Shai-Hulud : un ver vole les identifiants planqué dans des paquets Red Hat

Du code piégé glissé dans des paquets signés Red Hat, et téléchargé environ 80 000 fois par semaine. C’est le bilan d’une attaque repérée le 1er juin.

Pour bien saisir, il faut d’abord savoir ce qu’est npm. C’est l’immense bibliothèque où les développeurs JavaScript piochent des briques de code toutes prêtes plutôt que de tout réécrire. Des millions de projets en dépendent au quotidien.

Et c’est exactement là qu’un malware s’est faufilé. Plusieurs dizaines de paquets publiés sous le nom de Red Hat (l’éditeur du système Linux du même nom, racheté par IBM) ont été infectés par un ver, c’est-à-dire un logiciel malveillant capable de se propager tout seul d’une machine à l’autre.

Le ver s’appelle “Miasma”, une variante du tristement célèbre Shai-Hulud, du nom des vers géants du film Dune. Cette fois les pirates ont troqué les clins d’oeil à Dune contre de la mythologie grecque, mais le principe ne change pas.

Son fonctionnement est vicieux. Le code malveillant se déclenche via un “preinstall hook”, un petit script qui s’exécute automatiquement dès qu’on installe le paquet, avant même que le développeur n’ait touché à la moindre ligne. Pas besoin d’ouvrir quoi que ce soit, l’infection est immédiate.

Une fois en place, il fait les poches de la machine. Clés d’accès aux clouds d’Amazon, Google et Microsoft, jetons Kubernetes et Vault, clés SSH, tokens npm… bref, tout ce qui permet de se connecter ailleurs et de continuer à se répandre.

Et c’est tout l’intérêt d’un ver pour un pirate. Avec un jeton npm volé, le malware peut republier d’autres paquets vérolés au nom de leurs vrais propriétaires, qui contamineront à leur tour de nouvelles machines. La chaîne s’auto-alimente.

D’après les chercheurs de Wiz (la filiale sécurité de Google) et de Socket, qui ont levé le lièvre, le tout remonte au compte GitHub piraté d’un employé de Red Hat. Socket a compté de son côté une trentaine de paquets touchés et près d’une centaine de versions vérolées. Les paquets ont été publiés via la chaîne de production automatisée de l’entreprise, pas via un simple mot de passe volé, ce qui rend l’attaque encore plus difficile à repérer.

Red Hat a réagi vite et retiré les paquets de npm. La boîte précise que ce code n’a jamais été destiné à ses clients et qu’il s’agissait d’outils internes, sans impact connu sur ses systèmes en production.

Le coupable, lui, est encore inconnu. Le groupe TeamPCP avait publié le code source de ce ver en accès libre, du coup impossible de dire si ce sont eux ou un imitateur qui sont derrière l’attaque.

Ce qui est fou, c’est moins cette attaque que sa facilité de copie. Hélas, des vers open source qui se dupliquent, on n’a clairement pas fini d’en voir passer.

Source :
The Register