Une nouvelle campagne de cyberattaque a été découverte par des chercheurs en sécurité. Les attaquants publient des paquets malveillants dans des dépôts comme RubyGems et le registre de modules Go. En les intégrant dans des projets, ils exécutent du code caché qui vole les identifiants stockés dans les environnements d'intégration continue, compromettant les systèmes internes et les services cloud.
Le mécanisme de l'attaque : des dépendances qui trahissent 🛡️
Les attaquants injectent du code malveillant dans des gemmes Ruby et des modules Go, déguisés en bibliothèques légitimes. Lorsqu'un développeur les télécharge et les intègre dans son pipeline CI, le code caché s'exécute pendant la phase de construction. Ce malware extrait les variables d'environnement, les jetons d'accès et les clés SSH stockés. Les identifiants volés permettent d'accéder aux dépôts de code, aux systèmes internes et aux services cloud sans éveiller de soupçons immédiats.
Le développeur qui a fait confiance à une gemme et a perdu son pipeline ☕
Parce que bien sûr, que pourrait-il mal se passer en téléchargeant une gemme appelée ruby-utils-pro-max qui promet d'optimiser ton code de 500 %. Les attaquants savent que les développeurs font aveuglément confiance aux dépôts publics. Maintenant, en plus de vérifier les logs et de mettre à jour les dépendances, il faut prier pour que la gemme que tu as téléchargée à 3 heures du matin ne soit pas en train de voler tes identifiants pendant que tu bois ton café.