18 packages NPM compromis avec plus de 2 milliards de téléchargements cumulés par semaine : cela aurait pu être le plus gros hack de cette année, mais le résultat est en réalité bien mitigé !
On reviens tout de suite sur cela, mais aussi on va parler de l’origine de l’attaque, SalesLoft, qui a eu des conséquences sur Salesforce, puis sur Cloudflare, enfin vous avez compris, mais aussi de Grok ou encore de Signal dans cet ultra-flash cyber !
NPM
Avec 2 milliards de téléchargements cumulés sur ces 18 packages NPM, cette attaque aurait pu faire très mal car ces packages ont été transformés pendant quelques heures par un attaquant les ayant transformés en cryptostealers pour au final ne réussir à voler que 5 centimes d’éthereum et 20 dollars de memecoin.
En réalité, le malware consistait en un remplacement des fonctions fetch et XMLHttpRequest pour intercepter les requêtes effectuées et changer les adresses de wallet crypto par celles de l’attaquant, mais la mauvaise obfuscation et l'attaque un peu grossière ont vite levé des alertes un peu partout !
Évidemment, cela a été possible car un mainteneur de ces packages est tombé dans un mail de phishing compromettant son compte NPM, mais cette histoire est un bon rappel de comment une attaque comme celle-ci peut faire très mal, surtout si les attaquants sont un peu plus discrets... ([1], [2])
SalesLoft Origin
Vous voyez l'attaque sur SalesLoft qui est retombée sur Salesforce, puis sur Cloudflare, Palo Alto ou Zscaler, puis sur leur compte AWS, et bien, on sait enfin comment les attaquants ont fait !
Le groupe d’attaque responsable de l’attaque, suivi sous l'ID UNC6395, serait en effet parvenu à récupérer un accès aux instances de SalesLoft Drift en compromettant les comptes GitHub de l’entreprise, mais mandiant n'a pas partagé ce que les attaquants ont trouvé dans ce repo.
Clé d'API, token d'authentification ou autres, ils ne le sauront probablement jamais, mais voilà comment une simple mauvaise pratique peut conduire à un enchaînement d’attaques redoutables dont on a d'ailleurs fait le point la semaine dernière si vous voulez plus de détails ! ([3])
Grok
Grok, l'IA de X, est utilisée pour tweeter des liens malveillants et ça s'appelle le grokking, mais comment cela fonctionne-t-il ?
Sur X, vous ne pouvez pas, en théorie, promouvoir un post contenant un lien, alors les attaquants ont découvert qu'en ajoutant en guise de source vidéo un domaine, puis en répondant à son propre post pour demander d’où venait la vidéo, Grok répondait en se basant sur ce fameux champ source et tweetait donc le lien dans sa réponse.
Les attaquants utilisent donc le grokking pour promouvoir des malwares ou des scams, alors faites attention sur X même, et surtout, au lien que Grok peut poster. ([4])
Salty2FA
Vous voulez être un hacker mais vous êtes nul : ce n’est pas grave, il existe des kits pour vous aider : comme ce kit de bypass de MFA.
Salty2Fa est un effet, un kit de phishing bien foutu incluant en bonus une méthode pour bypasser les codes MFA, étant même capable de s'adapter dans le détail à l'entreprise que vous essayez de cibler, mais ce n'est pas sa seule fonctionnalité : le kit est aussi capable d'utiliser de multiples domaines pour éviter la détection en changeant de domaine à chaque session, ou encore d'utiliser Cloudflare pour éviter les bots de détection.
À vous de trouver maintenant comment l'acheter si vous le voulez, et je mets en description les IoC si cela vous intéresse pour les défenseurs. ([5], [6])
Signal
Signal va maintenant pouvoir sauvegarder vos messages, mais est-ce grave pour votre vie privée ?
Signal l'a annoncé cette semaine : les messages qui disparaissent lorsque vous réinstallez l'application ou changez de téléphone, c'est fini, car 100 MB de messages pourront être sauvegardés si vous le souhaitez, et cela peut monter à 100GB si vous utilisez l'option payante, mais tout cela n'est qu’optionnel.
Signal assure aussi que ces sauvegardes seront chiffrées et que seul vous aurez la clé. Si vous ne leur faites pas confiance, vous n'avez rien à faire, car la fonction de sauvegarde repose sur une activation explicite de votre part pour être mise en place. ([7])
Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !
