Des pirates détournent 22 000 packages PyPI supprimés et diffusent du code malveillant - Actus du 04/09/2024
Attention développeurs ! Une attaque de la chaîne d'approvisionnement Revival Hijack menace 22 000 packages PyPI, diffusant du code malveillant. Découvrez comment protéger vos comptes avec des méthodes efficaces pour contrer ces piratages.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
L'attaque de la chaîne d'approvisionnement Revival Hijack menace 22 000 packages PyPI
L'attaque "Revival Hijack" menace plus de 22 000 paquets sur PyPI en permettant à des acteurs malveillants de s'approprier des noms de projets supprimés pour diffuser du code malveillant. Cette technique exploite le fait que PyPI rend immédiatement disponibles les noms des projets supprimés, ce qui permet aux attaquants de publier des mises à jour malicieuses que les développeurs pourraient télécharger sans méfiance. Les chercheurs de JFrog ont observé cette méthode en avril 2024, lorsqu'un acteur a ciblé le paquet "pingdomv3", supprimé le 30 mars, et a publié une mise à jour contenant un trojan Python. Pour contrer cette menace, JFrog a enregistré des projets vides avec les noms des paquets populaires supprimés, empêchant ainsi leur détournement. Bien que PyPI dispose d'une liste noire non publique pour certains noms, la plupart des paquets supprimés ne sont pas protégés. JFrog a constaté près de 200 000 téléchargements de ces paquets réservés, soulignant la gravité de l'attaque, qui est plus dangereuse que le typosquatting traditionnel. Pour se protéger, les utilisateurs doivent verrouiller les versions de paquets, vérifier leur intégrité et surveiller les changements de propriété.
Sources :
Des pirates informatiques détournent 22 000 packages PyPI supprimés, diffusant du code malveillant auprès des développeurs
Une nouvelle technique d'attaque de la chaîne d'approvisionnement, nommée Revival Hijack, cible le registre Python Package Index (PyPI) et a été exploitée pour infiltrer des organisations. Selon JFrog, cette méthode permet de détourner 22 000 paquets PyPI existants, entraînant potentiellement "des centaines de milliers" de téléchargements malveillants. L'attaque repose sur la possibilité de réenregistrer des paquets supprimés par leur propriétaire d'origine, rendant ces derniers accessibles à d'autres utilisateurs. En moyenne, 309 paquets sont retirés chaque mois pour diverses raisons, créant une surface d'attaque lucrative. Contrairement au typosquatting, cette technique ne nécessite pas d'erreur de la part de l'utilisateur lors de l'installation. Les chercheurs de JFrog ont constaté que des commandes comme "pip install –upgrade" peuvent remplacer un paquet légitime par une version contrefaite sans avertissement. JFrog a créé un compte "security_holding" pour remplacer ces paquets vulnérables par des espaces réservés. L'attaque a déjà été exploitée, avec un acteur malveillant introduisant une version bénigne d'un paquet avant de le mettre à jour avec un code malveillant. Les organisations sont conseillées d'examiner leurs pipelines DevOps pour éviter d'installer des paquets supprimés.
Sources :
La nouvelle méthode efficace pour empêcher les piratages de comptes
Les attaques par prise de contrôle de compte sont devenues une menace persistante pour les environnements SaaS basés sur le cloud, malgré des investissements importants dans des mesures de sécurité traditionnelles. Un rapport récent, intitulé "Pourquoi les attaques par prise de contrôle de compte réussissent encore, et pourquoi le navigateur est votre arme secrète pour les arrêter", souligne que le navigateur est le principal champ de bataille où ces attaques se déroulent. Le rapport met en avant plusieurs points clés, notamment le rôle du navigateur dans ces attaques, qui exploitent des éléments tels que les pages web exécutées, les extensions malveillantes et les identifiants stockés. Les attaquants peuvent ainsi accéder aux applications SaaS une fois les identifiants compromis. Le rapport analyse également les tactiques, techniques et procédures (TTP) des attaques, en soulignant l'inefficacité des contrôles de sécurité traditionnels. Il propose des solutions, comme l'utilisation d'une plateforme de sécurité des navigateurs, qui offre une visibilité sur l'exécution des pages web et analyse les extensions pour détecter les activités de phishing et désactiver les composants malveillants. En conclusion, le rapport appelle les décideurs à adapter leur approche de sécurité en intégrant des solutions de sécurité des navigateurs pour contrer ces menaces.
Sources :
Zyxel corrige une faille critique d'injection de commandes du système d'exploitation dans les points d'accès et les routeurs
Zyxel a publié des mises à jour logicielles pour corriger une vulnérabilité critique, identifiée comme CVE-2024-7261 (score CVSS : 9.8), touchant certains points d'accès (AP) et routeurs de sécurité. Cette faille, qualifiée d'injection de commandes du système d'exploitation (OS), permettrait à un attaquant non authentifié d'exécuter des commandes OS en envoyant un cookie malveillant à un appareil vulnérable. Chengchao Ai de l'Université de Fuzhou a découvert cette vulnérabilité. En outre, Zyxel a également corrigé sept autres vulnérabilités dans ses routeurs et pare-feu, dont certaines présentent un risque élevé, pouvant entraîner une exécution de commandes OS, un déni de service (DoS) ou un accès à des informations basées sur le navigateur. Parmi celles-ci, on trouve des vulnérabilités de débordement de tampon et d'injection de commandes, affectant divers composants et fonctionnalités, avec des scores CVSS variant de 4.9 à 8.1. Pendant ce temps, D-Link a annoncé que quatre vulnérabilités de sécurité touchant son routeur DIR-846, dont deux critiques, ne seront pas corrigées en raison de l'arrêt de la prise en charge des produits depuis février 2020, conseillant aux clients de les remplacer.
Sources :
Clearview AI risque une amende de 30,5 millions d'euros pour avoir créé une base de données de reconnaissance faciale illégale
L'Autorité néerlandaise de protection des données (DPA) a infligé une amende de 30,5 millions d'euros à Clearview AI pour violation du Règlement général sur la protection des données (RGPD) dans l'Union européenne. Clearview AI a créé une base de données illégale contenant des milliards de photos de visages, y compris ceux de citoyens néerlandais. Le président de la DPA, Aleid Wolfsen, a souligné que la reconnaissance faciale est une technologie intrusive qui ne peut pas être utilisée sans consentement. Clearview AI a été critiquée dans plusieurs pays pour avoir collecté des informations publiques en ligne pour constituer sa base de données, qui compte plus de 50 milliards de photos. Les personnes identifiées se voient attribuer un code biométrique unique, utilisé par les forces de l'ordre pour identifier rapidement des suspects. La DPA a également noté que Clearview ne fournit pas d'informations suffisantes sur l'utilisation des données et n'offre pas de mécanisme d'accès aux données. Clearview conteste la décision, affirmant qu'elle ne relève pas des réglementations de l'UE. En outre, la DPA envisage de tenir personnellement responsables les dirigeants de l'entreprise pour ces violations.
Sources :
Des pirates informatiques utilisent un faux logiciel VPN GlobalProtect dans une nouvelle attaque de malware WikiLoader
Une nouvelle campagne de malware imite le logiciel VPN GlobalProtect de Palo Alto Networks pour diffuser une variante du chargeur WikiLoader (ou WailingCrab) via une campagne de référencement (SEO). Observée en juin 2024, cette activité malveillante marque un changement par rapport aux méthodes précédentes, qui utilisaient principalement des emails de phishing. WikiLoader, attribué à l'acteur malveillant TA544, a été documenté pour la première fois par Proofpoint en août 2023. Les chercheurs de Unit 42, Mark Lim et Tom Marsden, notent que les chaînes d'attaque utilisent des tactiques pour échapper à la détection des outils de sécurité. Les attaquants exploitent le SEO pour tromper les utilisateurs en les dirigeant vers des pages imitant les résultats de recherche légitimes. Les utilisateurs cherchant GlobalProtect voient des publicités Google qui les redirigent vers une fausse page de téléchargement. L'installateur MSI contient un exécutable renommé d'une application légitime, qui charge un DLL malveillant, permettant le téléchargement du backdoor WikiLoader. De plus, des vérifications anti-analyse sont intégrées pour éviter la détection dans des environnements virtualisés. Cette évolution vers le SEO pourrait être le fait d'un autre courtier d'accès initial ou d'une réponse à des divulgations publiques.
Sources :
FTC : Plus de 110 millions de dollars perdus à cause des escroqueries aux distributeurs automatiques de Bitcoin en 2023
La Commission fédérale du commerce des États-Unis (FTC) a signalé une augmentation alarmante des pertes dues aux escroqueries impliquant des distributeurs automatiques de Bitcoin, atteignant plus de 110 millions de dollars en 2023, soit près de dix fois le montant de 2020. Ces distributeurs, souvent situés dans des lieux fréquentés, permettent d'acheter et de vendre des cryptomonnaies, mais sont détournés par des escrocs qui se font passer pour des agents des forces de l'ordre ou des fonctionnaires. Ils persuadent les victimes de déposer de l'argent pour "protéger" leurs économies, en créant des situations d'urgence. En 2024, 65 millions de dollars ont déjà été perdus au cours du premier semestre, avec une prévalence accrue chez les personnes de 60 ans et plus. Les pertes médianes s'élevaient à 10 000 dollars. Les escroqueries les plus courantes incluent l'usurpation d'identité gouvernementale et les faux avertissements de sécurité. La FTC conseille aux consommateurs de ne pas céder à la panique, de vérifier les informations et de ne jamais retirer d'argent suite à des sollicitations inattendues. Les agences gouvernementales ne demandent jamais d'utiliser des distributeurs de Bitcoin pour résoudre des problèmes financiers.
Sources :
Zyxel met en garde contre une faille critique d'injection de commandes OS dans les routeurs
Zyxel a averti d'une vulnérabilité critique, identifiée comme CVE-2024-7261, touchant plusieurs modèles de ses routeurs professionnels. Cette faille, notée 9.8 sur l'échelle CVSS v3, permettrait à des attaquants non authentifiés d'exécuter des commandes arbitraires sur le système d'exploitation des appareils via une injection de commandes OS. Le problème provient d'une mauvaise validation des données fournies par l'utilisateur, notamment dans le paramètre "host" des programmes CGI. Les modèles de points d'accès concernés incluent plusieurs séries NWA, WAC, WAX et WBE, avec des versions vulnérables jusqu'à 7.00 ou 6.28, selon le modèle. Zyxel recommande de mettre à jour vers des versions spécifiques pour corriger cette vulnérabilité. En outre, la société a publié des mises à jour de sécurité pour d'autres failles de haute gravité dans ses pare-feu APT et USG FLEX, incluant des vulnérabilités d'injection de commandes et de débordement de tampon. Parmi celles-ci, la CVE-2024-42057, qui permet une injection de commandes dans la fonctionnalité VPN IPSec, est notable, bien que son exploitation nécessite des configurations spécifiques. Zyxel a également mis à jour automatiquement certains modèles affectés.
Sources :
Lancement du nouveau Windows PowerToy, repositionnement des applications selon les dispositions enregistrées
Microsoft a lancé un nouvel outil PowerToy appelé Workspaces, qui permet de lancer des ensembles d'applications avec des configurations de bureau personnalisées d'un simple clic. Cette fonctionnalité permet aux utilisateurs de sauvegarder leur environnement de bureau actuel en tant qu'espace de travail et de relancer toutes les applications ultérieurement, en s'assurant que leurs fenêtres apparaissent aux mêmes emplacements. Pour créer un nouvel espace de travail, il suffit d'ouvrir l'éditeur via les paramètres de PowerToys ou en utilisant le raccourci Win+Ctrl+`. Dans l'éditeur, les utilisateurs peuvent créer un espace de travail, organiser les applications, puis cliquer sur "Capture" pour sauvegarder la configuration. Les espaces de travail peuvent être nommés, et les tailles de fenêtres ajustées. Lors du lancement, PowerToys affiche une boîte de dialogue indiquant l'état de chaque application. Bien que PowerToys ne puisse pas directement positionner les applications, il les lance et repositionne leurs fenêtres selon la mise en page sauvegardée. Les utilisateurs peuvent également gérer le comportement de lancement via des arguments de ligne de commande. PowerToys est disponible sur le Microsoft Store et la page GitHub de PowerToys.
Sources :
Le FBI met en garde les entreprises de crypto-monnaie contre les attaques d'ingénierie sociale agressives
Le FBI a averti aujourd'hui que des groupes de hackers nord-coréens ciblent agressivement les entreprises de cryptomonnaie et leurs employés à travers des attaques sophistiquées de social engineering, visant à déployer des malwares pour voler des actifs numériques. Ces tactiques, difficiles à détecter même pour des experts en cybersécurité, impliquent une recherche approfondie sur des cibles potentielles, notamment des individus liés aux fonds négociés en bourse (ETFs) de cryptomonnaie. Les acteurs malveillants utilisent des communications en anglais fluide et se présentent souvent comme des recruteurs ou des figures connues du secteur pour gagner la confiance des victimes. Le FBI a également mis en garde contre des arnaques où des faux employés d'échanges de cryptomonnaie ciblent des victimes, ainsi que des annonces d'emploi à distance frauduleuses. Depuis 2017, des groupes soutenus par l'État nord-coréen ont volé environ 3 milliards de dollars en cryptomonnaies, avec des attaques notables contre des plateformes comme Bithumb et Axie Infinity. Le FBI a fourni des indicateurs d'activités suspectes et des meilleures pratiques pour aider les entreprises à se protéger contre ces menaces croissantes.
Sources :
Clearview AI condamné à une amende de 30,5 millions d'euros pour collecte illégale de données
L'Autorité néerlandaise de protection des données (DPA) a infligé une amende de 30,5 millions d'euros à Clearview AI pour collecte illégale de données, notamment des photos de citoyens néerlandais. Clearview AI, une entreprise américaine spécialisée dans les logiciels de reconnaissance faciale, a constitué une vaste base de données d'images extraites de sources publiques sur Internet. Ces images sont utilisées pour créer des identifiants biométriques uniques, permettant à des clients tels que des agences de sécurité de reconnaître des individus. Cette pratique soulève des préoccupations éthiques et de confidentialité, car les personnes concernées n'ont pas donné leur consentement pour le traitement de leurs données biométriques. La DPA a constaté que Clearview AI avait collecté plus de 30 milliards de photos, y compris celles de citoyens néerlandais, sans autorisation. Le président de la DPA, Aleid Wolfsen, a souligné que la reconnaissance faciale est une technologie intrusive. Malgré les amendes imposées par d'autres pays européens, Clearview AI n'a pas modifié ses pratiques. L'entreprise conteste la décision, affirmant qu'elle n'opère pas aux Pays-Bas et que l'amende est illégale. La DPA menace d'imposer une amende supplémentaire si la situation ne change pas.
Sources :
Cyberattaque pro-russe contre les sites de Reims, Nantes, Nîmes : Aucune gravité, « c’est juste pour se faire mousser »
Depuis le 2 septembre, le collectif de hackers ultranationalistes russes Noname057(16) a lancé une série d'attaques par déni de service distribué (DDoS) ciblant des sites administratifs en France, notamment à Nantes, Reims et Montpellier. Ces attaques, qui ont provoqué des interruptions temporaires de service, visent à attirer l'attention suite à l'arrestation en France de Pavel Durov, le fondateur de Telegram. Les hackers cherchent à créer un effet de panique et à faire parler d'eux à travers ces actions. Selon Benoit Grunemwald, expert en cybersécurité, ces attaques sont principalement symboliques, visant à perturber sans accéder aux données sensibles. Bien que certaines attaques aient eu un impact limité, elles sont perçues comme des opérations politiques pour exprimer le mécontentement russe. Les hackers se vantent de harceler la France, mais l'impact réel sur le fonctionnement du pays reste marginal. En somme, ces cyberattaques sont davantage une démonstration de force qu'une menace sérieuse, reflétant les tensions politiques entre la France et la Russie.
Sources :
D-Link affirme qu'il ne corrige pas quatre failles RCE dans les routeurs DIR-846W
D-Link a annoncé qu'il ne corrigera pas quatre vulnérabilités de type exécution de code à distance (RCE) affectant tous les modèles de routeurs DIR-846W, car ces produits ne sont plus supportés. Trois des vulnérabilités sont classées comme critiques et ne nécessitent pas d'authentification. Découvertes par le chercheur en sécurité yali-1002, ces failles incluent : CVE-2024-41622, CVE-2024-44340, CVE-2024-44341 et CVE-2024-44342, avec des scores CVSS variant de 8.8 à 9.8. Bien que D-Link reconnaisse la gravité de ces problèmes, la société a précisé que, conformément à sa politique de fin de vie, aucune mise à jour de sécurité ne sera fournie. D-Link recommande aux utilisateurs de retirer immédiatement le DIR-846W et de le remplacer par un modèle pris en charge. Si cela n'est pas possible, il est conseillé de mettre à jour le firmware, d'utiliser des mots de passe forts et d'activer le chiffrement WiFi. Les vulnérabilités des routeurs D-Link sont souvent exploitées par des botnets de malware, rendant leur sécurisation cruciale avant la publication d'exploits de preuve de concept.
