Attaques de la chaîne d’approvisionnement logicielle restent une menace majeure pour les acheteurs et les producteurs de logiciels d’entreprise, et les faits suggèrent que la menace s’accroît. En fait, Gartner prédit que d’ici 2025, 45 % des organisations dans le monde auront subi des attaques sur leurs chaînes d’approvisionnement logicielles, soit une multiplication par trois par rapport à 2021.
De plus, Entreprises de cybersécurité s’attend à ce que le coût annuel mondial des attaques contre la chaîne d’approvisionnement logicielle pour les entreprises atteindra le chiffre stupéfiant de 138 milliards de dollars d’ici 2031, contre 60 milliards de dollars en 2025 et 46 milliards de dollars en 2023, sur la base d’une croissance de 15 % sur un an.
Derrière ces chiffres se cache une dure réalité : les équipes de développement de logiciels sont confrontées à des pressions pour proposer de nouvelles fonctionnalités et applications sur le marché alors que la sécurité de ces logiciels est une priorité moindre. Cette dynamique, combinée à la complexité des chaînes d’approvisionnement logicielles modernes, crée des cibles faciles pour une nouvelle génération d’attaquants qui ciblent l’infrastructure de développement logiciel pour obtenir un impact maximal.
Une nouvelle génération d’attaquants s’attaque à la chaîne d’approvisionnement logicielle
Il n’y a pas si longtemps, les attaques telles que celles contre SolarWinds ou 3CX étaient l’apanage exclusif d’équipes de hackers soutenues par des États-nations. Des groupes tels que Nobelium, Lazarus et d’autres étaient unis par un ensemble de compétences sophistiquées, de vastes ressources, une expérience approfondie et, bien sûr, les dégâts qu’ils ont laissés dans leur sillage.
Mais au cours des dernières années, les rangs des attaquants de la chaîne d’approvisionnement se sont élargis, les auteurs se joignant aux acteurs étatiques. Je fais référence aux cybercriminels peu qualifiés qui ne disposent peut-être pas des compétences sophistiquées de leurs cohortes plus expérimentées, mais qui sont tout aussi motivés à semer le chaos dans la chaîne d’approvisionnement en logiciels et à exploiter les entreprises.
Leurs efforts commencent par identifier les voies ouvertes menant aux environnements informatiques où ils peuvent voler des données sensibles, déployer des portes dérobées et autres logiciels malveillants, ou provoquer des perturbations. Les référentiels open source offrent fréquemment une telle opportunité.
Ces référentiels sont généralement des plates-formes ou des emplacements en ligne utilisés pour stocker et gérer le code source, la documentation et d’autres ressources connexes des projets de logiciels open source. Comme son nom l’indique, l’ouverture est la clé. N’importe qui peut accéder à ces référentiels pour étudier, contribuer, modifier et collaborer sur des projets. Cette ouverture fait partie de ce qui motive l’utilisation croissante de référentiels open source comme GitHub, qui sont désormais devenus un outil standard pour les développeurs de bonne volonté qui sont pressés par le temps.
Selon son 2022 Rapport d’octoverseplus de 85 millions de nouveaux projets open source ont été lancés dans le monde sur GitHub en 2022, et 20,5 millions de nouveaux développeurs ont rejoint GitHub la même année. Mais le succès de ces référentiels a un prix : il crée des opportunités pour des attaquants peu qualifiés de diffuser des logiciels malveillants nuisibles sur ces plateformes via diverses techniques rudimentaires.
Le rapport Verizon Data Breach Investigations de cette année souligne ce coût pour le développement logiciel : « Un risque très réel avec cette approche est que vous croyez que les bibliothèques que vous téléchargez sont exemptes de logiciels malveillants. »
Même si bon nombre de ces efforts rudimentaires se révèlent finalement inefficaces, le nombre d’attaques contre les référentiels explose. Même GitHub a obtenu «a obtenu” cette année. En additionnant tout cela, il apparaît clairement que ces attaques présentent un risque de sécurité croissant pour les producteurs de logiciels. Plus tôt cette année, nous avons publié notre Rapport sur l’état de la sécurité de la chaîne d’approvisionnement logicielle 2024qui examine certains des référentiels open source les plus populaires, notamment npm, Python Package Index (PyPI) et NuGet.
Voici ce que notre équipe a trouvé :
Incidents de packages malveillants tels que voleurs d’informations, portes dérobéeset logiciel de protestation sur les référentiels open source a augmenté de 1 300 % au cours des trois dernières années.
Les menaces sur la plateforme PyPI ont augmenté de 400 % par an, avec plus de 7 000 cas de packages PyPI malveillants découverts au cours des trois premiers trimestres de 2023. La grande majorité d’entre eux ont été classés comme « voleurs d’informations ».
Vous trouverez ci-dessous quelques-unes des techniques utilisées par ces acteurs malveillants peu qualifiés pour compromettre les organisations productrices de logiciels qui dépendent de ces référentiels pour mener leurs activités.
Tactiques de typosquattage
Un bon exemple d’acteurs de bas niveau exploitant ces référentiels est le typosquatting, dont l’objectif est simple : inciter les développeurs à télécharger et à utiliser des packages open source malveillants. Une tactique courante utilisée pour tromper les développeurs consiste à donner au package malveillant un nom similaire à celui d’un logiciel légitime, en espérant qu’une poignée de développeurs téléchargent par erreur le package similaire. Ce type d’attaque fait souvent appel à l’ingénierie sociale, qui cible les membres de la communauté des cryptomonnaies.
Un exemple notre équipe de recherche identifiée en 2023 était aabquerysun package npm malveillant dont le nom ressemble beaucoup à un package légitime, abaque. aabquerys téléchargé des charges utiles de logiciels malveillants de deuxième et troisième étapes sur des systèmes qui avaient téléchargé et exécuté le package npm. Bien qu’en fin de compte, cet incident particulier ait eu peu d’impact, il a démontré avec succès à quel point il peut être facile pour des attaquants peu qualifiés de se faire remarquer dans le jeu.
Repojacking Ruckus
Semblable au typosquatting, le repojacking est une autre technique peu spécialisée qui joue au jeu des noms mais avec une approche légèrement différente. Avec le repojacking, un attaquant cible les référentiels open source légitimes hébergés publiquement sur des endroits comme GitHub. Par exemple, lors du retrait d’un projet open source, l’attaquant peut pirater un référentiel de logiciels approuvé via la fonction de renommage. Une fois terminé, le trafic vers l’ancien nom est redirigé vers le référentiel renommé, ce qui peut conduire les utilisateurs vers des destinations malveillantes où ils obtiennent du code mettant en danger des milliers de progiciels.
Cibles clé en main
Les attaques de phishing sont une autre tactique utilisée par ces attaquants pour améliorer les campagnes courantes de bas niveau. Notre équipe de recherche a identifié un exemple nous avons surnommé l’Opération Brainleeches. Bien que cet incident ait également exploité un référentiel open source, ce qui l’a rendu unique est que les criminels ont téléchargé des packages malveillants sur le référentiel npm, mais l’ont fait pour prendre en charge des campagnes de phishing par courrier électronique clés en main visant une autre cible. Les cibles ultimes étaient les utilisateurs de Microsoft 365, ainsi que la cible la plus typique de ces efforts : les développeurs de référentiels npm.
Le grand point à retenir de l’Opération Brainleeches est que, à l’instar des attaques contre la chaîne d’approvisionnement logicielle évoquées plus tôt, des campagnes comme celle-ci deviennent plus faciles à réaliser et plus difficiles à gérer pour les équipes de sécurité. Comme si cela ne suffisait pas, nous avons pu constater par nous-mêmes que cette activité se poursuit, ce qui signifie que les équipes de développement doivent faire preuve d’une extrême prudence et être extrêmement vigilantes lorsqu’elles travaillent avec un logiciel open source, en épuisant tous les efforts pour identifier d’éventuels signaux d’alarme.
Identifier les angles morts
Cependant, faire preuve de prudence ne suffira pas, que la menace provienne d’un criminel de bas niveau ou d’un cyberexpert sophistiqué d’un État-nation. Plus important encore, aucun des deux ne peut être détecté par les solutions de test AppSec traditionnelles. Cela inclut l’analyse de la composition logicielle (SCA), qui n’est pas conçue pour identifier les logiciels malveillants, la falsification du code ou les comportements inhabituels des applications. Les outils AppSec traditionnels ne peuvent pas analyser l’intégralité d’un binaire logiciel livré pour le déploiement. Ce manque d’options adaptées est la raison pour laquelle j’aime dire que les logiciels constituent la plus grande surface d’attaque sous-adressée au monde.
Pour détecter toutes sortes de attaques de la chaîne d’approvisionnement logicielleles organisations productrices et utilisatrices de logiciels doivent avoir accès à une collection d’informations matures sur les logiciels malveillants, en plus d’analyses binaires complexes et de versions reproductibles. L’utilisation de cette technologie a permis à notre équipe d’identifier une pléthore de menaces open source peu qualifiées, en plus de trouver la cause profonde d’incidents plus complexes tels que la compromission de la chaîne d’approvisionnement de la solution VOIP 3CX.
Grâce à ces technologies, les angles morts de la chaîne d’approvisionnement en logiciels sont minimisés, ce qui permet aux équipes de sécurité de les trouver plus facilement. malwarecodes malveillants, modifications non autorisées du comportement des logiciels, falsification de signatures, secrets exposés et autres menaces de la chaîne d’approvisionnement dans leurs produits. C’est pourquoi, quel que soit l’auteur de la menace, les équipes peuvent prendre des mesures éclairées et, en retour, obtenir la confiance et l’assurance dont elles ont besoin avant d’expédier ou de déployer des logiciels.
