New Typosquatting Attack Seen In The Wild - ThreatWire
Summary
TLDRLe rapport traite d'une attaque de typosquattage dans le registre des paquets Python, où des paquets supprimés sont recréés par des acteurs malveillants. JFrog a identifié plus de 120 000 paquets vulnérables à ce type d'attaque. Adobe a également publié un correctif pour une vulnérabilité critique dans Adobe Reader. En outre, une campagne d'ingénierie sociale a ciblé les développeurs via des évaluations techniques frauduleuses, distribuant des logiciels malveillants. Enfin, la société Fortinet a confirmé une violation de données impliquant un compartiment S3 AWS, compromettant des fichiers clients.
Takeaways
- 🐍 JFrog a publié un billet de blog sur une nouvelle attaque de squatting de typo pour les développeurs Python, appelée 'Revival Hijack'.
- 🔄 Cette attaque profite de packages supprimés dans un registre de package, où certains systèmes de gestion de package ne gèrent pas correctement la suppression.
- 🆔 Les acteurs malveillants peuvent créer rapidement de nouveaux packages avec le même nom mais contenant du code malveillant ou vulnérable.
- ⚠️ Les outils automatisés comme les outils CI/CD et les commandes de mise à niveau pip peuvent mettre à jour le package sans avertissement, ignorant le changement de responsable.
- 🔍 JFrog a exploré les 'Revival Hijacks' dans le système de registre de package PyPI et a trouvé plus de 120 000 packages vulnérables.
- 🛡️ JFrog a créé un utilisateur 'security uncore holding' pour empêcher ce type de squatting en conservant les noms des packages populaires supprimés.
- 🔒 Adobe a corrigé une vulnérabilité potentielle de zero jour dans Adobe Reader, identifiée par CVE-2024-4186, qui concernait une faille d'utilisation après libération de mémoire.
- 🤝 Un nouveau type d'attaque de tromperie sociale a été révélé par l'équipe de ReversingLabs, ciblant les développeurs via des évaluations techniques fausses.
- 💻 Les candidats étaient amenés à installer des scripts Python qui contenaient du malware caché, dans le cadre d'un défi de codage.
- 📊 Fortinet, une entreprise de cybersécurité, a subi une violation de données par l'accès non autorisé à un compartiment S3 AWS et une instance SharePoint Azure, entraînant le téléchargement de 440 gigaoctets de données.
Q & A
Quel est le type d'attaque mentionné par JFrog dans leur billet de blog?
-JFrog a mentionné une attaque de typo-squattage appelée 'Revival Hijack', qui tire parti des paquets supprimés dans un registre de paquets.
Comment fonctionne une attaque de 'Revival Hijack' sur les paquets Python?
-Lorsqu'un paquet est supprimé d'un registre, les attaquants peuvent créer un nouveau paquet portant le même nom mais contenant du code malveillant. Les outils automatiques comme CI/CD et les commandes de mise à jour installent automatiquement ce paquet sans avertissement.
Combien de paquets sont vulnérables à une attaque de 'Revival Hijack' sur le registre PII selon JFrog?
-JFrog a identifié que plus de 120 000 paquets sur le registre PII sont vulnérables à ce type d'attaque, dont 22 000 paquets populaires ayant plus de 100 000 téléchargements.
Quelle mesure JFrog a-t-il prise pour prévenir les attaques de 'Revival Hijack'?
-JFrog a créé un utilisateur nommé 'security uncore holding' qui enregistre des noms de paquets supprimés pour empêcher leur réutilisation par des acteurs malveillants.
Quelle vulnérabilité a été corrigée dans Adobe Reader, et pourquoi est-elle importante?
-La vulnérabilité CVE-2024-4186 a été corrigée dans Adobe Reader. Il s'agit d'une vulnérabilité 'use-after-free' avec une preuve de concept disponible, bien qu'elle ne conduise pas encore à une exécution de code à distance complète.
Quel est le processus d'attaque décrit par Reversing Labs concernant l'ingénierie sociale des développeurs?
-Les attaquants utilisent de faux profils et des évaluations techniques pour inciter les développeurs à exécuter des scripts Python malveillants lors de prétendus tests techniques pour des opportunités d'emploi.
Comment les attaquants dissimulaient-ils le code malveillant dans les attaques d'ingénierie sociale?
-Le code malveillant était caché dans des fichiers init.py, compilé en fichiers binaires et obfusqué avec un encodage Base64, puis envoyé à un serveur de commande et de contrôle.
Quel incident de cybersécurité a affecté la société Fortinet, et quelles données ont été compromises?
-Fortinet a subi une violation de données où un bucket AWS S3 contenant 440 Go de données a été piraté. Ces données concernaient une petite portion (moins de 0,3%) de leurs clients.
Quelles sont les conséquences potentielles des attaques par 'Revival Hijack' pour les développeurs et leurs projets?
-Les développeurs risquent d'inclure involontairement du code malveillant dans leurs projets lorsque les outils automatiques mettent à jour les paquets avec les mêmes noms, mais gérés par des attaquants.
Quelle était la vulnérabilité originale dans Adobe Reader, et pourquoi une seconde correction a-t-elle été nécessaire?
-La vulnérabilité 'use-after-free' a été signalée à Adobe en juin et un correctif a été publié en août. Cependant, lors de tests ultérieurs, il a été découvert que le problème n'était pas totalement résolu, nécessitant un second patch.
Outlines
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowMindmap
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowKeywords
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowHighlights
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowTranscripts
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowBrowse More Related Video
NSI - PROTOCOLE TCP/IP - MODELE OSI
All heros in . Hero abilitys . Heros to upgrade. Setting up squads. Hero ranking #lastwar
La digestion comme vous ne l'avez jamais vue | Corpus
Le protocole TCP sur l'Internet
Así se 'pintó' el mapa político de México tras las elecciones de 2024
UPS Package Flow Technology - DIAD
5.0 / 5 (0 votes)
