De plus en plus d’attaques visent à siphonner des données sensibles comme les informations sur l’hôte ou les identités des utilisateurs. Les pirates tentent d’obtenir un accès non autorisé à ces données confidentielles, qui vont être potentiellement exploitables pour d’autres activités malveillantes.

La supply chain logicielle est dans l’œil des attaquants comme le rappelle l’équipe de recherche de Checkmarx qui sécurise le développement des applications, du code au cloud.

Le plus souvent, ils s’infiltrent dans des serveurs ou des référentiels de code en amont, puis y injectent leurs charges utiles, pour y être redistribués largement aux utilisateurs en aval.

D’autres méthodes sont aussi utilisées comme dans l’attaque de la chaîne d’approvisionnement Codecov en 2021, qui a activé une porte dérobée HTTP lors du chargement du plug-in Inventory Manager.  

Typosquatting

Le cybercriminel a procédé au vol d’informations d’identification profitant d’une brèche dans le processus de création d’image Docker. Ces informations lui ont permis ensuite de modifier le téléchargeur Bash hébergé sur le serveur Codecov lui-même pour collecter les variables d’environnement d’intégration continue / livraison continue (CI/CD) des clients de l’entreprise.

L’équipe a également découvert qu’un grand nombre d’attaques ont impliqué des paquets dotés de noms quasi similaires aux bibliothèques légitimes. Le typosquatting est une attaque d’ingénierie sociale utilisant des noms de domaines délibérément mal orthographiés comme vecteurs d’actions malveillantes.

Dans les attaques open source, le typosquatting tente d’inciter les développeurs à télécharger et intégrer des paquets malveillants dans leurs logiciels. Dans d’autres cas, il est utilisé à des fins d’extorsion en revendant un nom de domaine mal orthographié au propriétaire de la marque.  

API Telegram

Cette étude a par ailleurs constaté une utilisation de plus en plus répandue de malwares et de portes dérobées au sein de packages, fournissant aux attaquants un accès secret pour exposer les données ou perturber les opérations au sein des organisations ciblées.

Au cours de l’année passée, les pirates ont utilisé un plugin WordPress obsolète, Eval PHP, pour injecter du code PHP. Ce dernier fournissait une charge utile et donnait la capacité au pirate d’exécuter du code à distance sur le site compromis.

Les recherches Checkmarx de janvier 2024 ont ainsi mis à jour une attaque qui a débuté par le transfert de toutes les données exfiltrées via une API Telegram bot vers le chat Telegram personnel d’un chercheur sécurité, puis redirigé les données volées du chat du hacker vers celui du chercheur.