New Typosquatting Attack Seen In The Wild - ThreatWire

Threat Wire - Security, Privacy, and Internet Freedom News!
18 Sept 202406:43

Summary

TLDRLe rapport traite d'une attaque de typosquattage dans le registre des paquets Python, où des paquets supprimés sont recréés par des acteurs malveillants. JFrog a identifié plus de 120 000 paquets vulnérables à ce type d'attaque. Adobe a également publié un correctif pour une vulnérabilité critique dans Adobe Reader. En outre, une campagne d'ingénierie sociale a ciblé les développeurs via des évaluations techniques frauduleuses, distribuant des logiciels malveillants. Enfin, la société Fortinet a confirmé une violation de données impliquant un compartiment S3 AWS, compromettant des fichiers clients.

Takeaways

  • 🐍 JFrog a publié un billet de blog sur une nouvelle attaque de squatting de typo pour les développeurs Python, appelée 'Revival Hijack'.
  • 🔄 Cette attaque profite de packages supprimés dans un registre de package, où certains systèmes de gestion de package ne gèrent pas correctement la suppression.
  • 🆔 Les acteurs malveillants peuvent créer rapidement de nouveaux packages avec le même nom mais contenant du code malveillant ou vulnérable.
  • ⚠️ Les outils automatisés comme les outils CI/CD et les commandes de mise à niveau pip peuvent mettre à jour le package sans avertissement, ignorant le changement de responsable.
  • 🔍 JFrog a exploré les 'Revival Hijacks' dans le système de registre de package PyPI et a trouvé plus de 120 000 packages vulnérables.
  • 🛡️ JFrog a créé un utilisateur 'security uncore holding' pour empêcher ce type de squatting en conservant les noms des packages populaires supprimés.
  • 🔒 Adobe a corrigé une vulnérabilité potentielle de zero jour dans Adobe Reader, identifiée par CVE-2024-4186, qui concernait une faille d'utilisation après libération de mémoire.
  • 🤝 Un nouveau type d'attaque de tromperie sociale a été révélé par l'équipe de ReversingLabs, ciblant les développeurs via des évaluations techniques fausses.
  • 💻 Les candidats étaient amenés à installer des scripts Python qui contenaient du malware caché, dans le cadre d'un défi de codage.
  • 📊 Fortinet, une entreprise de cybersécurité, a subi une violation de données par l'accès non autorisé à un compartiment S3 AWS et une instance SharePoint Azure, entraînant le téléchargement de 440 gigaoctets de données.

Q & A

  • Quel est le type d'attaque mentionné par JFrog dans leur billet de blog?

    -JFrog a mentionné une attaque de typo-squattage appelée 'Revival Hijack', qui tire parti des paquets supprimés dans un registre de paquets.

  • Comment fonctionne une attaque de 'Revival Hijack' sur les paquets Python?

    -Lorsqu'un paquet est supprimé d'un registre, les attaquants peuvent créer un nouveau paquet portant le même nom mais contenant du code malveillant. Les outils automatiques comme CI/CD et les commandes de mise à jour installent automatiquement ce paquet sans avertissement.

  • Combien de paquets sont vulnérables à une attaque de 'Revival Hijack' sur le registre PII selon JFrog?

    -JFrog a identifié que plus de 120 000 paquets sur le registre PII sont vulnérables à ce type d'attaque, dont 22 000 paquets populaires ayant plus de 100 000 téléchargements.

  • Quelle mesure JFrog a-t-il prise pour prévenir les attaques de 'Revival Hijack'?

    -JFrog a créé un utilisateur nommé 'security uncore holding' qui enregistre des noms de paquets supprimés pour empêcher leur réutilisation par des acteurs malveillants.

  • Quelle vulnérabilité a été corrigée dans Adobe Reader, et pourquoi est-elle importante?

    -La vulnérabilité CVE-2024-4186 a été corrigée dans Adobe Reader. Il s'agit d'une vulnérabilité 'use-after-free' avec une preuve de concept disponible, bien qu'elle ne conduise pas encore à une exécution de code à distance complète.

  • Quel est le processus d'attaque décrit par Reversing Labs concernant l'ingénierie sociale des développeurs?

    -Les attaquants utilisent de faux profils et des évaluations techniques pour inciter les développeurs à exécuter des scripts Python malveillants lors de prétendus tests techniques pour des opportunités d'emploi.

  • Comment les attaquants dissimulaient-ils le code malveillant dans les attaques d'ingénierie sociale?

    -Le code malveillant était caché dans des fichiers init.py, compilé en fichiers binaires et obfusqué avec un encodage Base64, puis envoyé à un serveur de commande et de contrôle.

  • Quel incident de cybersécurité a affecté la société Fortinet, et quelles données ont été compromises?

    -Fortinet a subi une violation de données où un bucket AWS S3 contenant 440 Go de données a été piraté. Ces données concernaient une petite portion (moins de 0,3%) de leurs clients.

  • Quelles sont les conséquences potentielles des attaques par 'Revival Hijack' pour les développeurs et leurs projets?

    -Les développeurs risquent d'inclure involontairement du code malveillant dans leurs projets lorsque les outils automatiques mettent à jour les paquets avec les mêmes noms, mais gérés par des attaquants.

  • Quelle était la vulnérabilité originale dans Adobe Reader, et pourquoi une seconde correction a-t-elle été nécessaire?

    -La vulnérabilité 'use-after-free' a été signalée à Adobe en juin et un correctif a été publié en août. Cependant, lors de tests ultérieurs, il a été découvert que le problème n'était pas totalement résolu, nécessitant un second patch.

Outlines

plate

Cette section est réservée aux utilisateurs payants. Améliorez votre compte pour accéder à cette section.

Améliorer maintenant

Mindmap

plate

Cette section est réservée aux utilisateurs payants. Améliorez votre compte pour accéder à cette section.

Améliorer maintenant

Keywords

plate

Cette section est réservée aux utilisateurs payants. Améliorez votre compte pour accéder à cette section.

Améliorer maintenant

Highlights

plate

Cette section est réservée aux utilisateurs payants. Améliorez votre compte pour accéder à cette section.

Améliorer maintenant

Transcripts

plate

Cette section est réservée aux utilisateurs payants. Améliorez votre compte pour accéder à cette section.

Améliorer maintenant

Voir Plus de Vidéos Connexes

NSI - PROTOCOLE TCP/IP - MODELE OSI

All heros in . Hero abilitys . Heros to upgrade. Setting up squads. Hero ranking #lastwar

La digestion comme vous ne l'avez jamais vue | Corpus

Le protocole TCP sur l'Internet

Así se 'pintó' el mapa político de México tras las elecciones de 2024

UPS Package Flow Technology - DIAD

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Étiquettes Connexes
CybersécuritéVulnérabilitésAttaquesScripts MalveillantsPaquetage de LogicielSystèmes de Gestion de PaquetsProtection des DonnéesAnalyse de MenaceExploitsSécurité des Réseaux