Cryptonews

Une cyberattaque contre l'écosystème logiciel expose des vulnérabilités dans plus de 170 référentiels de codes liés aux plus grandes entreprises technologiques

Source
CryptoNewsTrend
Published
Une cyberattaque contre l'écosystème logiciel expose des vulnérabilités dans plus de 170 référentiels de codes liés aux plus grandes entreprises technologiques

Le 11 mai, une attaque à grande échelle sur la chaîne d'approvisionnement logicielle, connue sous le nom de « Mini Shai-Hulud », a été lancée par un groupe appelé TeamPCP, compromettant plus de 170 packages dans les référentiels npm et PyPI. Les cibles notables comprenaient TanStack, Mistral AI, UiPath et Guardrails AI, qui sont tous des acteurs de premier plan dans l’écosystème des outils de développement.

Au cours d'une période de cinq heures, les attaquants ont réussi à publier entre 373 et 404 versions corrompues de packages, les déguisant intelligemment en mises à jour légitimes. Ceci a été réalisé en exploitant les faiblesses des workflows GitHub Actions, en particulier un workflow pull_request_target mal configuré, en conjonction avec des tactiques d'empoisonnement du cache. Les attaquants ont également exploité les jetons OpenID Connect pour authentifier les pipelines de publication entre GitHub et les registres de packages comme npm.

La charge utile malveillante, un ver sophistiqué de vol d'identifiants en plusieurs étapes, a été conçue pour extraire les identifiants des environnements cloud et des outils de développement, infiltrer les gestionnaires de mots de passe, puis se propager à travers les chaînes de dépendance pour compromettre des projets supplémentaires. Cela constitue une menace importante pour les environnements Web traditionnels et Web3, car les outils compromis sont non seulement largement utilisés, mais font également partie intégrante de l'infrastructure des actifs numériques.

Les implications de l'attaque pour les espaces crypto et Web3 sont particulièrement alarmantes, étant donné que les outils ciblés sont couramment utilisés dans les deux écosystèmes. Un identifiant de développeur compromis peut accorder un accès non autorisé à des zones sensibles, notamment les pipelines de déploiement de contrats intelligents, l'infrastructure de portefeuille et les systèmes backend d'échange. TanStack, par exemple, est une collection d'outils populaire pour la création d'applications Web, tandis que Mistral AI fournit des outils de développement essentiels pour l'intégration de l'IA et UiPath est une plate-forme d'automatisation majeure.

En réponse à cette attaque, les experts en sécurité conseillent aux équipes qui pourraient avoir téléchargé des mises à jour à partir des packages concernés au cours de la fenêtre de cinq heures de prendre des mesures immédiates. Cela inclut la désinfection des environnements de développement, la rotation des secrets et des informations d'identification et l'examen minutieux des arborescences de dépendances pour détecter toute version de package compromise. Les équipes de cryptographie, en particulier, sont invitées à traiter leurs chaînes de dépendance avec le même niveau de rigueur que les audits de contrats intelligents, en épinglant les versions exactes des packages, en vérifiant l'intégrité des packages et en mettant en œuvre une analyse au moment de la construction pour détecter un comportement de dépendance inhabituel.