Il n'est pas rare d'entendre ce refrain : les cyberattaques modernes sont plus sophistiquées qu'elles ne l'ont jamais été. Mais il est rare qu'il s'applique aussi bien à une attaque que ce fut le cas avec «BlazeSteamer », une chaîne de paquets malveillants Python qui se présentent comme des outils de dissimulation de code bénins ; une pratique standard recommandée pour les organisations chargées de protéger la confidentialité des données avec lesquelles leurs développeurs travaillent.
Si l'utilisation d'outils de protection des données doit dissuader les acteurs malveillants, elle engendre parfois l'effet inverse. Les données protégées par la dissimulation du code étant souvent très précieuses, les acteurs malveillants sont d'autant plus motivés à trouver des moyens d'infiltrer ces outils ; ils vont même jusqu'à en créer des versions malveillantes et à les commercialiser auprès d'utilisateurs peu méfiants.
Dans une affaire récente, le téléchargement de ces paquets de dissimulation de code, en apparence inoffensifs, a automatiquement déclenché un logiciel qui permettait aux acteurs malveillants de prendre le contrôle total des appareils de leurs cibles, de dérober les mots de passe, mais aussi de chiffrer et de télécharger des données sensibles. Avant que BlazeStealer ne soit détecté et supprimé, il avait été téléchargé près de 2 500 fois en Amérique du Nord, en Asie et en Europe, provoquant la compromission des informations protégées de milliers d'organisations.
Si le logiciel malveillant BlazeStealer ne constitue plus une menace, des milliers d'autres outils de développement ont été ciblés de la même manière, car les attaquants exploitent les référentiels open source, profitent de la confiance des développeurs et s'infiltrent dans des organisations qui ne se doutent de rien. Poursuivez votre lecture pour comprendre ce qui incite les acteurs malveillants à utiliser le développement d'application comme point d'entrée et pour découvrir comment identifier les activités malveillantes au sein des outils utilisés par vos ingénieurs.
Les développeurs occupent une position unique au sein d'une entreprise ; le fait qu'ils accèdent à l'infrastructure de développement et aux systèmes internes en fait une cible de grande valeur pour les acteurs malveillants qui cherchent à compromettre cet accès à l'aide de logiciels malveillants et d'autres scénarios sophistiqués, mettant ainsi en danger les données, les activités et les revenus de votre entreprise. Prenons l'exemple de ces attaques récentes :
GitHub, une plateforme populaire consacrée au développement, a été inondée de millions de référentiels de code infectés visant à compromettre les appareils des développeurs, à obtenir des identifiants utilisateur et à voler des cryptomonnaies.
Lors d'une tentative attribuée au groupe de pirates informatiques nord-coréen Lazarus, les acteurs malveillants ont exploité les fautes de frappe des utilisateurs pour inciter les développeurs à télécharger des milliers de paquets malveillants Python.
Des attaques similaires ont dissimulé un logiciel malveillant dans des fichiers de test provenant peut-être de tests de codage proposés à des indépendants ou des demandeurs d'emploi.
Il est souvent difficile d'identifier et d'atténuer les logiciels malveillants à grande échelle, car les acteurs malveillants peuvent dupliquer et transférer des paquets malveillants plus rapidement que les plateformes de développement et les fournisseurs de la chaîne d'approvisionnement logicielle ne peuvent les supprimer. Par ailleurs, il arrive que les développeurs ne parviennent pas à contrôler correctement les logiciels tiers ; une étude a révélé que des utilisateurs ont reçu des paquets JavaScript obsolètes (c'est-à-dire des paquets comportant des vulnérabilités connues) à un rythme de 2,1 milliards de téléchargements par semaine.
Les répercussions de ces attaques (qu'elles résultent de logiciels malveillants dissimulés dans des référentiels open source, d'escroqueries ou d'une simple négligence) peuvent se répandre bien au-delà de leur incidence initiale sur le développement d'applications et de sites web. Une fois implanté, un logiciel malveillant peut rapidement se propager au sein de l'infrastructure et des systèmes d'une entreprise, dérober ses données internes, compromettre des informations client protégées, perturber les activités commerciales (ou encore les produits que vous expédiez) et nuire à la fois au chiffre d'affaires et à la réputation de la marque.
La défense contre ces menaces nécessite une approche proactive, qui passe notamment par des analyses de sécurité régulières, l'établissement de politiques strictes concernant l'utilisation de référentiels de code et d'outils de développement tiers, ainsi que la sensibilisation des développeurs à l'évolution des méthodes d'attaque.
Voici trois signes révélateurs d'escroqueries courantes ainsi que les meilleures pratiques que les entreprises peuvent mettre en œuvre pour réduire le risque d'attaque :
1.Les fautes de frappe peuvent dissimuler des paquets infectés par des logiciels malveillants.
Également connue sous le nom de « typosquatting », cette technique consiste à conduire les utilisateurs à télécharger des paquets malveillants dont le nom ressemble à celui de logiciels populaires. Une simple faute de frappe non détectée peut déclencher le déploiement du logiciel une fois que l'utilisateur a installé le paquet compromis, l'acteur malveillant est ensuite en mesure d'effectuer d'autres actions.
Pour prévenir ce type d'attaques, il est important que les développeurs soient très attentifs aux noms des paquets avant de procéder au téléchargement et à l'installation, quand bien même le paquet provient d'une source fiable.
2. Des paquets fiables peuvent dissimuler des mises à jour malveillantes.
Même les paquets dont le contenu et les vulnérabilités ont déjà été vérifiés peuvent être compromis dans le cadre de mises à jour postérieures et déclencher des attaques au moment où elles sont le moins attendues. Cependant, la vérification manuelle de chaque mise à jour de paquet peut ralentir les mises à jour de sécurité nécessaires, détourner l'attention des autres initiatives de développement et s'avérer coûteuse et chronophage.
Un certain nombre de techniques peuvent être nécessaires pour éviter les mises à jour malveillantes telles que celles-ci : il peut s'agir par exemple d'établir des priorités dans les mises à jour de sécurité critiques ou encore d'utiliser des outils automatisés pour analyser les paquets à la recherche de nouvelles vulnérabilités.
3. Les outils de sécurité et les paquets d'utilitaires destinés aux développeurs peuvent constituer un front pour les activités malveillantes.
À l'instar des outils de dissimulation de code qui ont déguisé le logiciel malveillant BlazeStaler, d'autres outils de sécurité et paquets d'utilitaires pour développeurs (même des outils aussi modestes que ceux utilisés pour la validation des e-mails) peuvent déclencher une chaîne d'actions malveillantes inattendues. S'il réussit, l'acteur malveillant peut ainsi accéder à des informations protégées liées à l'identification, aux données, aux systèmes de développement et à l'infrastructure de production, qui lui permettront d'étendre rapidement sa surface d'attaque.
Toutefois, pour bloquer ce type d'attaques, il ne suffit pas de se contenter d'inspecter manuellement les paquets open source ou de déployer certains services d'automatisation afin de rechercher les vulnérabilités le plus tôt possible. Si les développeurs peuvent être la cible de ces attaques, c'est aux entreprises qu'il incombe d'adopter un état d'esprit qui fait de la sécurité une priorité, c'est-à-dire un état d'esprit pour lequel l'absence de risque n'est jamais considérée comme acquise, même lorsque les référentiels et outils utilisés sont censés être dignes de confiance.
Tandis que les référentiels open source prolifèrent et que les entreprises en sont de plus en plus dépendantes, les acteurs malveillants trouvent des moyens plus efficaces et plus sophistiqués d'infiltrer les systèmes des développeurs. Il est donc plus essentiel que jamais de mettre en œuvre une stratégie efficace de détection et de réponse aux menaces.
La plateforme unifiée et intelligente de Cloudflare permet aux entreprises de sécuriser leur infrastructure et leurs données contre les menaces émergentes et d'appliquer des mesures strictes de contrôle des données. Avec Cloudflare, les entreprises peuvent :
Réduire au minimum l'exposition et le vol de données sensibles : analysez le code source en transit (via l'inspection HTTP) et empêchez les importations non autorisées vers des outils IA à risque et des référentiels open source.
Surveiller les risques présents dans les référentiels publics : détectez les différentes pertes de données, les erreurs de configuration de compte et les risques pour la sécurité des utilisateurs lors de l'utilisation de référentiels publics, tels que GitHub.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Téléchargez l'e-book Everywhere Security: protéger les entreprises modernes contre les menaces sans entraver l'innovation pour découvrir comment Cloudflare aide les entreprises à protéger leurs environnements de développement contre des menaces complexes et en constante évolution.
-
Cet article vous permettra de mieux comprendre les points suivants :
Pourquoi les référentiels open source constituent un terreau fertile pour les logiciels malveillants
Comment des acteurs malveillants ciblent les outils et les écosystèmes pour développeurs
Les stratégies pour repérer ( et interrompre ) les escroqueries sophistiquées
La solution Everywhere Security vous protège à chaque phase du cycle de vie d'une attaque
Simplifier la façon dont nous protégeons les applications SaaS