Un package PyPi malveillant vole les secrets des utilisateurs de Chimera

L'outil de test et de développement de machine learning, Chimera, est victime d'un package Python malveillant. Ce dernier est capable de voler des jetons AWS et des secrets CI/CD.

Selon des recherches menées par JFrog, éditeur d’une plateforme de cycle de développement logiciel et devsecops, le package « chimera-sandbox-extensions », récemment téléchargé sur le célèbre référentiel PyPI, contient un voleur d'informations furtif à plusieurs étapes. Les renseignements obtenus à partir des jetons et des journaux volés pourraient aider les attaquants à infiltrer ou à saboter davantage les infrastructures. « Le package vise à voler des identifiants et d'autres informations sensibles telles que la configuration JAMF, les variables d'environnement CI/CD et les jetons AWS », ont déclaré les chercheurs de JFrog dans un article de blog. De plus, il exfiltre les jetons d'authentification et les données Git de l'environnement sandbox Pod, la configuration de l'hôte Zscaler, l'adresse IP publique et les informations générales sur la plateforme, l'utilisateur et l'hôte. Une fois installé, le paquet lance un algorithme sophistiqué de génération de domaines (DGA), choisissant parmi 10 adresses pour localiser son centre de commande et de contrôle (C2). Une fois la communication C2 établie, il télécharge une charge utile Python dynamique de deuxième étape, conçue pour voler les données de l'environnement.

Les experts alertent sur la montée en puissance des paquets malveillants

« La détection de packages malveillants, tels que les extensions chimera-sandbox, sur PyPI met en évidence le risque important et généralisé posé par les attaques visant la chaîne d'approvisionnement logicielle », a déclaré Eric Schwake, directeur de la stratégie de cybersécurité chez Salt Security. Il ajoute « la principale menace réside dans sa capacité à collecter des données sensibles liées aux développeurs, notamment les identifiants, les fichiers de configuration, et surtout les jetons AWS et les variables d'environnement CI/CD. »

De son côté, Mike McGuire, responsable senior des solutions de sécurité chez Black Duck, indique, « cet incident souligne la sophistication croissante des attaques sur le cycle de développement des logiciels, où des paquets apparemment fiables peuvent véhiculer des logiciels malveillants dangereux ». Pessimiste, il observe que « malheureusement, la fréquence de telles attaques est susceptible de croître ; les équipes doivent donc adopter une approche multicouche pour se défendre ».

La protection nécessite une approche multicouche

Les experts considèrent l'incident chimera-sandbox-extension comme bien plus qu'un simple démantèlement de paquet malveillant. Si JFrog a réagi rapidement (en alertant les responsables de PyPI, en supprimant le paquet et en mettant à jour son scanner Xray), les chercheurs s'accordent à dire qu'une solution ponctuelle ne suffit pas. « Au cours des cinq dernières années, les attaquants ont exploité PyPI et d'autres gestionnaires de paquets pour exploiter la confiance des développeurs par le biais de typosquatting et d'attaques de supply chain », souligne Fletcher Davis, responsable senior de la recherche en sécurité chez BeyondTrust. Pour lui, « l'incident des extensions chimera-sandbox souligne l'insuffisance des approches de sécurité traditionnelles face aux menaces modernes qui pèsent sur le cycle de développement. Il nécessite une approche proactive et multicouche combinant contrôles techniques, améliorations des processus et surveillance continue, plutôt que de s'appuyer uniquement sur des mesures réactives.»

Plus précisément, Jason Soroko, chercheur senior chez Sectigo, a souligné qu'interdire les installations directes « PiP » et « uv » à partir d'index publics peut s'avérer utile. « Mettez en miroir les dépendances approuvées dans un référentiel interne et appliquez l'épinglage des hachages dans les fichiers de verrouillage », complète-t-il. « Analysez tous les paquets entrants avec des analyses statiques et dynamiques pour détecter les appels DGA et le code de collecte d'identifiants observés dans les extensions chimera-sandbox. Automatisez la suppression des dépendances obsolètes ou inutilisées », poursuit-il. Les abus envers les gestionnaires de paquets open source ont explosé ces dernières années, en raison de leur portée massive et de leur impact potentiel considérable grâce à des millions de téléchargements quotidiens. Des découvertes récentes ont montré que des attaquants ont exploité le gestionnaire de paquets npm pour diffuser des paquets malveillants afin d'effacer des systèmes de production entiers, d'espionner des machines DevOps et d'implanter des logiciels malveillants voleurs et RCE (exécution de code à distance).