Discord est la cible de NPM malveillants. D’après les informations disponibles, ce sont au moins 17 packages qui ont été découverts en train de compromettre la plateforme. Cette affaire fait suite à un barrage récent de malwares hébergés sur les liens de logiciels open source, tels que PyPi et RubyGems.
La société DevOps JFrog a déclaré que ces « bibliothèques » ont été conçues pour 2 raisons. D’une part, pour soutirer des « access tokens » (jetons d’accès) Discord. D’autre part, pour obtenir un contrôle total sur le système d’une victime. Une dernière chose : elles peuvent aussi avoir accès aux « environnements variables » des ordinateurs des utilisateurs. Heureusement, elles ont déjà été supprimées au moment d’écrire ces lignes.
Les fonctionnalités inquiétantes des NPM malveillants
Andrey Polkovnychenko, ingénieur logiciel en chef chez GlobalLogic et Shachar Menashe, directeur de la recherche sur la sécurité chez JFrog, ont commenté l’affaire.
Selon eux, le contenu actif des packages est varié, allant des infostealers au full remote access backdoors. Mais encore, ces malwares optent pour différentes tactiques d’infection, notamment le typosquatting, la dependency confusion et la Trojan horse (cheval de Troie).
Des développeurs désormais sur le qui-vive
Les C&C (outils de collaboration et communication), comme Discord et Slack, sont devenus des plateformes plébiscitées par les cyber-criminels. Il leur est désormais facile de contrôler à distance les machines infectées et même d’en exfiltrer des données. Pour cela, les cybercriminels utilisent Discord CDN pour l’hébergement de fichiers infectés.
La société de cyber-sécurité Zscaler a déclaré en février que :
« La distribution de contenu statique favorise l’hébergement des fichiers téléchargeables infectieux, qui restent accessibles, même après suppression des fichiers réels dans Discord. »
Plus troublant encore, prerequests-xcode fonctionne comme un cheval de Troie à part entière. Il y a aussi le port Node.JS de DiscordRAT qui effectue des captures d’écran. En parallèle, il collecte des données du le presse-papiers, exécute le VBScript et PowerShell et facilite le vol de mots de passe. Il devient même possible de vendre des comptes prémiums Discord Nitro à des tiers.
Les recherches rappellent que :
« Les référentiels publics sont devenus une plaque tournante pour la propagation des malwares. »
Les serveurs d’un référentiel célèbre deviennent des plateformes de confiance, et le fait que des utilisateurs interagissent avec ces sites n’alerte plus l’antivirus ou le pare-feu. De plus, l’installation d’outils d’automatisation, tels que NPM Cient, facilite l’attaque des hackers.
Il semble que des audits doivent être menés afin de sécuriser les plateformes C&C. Si Discord est déjà dans la tourmente, on souhaite plus de chances à ses semblables.