Cette vulnérabilité représente une menace importante pour les référentiels appartenant à des organisations réputées telles que Google.
Des millions de logiciels en danger sur GitHub, rien que ça. C'est le cri d'alarme lancé par Aqua, une société spécialisée dans la sécurité du cloud. En cause : une faille critique baptisée RepoJacking, qui touche des millions de référentiels hébergés sur la plateforme de développement collaborative.
Cette faille permet à des pirates informatiques de s'infiltrer dans des dépôts, y compris ceux appartenant à des organisations de renom comme Google ou Lyft. Une fois infiltrés, ils peuvent manipuler le code source, ce qui peut avoir des conséquences désastreuses sur les utilisateurs.
Quand les pirates s'emparent du référentiel GitHub
Imaginez vos dépôts GitHub comme des coffres-forts numériques où les développeurs stockent précieusement code et fichiers de projet. Un système ingénieux, baptisé Git, veille sur ces coffres, traçant chaque modification et permettant à plusieurs développeurs de collaborer. Mais attention, car si un pirate informatique parvient à s'introduire dans l'un d'eux, les conséquences peuvent être désastreuses.
Le code devient alors une arme. Introduction de logiciels malveillants, vol de données sensibles, sabotage du projet, tout est possible. Les ramifications s'étendent loin, provoquant failles de sécurité, fuites de données et retards conséquents.
La vigilance est donc de mise. Sauvegarder régulièrement vos dépôts et gérer les accès avec soin devient crucial pour protéger votre précieux code et garantir la sécurité de vos projets.
La menace RepoJacking
Le détournement de référentiel de dépendances, également connu sous le nom de RepoJacking, représente une menace grandissante pour la sécurité logicielle. Cette attaque repose sur l'exploitation de comptes GitHub abandonnés ou usurpés pour diffuser des versions compromises de logiciels populaires. Les logiciels infectés peuvent ensuite exécuter des actions malveillantes sur les systèmes des utilisateurs.
Le mécanisme est alors en marche. Les attaquants identifient et récupèrent des comptes GitHub inactifs ou dont les noms d'utilisateurs ont été modifiés.
Ils injectent ensuite du code malveillant dans ces référentiels logiciels contrôlés par les comptes compromis.
Les logiciels infectés sont alors diffusés via les mécanismes de dépendances des plateformes de développement logiciel.
Ces attaques ne datent pas d'hier. En 2016, un étudiant a téléchargé des scripts personnalisés dans des référentiels de packages populaires tels que RubyGems, PyPi et NPM. Dans cette manipulation, il se faisait passer pour des packages légitimes, exploitant ainsi les erreurs des utilisateurs lors de la sélection des noms de packages, une technique connue sous le nom de typosquatting.
En 2021, un chercheur a employé la technique de l'attaque par confusion de dépendances, également appelée attaque par confusion d'espace de noms, pour compromettre les réseaux de grandes entreprises telles qu'Apple, Microsoft et Tesla.
Source : CySecurity News, Aquasec