Actualités

Confusion des dépendances ou l’art d’intercepter des paquets publics pour y faire transiter des paquets malveillants ! (data clandestine…)

Les packages (sous Node : NPM – Github, notamment) permettent d’effectuer une multitude d’action sous bon nombre d’environnement de développement. C’est un peu un jeu de briques : une fonction ou un logiciel s’articulera autour de ces packages dont les sources éditrices sont mondialement reconnus ou exploités de manière, théoriquement, sûres par les initiés en la matière. Un chercheur du nom d’Alex Birsan vient remettre en question ce principe tout en apposant, justement, une autre : si le socle logiciel repose en partie sur des packages, quelle est la teneur des sources fournissant ces packages ?

 

 

La question peut sembler absurde (ou, au contraire, soumise à débat) mais c’est un fait : il n’y a pas, véritablement, d’instances ou de consortium pour vérifier derrière Microsoft ou Google pour ne citer que les plus connus qu’un package de leur cru est certifié sûr. Tranchant là où cela fait mal, le PoC est amorcé avec Paypal : en regardant d’un peu plus près le package (.json), il s’avère que la source est mixte, c’est-à-dire, provenant de sources privées mais, aussi, publiques. Si l’on se décide à jouer les apprentis cyber-sorciers, on pourrait se demander ce qu’il se passerait si l’on voulait injecter un malware directement dans ce package en partie public, donc. Malheureusement, la tâche est aisée : les NPMs permettant une exécution de code arbitraire automatique, la création d’un package – malveillant – modifié revêt un jeu d’enfant ce qui permet, en douceur, d’instiller du code vérolé au sein de ce type de fichier… Là où une attaque déjà répertoriée ou peu maquillée ne passe pas le barrage du pare-feu, le résolveur de DNS permet de faire transiter en toute légitimité ce package malveillant.

 

Des “centaines de packages JavaScript additionnels” ont ainsi été testés pendant la seconde moitié de l’année 2020, ce qui inclut un très grand nombre d’entreprises, mondialement, soumis à cette faille que l’on peut qualifier de hautement dangereuse. Le chercheur a été récompensé financièrement (bug bounty) par Shopify ou encore Apple. De son côté, Microsoft a bien eu conscience du problème actuel (en plus d’avoir, également, distribué une prime et assigné le problème) et a publié un rapport détaillé sur les précautions à prendre à l’égard, désormais, de ces packages potentiellement douteux qui concerne, par ailleurs, des entreprises comme Netflix, Tesla, Yelp ou encore Uber… A veiller !

 

 

Source : Medium – 10 Février 2021 – Packages : l’origine remet en cause leur usage et leur teneur sécuritaire.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0