Human Risk Roundup : Un ver qui se reproduit de lui-même, une arrestation au Royaume-Uni et une alerte concernant un compte Facebook

Dans cette édition du Human Risk Roundup, nous nous penchons sur trois événements récents très médiatisés – continuez à lire pour plus d'informations.

Un ver autoreproducteur touche plus de 180 logiciels

Un malware autoreproducteur nommé "Shai-Hulud" a infecté plus de 180 paquets NPM, volant les informations d'identification des développeurs et se propageant en s'intégrant dans d'autres paquets à l'aide de jetons d'authentification volés. L'attaque, qui exploite les référentiels JavaScript, met en évidence les vulnérabilités des mises à jour automatiques des paquets et souligne la nécessité de mesures de sécurité plus strictes, comme l'authentification à deux facteurs à l'épreuve des hameçonnages.

Ce qui s'est passé

Ce ver vole les informations d'identification des développeurs, les utilise pour modifier et republier des paquets populaires et expose les données volées sur les dépôts publics GitHub. Le malware se propage en utilisant des jetons d'authentification NPM volés et des outils tels que TruffleHog pour rechercher des informations sensibles. L'attaque vise principalement les environnements Linux et macOS, à l'exclusion des systèmes Windows, et a été décrite comme une menace "living" capable de se réactiver si elle est déclenchée. Les experts soulignent la nécessité de mesures de sécurité plus strictes, telles que l'authentification à deux facteurs vérifiée par l'homme, afin de prévenir des attaques similaires de la chaîne d'approvisionnement à l'avenir.

Pourquoi c'est important

Le ver Shai-Hulud constitue une menace importante pour le personnel chargé de la cybersécurité en exploitant la chaîne d'approvisionnement en logiciels. Cette attaque met en évidence les vulnérabilités des processus automatisés de publication de paquets, soulignant la nécessité de mesures de sécurité plus strictes telles qu'une authentification solide à deux facteurs. La capacité du ver à se propager rapidement et à créer des référentiels publics contenant des informations d'identification volées souligne les risques d'exposition des informations d'identification et d'attaques de la chaîne d'approvisionnement. Les équipes de cybersécurité doivent agir rapidement pour contenir ces menaces, car un single développeur compromis peut relancer la propagation du ver. Cet incident est un signal d'alarme pour l'industrie, qui doit donner la priorité à la sécurisation des dépôts de paquets et des environnements de développement.

Quatre conseils pratiques pour les responsables de la sécurité

1. Exiger le consentement explicite d'un être humain pour chaque demande de publication en utilisant une méthode robuste de type 2FA.
2. Veillez à ce que les développeurs changent fréquemment leurs jetons d'authentification NPM, GitHub et autres afin de minimiser le risque d'utilisation d'informations d'identification volées à des fins malveillantes.
3. Surveillez en permanence les paquets de code et les dépendances pour détecter les signes de compromission.
4. Organisez régulièrement des formations pour aider les développeurs à reconnaître et à éviter les tentatives de phishing, telles que les fausses invitations à mettre à jour les paramètres d'authentification multifactorielle, qui ont été utilisées dans cette attaque.

En savoir plus sur l'attentat.

Le Royaume-Uni arrête des adolescents "Scattered Spider" liés au piratage de Transport for London

Deux adolescents, liés au groupe de pirates informatiques Scattered Spider, ont été arrêtés au Royaume-Uni pour leur implication dans la cyberattaque 2024 contre Transport for London, qui a provoqué d'importantes perturbations et des pertes financières. Les suspects sont accusés d'utilisation abusive d'ordinateurs, de fraude et d'autres cyberattaques, notamment à l'encontre d'organismes de santé américains et de systèmes d'extorsion dans le monde entier.

Ce qui s'est passé

Owen Flowers et Thalha Jubair auraient participé à la cyberattaque d'août 2024. Tous deux sont soupçonnés d'appartenir au groupe de pirates informatiques Scattered Spider, dont Flowers est également lié à des attaques contre des entreprises américaines du secteur de la santé. L'attaque de TfL a perturbé les systèmes internes et les services en ligne, révélant par la suite des données clients compromises. Jubair fait face à d'autres accusations aux États-Unis pour plus de 120 violations de réseaux et attaques d'extorsion, dont les victimes ont payé au moins 115 millions de dollars en rançons. L'Agence nationale de lutte contre la criminalité a souligné les perturbations importantes causées par l'attaque de TfL, qui fait partie de l'infrastructure critique du Royaume-Uni. Cette affaire met en évidence la menace croissante de cybercriminalité que représentent des groupes tels que Scattered Spider.

Pourquoi c'est important

Ces arrestations mettent en évidence la menace croissante des cyberattaques visant les infrastructures critiques. Cette affaire souligne l'importance de mesures de cybersécurité solides, car l'attaque a provoqué des perturbations importantes et exposé les données des clients. L'implication de jeunes individus dans la cybercriminalité sophistiquée démontre l'accessibilité des outils de piratage et la nécessité d'une éducation et d'une dissuasion proactives. En outre, les liens présumés des suspects avec des attaques contre des organismes de santé américains révèlent la portée et l'impact mondiaux de ces groupes cybercriminels. L'affaire souligne également l'importance de la collaboration internationale dans la lutte contre la cybercriminalité, puisque les autorités britanniques et américaines sont impliquées. Pour le personnel chargé de la cybersécurité, cet incident rappelle qu'il faut donner la priorité à la détection des menaces, aux stratégies de réponse et à la protection des données sensibles.

Quatre conseils pratiques pour les responsables de la sécurité

1. Mettre en œuvre des mesures de sécurité solides, y compris des évaluations régulières de la vulnérabilité et des plans d'intervention en cas d'incident, afin de protéger ces services essentiels.
2. Restez informé des collectifs de cybercriminels actifs, tels que Scattered Spider, et de leurs tactiques, ce qui peut vous aider à anticiper les menaces potentielles et à adapter vos défenses en conséquence.
3. Veillez à un cryptage solide, à des contrôles d'accès et à des audits réguliers pour protéger les informations sensibles.
4. Travaillez en étroite collaboration avec les agences gouvernementales et partagez les renseignements et les preuves, car cela peut aider à traquer et à poursuivre efficacement les cybercriminels.

En savoir plus sur les arrestations.

La campagne de FileFix utilise la suspension de Facebook comme appât

La campagne de FileFix exploite l'ingénierie sociale en incitant les utilisateurs à télécharger des malwares sous prétexte de résoudre une suspension de compte Facebook. Cette attaque sophistiquée utilise des courriels de phishing, la stéganographie et des charges utiles obscurcies pour déployer le voleur d'informations StealC, ciblant les informations d'identification des navigateurs, les portefeuilles de crypto-monnaie et bien plus encore dans de nombreux pays.

Ce qui s'est passé

Les victimes ont été attirées par des courriels de phishing prétendant que leur compte Facebook serait supprimé si elles ne déposaient pas un recours. Le site de phishing invite les utilisateurs à ouvrir un faux explorateur de fichiers et à coller une commande malveillante, qui exécute un script PowerShell en arrière-plan. Ce script télécharge une image contenant un code malveillant caché par stéganographie, qui extrait et exécute ensuite des charges utiles supplémentaires. La dernière charge utile, StealC, est un voleur d'informations avancé qui cible les informations d'identification du navigateur, les portefeuilles de crypto-monnaie et d'autres données sensibles. La campagne utilise des techniques d'obscurcissement et opère à l'échelle mondiale, ce qui indique qu'il s'agit d'attaques opportunistes plutôt que targeted attack.

Pourquoi c'est important

La campagne FileFix représente une évolution significative dans les attaques d'ingénierie sociale, exploitant la peur de la suspension du compte Facebook pour manipuler les victimes et leur faire exécuter des malwares. Cela montre que les attaquants perfectionnent leurs techniques, notamment en utilisant la stéganographie pour dissimuler des charges utiles malveillantes dans des images, ce qui rend la détection plus difficile. "L'utilisation par la campagne de courriels de phishing et de faux messages "Meta Help Support" met en évidence la menace permanente du phishing en tant que principal vecteur d'attaque. " En ciblant les informations d'identification, les portefeuilles de cryptomonnaies et les services en nuage, l'attaque présente un risque important pour les particuliers et les organisations. Sa portée mondiale et sa capacité à adapter ses méthodes d'obscurcissement en font une menace polyvalente et dangereuse. Les équipes de cybersécurité doivent rester vigilantes, renforcer leurs capacités de détection et former les utilisateurs afin d'atténuer les risques posés par ces campagnes sophistiquées.

Quatre conseils pratiques pour les responsables de la sécurité

1. Formez les employés à reconnaître les courriels de phishing et les messages suspects, tels que ceux qui imitent "Meta Help Support" ou qui les incitent à prendre des mesures immédiates pour éviter la suspension de leur compte.
2. Utilisez des outils capables d'identifier les charges utiles stéganographiques et les malwares qui échappent aux bacs à sable, car ces techniques sont de plus en plus utilisées dans les attaques sophistiquées.
3. Restez vigilant face aux IoC liés à des campagnes telles que FileFix, qui ciblent les utilisateurs du monde entier avec des charges utiles obscurcies et des appâts de phishing.
4. Assurez-vous que les systèmes de protection des points finaux peuvent détecter et bloquer les scripts malveillants, tels que les commandes PowerShell, et empêcher l'exécution de fichiers non autorisés.

Pour en savoir plus sur la campagne.