présentes en 2023
La collecte de données sensibles par ChatGPT et ses épigones ainsi que les attaques contre
la supply chain s’ajoutent aux menaces existantes. Les experts de Checkmarx, acteur de la cybersécurité, ont annoncé récemment des cas d'attaques déclinées en trois catégories et expliqué en détail leurs principes techniques.
La première tendance de ces menaces concerne les bibliothèques abandonnées. Ces dernières sont transformées en chevaux de Troie dans les écosystèmes open source. Il s’agit, notamment, des attaques sur MavenGate et CocoaPods, les paquets Rubygems, les buckets S3 compromis et la récente attaque RepoJacking sur les dépôts GitHub. Pour ne citer que lui, CocoaPods est le gestionnaire de dépendances pour les projets iOS et Mac qui permet aux développeurs de logiciels d'ajouter facilement des dépendances. Un expert de Checkmarx a découvert que le sous-domaine cdn2.cocoapods.org avait été utilisé il y a plusieurs années et abandonné. Cependant, les enregistrements DNS pointaient toujours vers le service d'hébergement GitHub Pages et les attaquants l'ont détourné pour héberger un site web de casino improbable et douteux. Une vulnérabilité signalée à GitHub et depuis corrigée.
Le détournement de services légitimes dans le collimateur des pirates
En deuxième lieu, les attaquants exploitent de plus en plus des services légitimes gratuits tels la messagerie instantanée et cryptée Telegram. Ils exploitent à la fois l’usage massif de la plateforme et
la fonction de chiffrement pour tromper la vigilance des équipes de sécurité. Via des bots Telegram, qui sont des API permettant aux programmeurs de créer des applications de chat tierces orientées utilisateur, les pirates automatisent la collecte de données auprès des victimes, à leur insu bien entendu. A la clé, la récupération de données sensibles comme les informations d’identification, les données financières et autres données personnelles. La prévention de ce type passe par la surveillance du trafic suspect envoyé depuis ou vers des services légitimes, tels que GitHub ou Telegram.
Les attaques Ddos sur le code Open Source sensible
Le déni de service sur l'hébergement de paquets open source critiques s’effectue, notamment, via le registre NPM, utilisé par des millions d’utilisateurs dans le monde entier. Ce registre est le gestionnaire de paquets par défaut pour l'environnement d'exécution JavaScript Node.js et permet aux développeurs de JavaScript de publier et de partager leur code avec la communauté. En janvier 2024 un package logiciel nommé « everything » diffusé par un utilisateur NPM et doté de millions de dépendances, a provoqué une
attaque Ddos, heureusement limitée. En se servant des packages NPM publics disponibles, cette offensive a réduit l’espace de stockage et des interruptions de builds (ajout de nouvelles fonctions). Pour prévenir de telles attaques, Checkmarx conseille de mettre en place des plateformes de sécurité de la supply chain dédiées. En manière de dérision, les pirates ont également enregistré le domaine https://everything.npm.lol, un site web, qui affiche le chaos résultant de l’attaque. Les équipes de sécurité apprécieront… ou pas.