New Typosquatting Attack Seen In The Wild - ThreatWire
Summary
TLDRLe rapport traite d'une attaque de typosquattage dans le registre des paquets Python, où des paquets supprimés sont recréés par des acteurs malveillants. JFrog a identifié plus de 120 000 paquets vulnérables à ce type d'attaque. Adobe a également publié un correctif pour une vulnérabilité critique dans Adobe Reader. En outre, une campagne d'ingénierie sociale a ciblé les développeurs via des évaluations techniques frauduleuses, distribuant des logiciels malveillants. Enfin, la société Fortinet a confirmé une violation de données impliquant un compartiment S3 AWS, compromettant des fichiers clients.
Takeaways
- 🐍 JFrog a publié un billet de blog sur une nouvelle attaque de squatting de typo pour les développeurs Python, appelée 'Revival Hijack'.
- 🔄 Cette attaque profite de packages supprimés dans un registre de package, où certains systèmes de gestion de package ne gèrent pas correctement la suppression.
- 🆔 Les acteurs malveillants peuvent créer rapidement de nouveaux packages avec le même nom mais contenant du code malveillant ou vulnérable.
- ⚠️ Les outils automatisés comme les outils CI/CD et les commandes de mise à niveau pip peuvent mettre à jour le package sans avertissement, ignorant le changement de responsable.
- 🔍 JFrog a exploré les 'Revival Hijacks' dans le système de registre de package PyPI et a trouvé plus de 120 000 packages vulnérables.
- 🛡️ JFrog a créé un utilisateur 'security uncore holding' pour empêcher ce type de squatting en conservant les noms des packages populaires supprimés.
- 🔒 Adobe a corrigé une vulnérabilité potentielle de zero jour dans Adobe Reader, identifiée par CVE-2024-4186, qui concernait une faille d'utilisation après libération de mémoire.
- 🤝 Un nouveau type d'attaque de tromperie sociale a été révélé par l'équipe de ReversingLabs, ciblant les développeurs via des évaluations techniques fausses.
- 💻 Les candidats étaient amenés à installer des scripts Python qui contenaient du malware caché, dans le cadre d'un défi de codage.
- 📊 Fortinet, une entreprise de cybersécurité, a subi une violation de données par l'accès non autorisé à un compartiment S3 AWS et une instance SharePoint Azure, entraînant le téléchargement de 440 gigaoctets de données.
Q & A
Quel est le type d'attaque mentionné par JFrog dans leur billet de blog?
-JFrog a mentionné une attaque de typo-squattage appelée 'Revival Hijack', qui tire parti des paquets supprimés dans un registre de paquets.
Comment fonctionne une attaque de 'Revival Hijack' sur les paquets Python?
-Lorsqu'un paquet est supprimé d'un registre, les attaquants peuvent créer un nouveau paquet portant le même nom mais contenant du code malveillant. Les outils automatiques comme CI/CD et les commandes de mise à jour installent automatiquement ce paquet sans avertissement.
Combien de paquets sont vulnérables à une attaque de 'Revival Hijack' sur le registre PII selon JFrog?
-JFrog a identifié que plus de 120 000 paquets sur le registre PII sont vulnérables à ce type d'attaque, dont 22 000 paquets populaires ayant plus de 100 000 téléchargements.
Quelle mesure JFrog a-t-il prise pour prévenir les attaques de 'Revival Hijack'?
-JFrog a créé un utilisateur nommé 'security uncore holding' qui enregistre des noms de paquets supprimés pour empêcher leur réutilisation par des acteurs malveillants.
Quelle vulnérabilité a été corrigée dans Adobe Reader, et pourquoi est-elle importante?
-La vulnérabilité CVE-2024-4186 a été corrigée dans Adobe Reader. Il s'agit d'une vulnérabilité 'use-after-free' avec une preuve de concept disponible, bien qu'elle ne conduise pas encore à une exécution de code à distance complète.
Quel est le processus d'attaque décrit par Reversing Labs concernant l'ingénierie sociale des développeurs?
-Les attaquants utilisent de faux profils et des évaluations techniques pour inciter les développeurs à exécuter des scripts Python malveillants lors de prétendus tests techniques pour des opportunités d'emploi.
Comment les attaquants dissimulaient-ils le code malveillant dans les attaques d'ingénierie sociale?
-Le code malveillant était caché dans des fichiers init.py, compilé en fichiers binaires et obfusqué avec un encodage Base64, puis envoyé à un serveur de commande et de contrôle.
Quel incident de cybersécurité a affecté la société Fortinet, et quelles données ont été compromises?
-Fortinet a subi une violation de données où un bucket AWS S3 contenant 440 Go de données a été piraté. Ces données concernaient une petite portion (moins de 0,3%) de leurs clients.
Quelles sont les conséquences potentielles des attaques par 'Revival Hijack' pour les développeurs et leurs projets?
-Les développeurs risquent d'inclure involontairement du code malveillant dans leurs projets lorsque les outils automatiques mettent à jour les paquets avec les mêmes noms, mais gérés par des attaquants.
Quelle était la vulnérabilité originale dans Adobe Reader, et pourquoi une seconde correction a-t-elle été nécessaire?
-La vulnérabilité 'use-after-free' a été signalée à Adobe en juin et un correctif a été publié en août. Cependant, lors de tests ultérieurs, il a été découvert que le problème n'était pas totalement résolu, nécessitant un second patch.
Outlines
このセクションは有料ユーザー限定です。 アクセスするには、アップグレードをお願いします。
今すぐアップグレードMindmap
このセクションは有料ユーザー限定です。 アクセスするには、アップグレードをお願いします。
今すぐアップグレードKeywords
このセクションは有料ユーザー限定です。 アクセスするには、アップグレードをお願いします。
今すぐアップグレードHighlights
このセクションは有料ユーザー限定です。 アクセスするには、アップグレードをお願いします。
今すぐアップグレードTranscripts
このセクションは有料ユーザー限定です。 アクセスするには、アップグレードをお願いします。
今すぐアップグレード関連動画をさらに表示
NSI - PROTOCOLE TCP/IP - MODELE OSI
All heros in . Hero abilitys . Heros to upgrade. Setting up squads. Hero ranking #lastwar
La digestion comme vous ne l'avez jamais vue | Corpus
Le protocole TCP sur l'Internet
Así se 'pintó' el mapa político de México tras las elecciones de 2024
UPS Package Flow Technology - DIAD
5.0 / 5 (0 votes)
