Des chercheurs ont découvert une attaque de chaîne d’approvisionnement utilisant des paquets malveillants contenant du code invisible. Cette technique défie les défenses traditionnelles mises en place pour détecter de telles menaces.
Des chercheurs de la société Aikido Security ont récemment mis au jour une attaque de chaîne d’approvisionnement qui inonde les dépôts de paquets malveillants contenant du code invisible, une méthode qui contournent les systèmes de détection habituels. Entre le 3 et le 9 mars, ils ont identifié 151 paquets malveillants qui ont été téléchargés sur GitHub. Les attaques de chaîne d’approvisionnement ne sont pas nouvelles, mais elles ont pris de l’ampleur ces dernières années, utilisant des paquets malveillants dont les noms et le code ressemblent à ceux de bibliothèques largement utilisées, afin de tromper les développeurs et de les inciter à les intégrer par inadvertance dans leurs logiciels. Dans certains cas, ces paquets ont été téléchargés des milliers de fois sans éveiller de soupçons. La particularité des paquets découverts par Aikido réside dans l’utilisation sélective de code qui n’est pas visible dans presque tous les éditeurs, terminaux et interfaces de révision de code. Bien que la plupart du code soit en apparence normal et lisible, les fonctions et charges utiles malveillantes sont masquées sous des caractères unicode invisibles à l’œil nu. Cette tactique, signalée pour la première fois par Aikido l’année dernière, rend les revues de code manuelles et autres défenses traditionnelles presque inutiles. En plus de GitHub, d’autres dépôts comme NPM et Open VSX ont également été touchés par ces attaques. Ces événements soulignent la nécessité d’améliorer la sécurité des chaînes d’approvisionnement logicielles et d’adopter des outils de détection plus avancés pour faire face à ces nouvelles menaces.