Attaque de la Chaîne d'Approvisionnement Open Source avec la Blockchain

Un article publié par Infosecurity Magazine révèle une attaque inédite sur la chaîne d'approvisionnement open source, combinant la technologie blockchain avec des vecteurs d'attaque traditionnels. Les chercheurs de Checkmarx ont découvert un package malveillant nommé "jest-fet-mock" sur npm, qui imite deux utilitaires de test JavaScript légitimes : "fetch-mock-jest" et "Jest-Fetch-Mock". Cette attaque utilise la technique du typosquatting, en modifiant légèrement le nom pour tromper les développeurs.

L'attaque cible spécifiquement les environnements de développement, où les développeurs ont souvent des privilèges système élevés et où ces utilitaires sont intégrés dans les pipelines CI/CD. Cela met en lumière la vulnérabilité des infrastructures de développement face à des compromis de l'environnement de test.

La nouveauté de cette attaque réside dans l'utilisation de la blockchain. Une fois le package malveillant téléchargé, le malware interagit avec un contrat intelligent pour récupérer l'adresse de son serveur de commande et de contrôle (C2). Cette méthode offre aux attaquants deux avantages majeurs : l'infrastructure devient pratiquement impossible à démanteler en raison de la nature immuable de la blockchain, et l'architecture décentralisée rend difficile le blocage des communications.

Les acteurs malveillants gagnent ainsi en agilité, car ils peuvent mettre à jour le contrat intelligent pour rediriger vers un nouveau serveur C2, rendant inefficaces les tentatives de blocage par les défenseurs réseau. Cette découverte souligne l'importance pour les équipes de développement de mettre en place des contrôles de sécurité stricts autour de la gestion des packages et de vérifier l'authenticité des utilitaires de test, surtout ceux nécessitant des privilèges élevés.

Infosecurity Magazine met donc en lumière une nouvelle tendance inquiétante dans les cybermenaces, où la blockchain est utilisée pour renforcer les attaques sur la chaîne d'approvisionnement logicielle. Les professionnels de la cybersécurité doivent rester vigilants et adapter leurs stratégies de défense pour contrer ces innovations malveillantes.

Source : Infosecurity Magazine