Source: Security.NL
Une bibliothèque logicielle très utilisée a été compromise après que des attaquants ont trompé son développeur principal pour lui faire installer un logiciel malveillant. Selon Security.NL, le mainteneur principal de la bibliothèque npm Axios a été victime d'une attaque par ingénierie sociale dite ClickFix, ce qui a permis aux attaquants de publier des versions malveillantes de la bibliothèque contenant un cheval de Troie d'accès à distance (RAT).
Selon Security.NL, les attaquants ont usurpé l'identité d'un fondateur d'entreprise en clonant de vraies données de profil et des coordonnées réelles. Ils ont ensuite invité le mainteneur d'Axios dans un faux espace de travail Slack très convaincant, accompagné de faux liens LinkedIn et de ce qui semblait être de faux profils d'autres développeurs open source.
Les attaquants ont ensuite organisé une réunion Microsoft Teams. Au cours de cette réunion, le mainteneur s'est vu afficher un message indiquant qu'un logiciel sur son système était obsolète et devait être installé. Il a suivi l'instruction. Le logiciel n'était pas une mise à jour. C'était un cheval de Troie d'accès à distance.
Une fois installé, le RAT a donné aux attaquants accès au système du mainteneur. Selon Security.NL, ils ont alors pu dérober des cookies de session, des jetons et d'autres identifiants. Les attaquants ont utilisé cet accès pour publier des versions malveillantes de la bibliothèque Axios.
Axios est une bibliothèque cliente HTTP utilisée par les applications pour gérer les requêtes web depuis les navigateurs et les environnements Node.js. Selon Security.NL, la bibliothèque reçoit plus de cent millions de téléchargements hebdomadaires sur npmjs.com. Cette échelle signifie qu'une version compromise peut atteindre un très grand nombre de systèmes rapidement.
Il n'est pas précisé combien d'utilisateurs ont téléchargé les versions malveillantes, combien de temps ces versions ont été disponibles, ni si des utilisateurs en aval ont été confirmés comme ayant été affectés par le RAT.
Ce type d'attaque, dans lequel des criminels construisent une fausse identité et un faux espace de travail convaincants pour gagner la confiance de quelqu'un avant de déployer un logiciel malveillant, rappelle que les menaces n'arrivent pas toujours par des voies évidentes comme les courriels d'hameçonnage. Un espace de travail Slack d'apparence professionnelle et une réunion Teams peuvent suffire.
Si votre site web ou votre application utilise des bibliothèques logicielles tierces, même des bibliothèques bien connues, il est utile de savoir d'où viennent ces bibliothèques et si votre développeur ou votre hébergeur surveille les dépendances compromises. Vous n'avez pas besoin de comprendre les détails techniques vous-même, mais poser à votre développeur la question suivante est tout à fait raisonnable : « vérifions-nous les problèmes de sécurité dans les bibliothèques que nous utilisons ? ». Pour un aperçu plus général des mesures que vous pouvez prendre, consultez notre liste de contrôle sécurité pour les petites entreprises ainsi que notre guide sur les plugins vulnérables.
Scan gratuit couvrant le RGPD, le droit d'auteur, l'accessibilité, la sécurité et plus encore.
Lancer le check gratuitSelon Security.NL, une nouvelle vulnérabilité de sécurité a été découverte dans cPanel et WHM, deux outils largement utilisés pour gérer des comptes d'hébergement web et des serveurs. La vulnérabilité
Le Centre National de Cybersécurité du Royaume-Uni (NCSC) aurait mis en garde les organisations et les utilisateurs contre une vague sans précédent de vulnérabilités, alimentée par des outils d'intell
Une page d'avis publiée par le NCSC-NL, le Centre national néerlandais pour la cybersécurité, a récemment été consultée mais n'a renvoyé qu'une notice de redirection sans aucun contenu substantiel. La