Rust supply-chain-aanval infecteert Cloud CI-pijplijnen met Go Malware

SentinelLabs heeft een supply chain-aanval tegen de Rust developer community onderzocht die ‘CrateDepression’ wordt genoemd

| SentinelOne | 2 min | 25 mei 2022 16:48
  • Op 10 mei 2022 heeft de Rust Security Response Working Group een advisory uitgebracht waarin de ontdekking van een kwaadaardige crate, gehost op de Rust dependency community repository, wordt aangekondigd.
  • De kwaadaardige dependency controleert op omgevingsvariabelen die een bijzondere interesse in GitLab Continuous Integration-pijplijnen suggereren.
  • Geïnfecteerde CI-pijplijnen krijgen een second-stage payload voorgeschoteld. Deze payloads zijn geïdentificeerd als Go binaries die zijn ontwikkeld op het red-teaming framework Mythic.
  • Gezien de aard van de slachtoffers die doelwit zijn, zou deze aanval kunnen dienen als een enabler voor latere aanvallen op de supply chain, die op een grotere schaal worden uitgevoerd dan het infecteren van ontwikkel pijplijnen.
  • Er is een vermoeden dat de campagne een bekende Rust-ontwikkelaar imiteert om zodoende de bron te vergiftigen met broncode die op de typosquatted kwaadaardige dependency leunt en de infectieketen in gang zet.
SentinelLabs, het research-team van SentinelOne, heeft onderzoek gedaan naar een supply chain-aanval tegen de Rust developer community die ‘CrateDepression’ wordt genoemd. Op 10 mei 2022 heeft de Rust dependency community repository, crates.io, een advisory uitgebracht waarin de verwijdering van een kwaadaardige crate, ‘rustdecimal’, werd aangekondigd. In een poging om Rust-ontwikkelaars te misleiden, gebruikt de kwaadaardige crate typosquats tegen het bekende rust decimal-pakket dat wordt gebruikt voor financiële berekeningen. Een geïnfecteerde machine wordt geïnspecteerd op de omgevingsvariabele GITLAB_CI in een poging om Continuous Integration-pijplijnen voor softwareontwikkeling te identificeren.

Op die systemen halen de aanvaller(s) een next-stage payload tevoorschijn. Deze is ontwikkeld op het red-teaming post-exploitation framework Mythic. De payload is geschreven in Go en is een build van de Mythic agent ‘Poseidon’. Hoewel de uiteindelijke intentie van de aanvaller(s) onbekend is, zou het beoogde doelwit latere, grootschalige supply chain-aanvallen kunnen faciliteren, afhankelijk van de GitLab CI-pijplijnen die zijn geïnfecteerd.

Software-aanvallen op de supply chain, eerder vooral zeldzame incidenten, worden door aanvallers steeds vaker ingezet. Aanvallers ‘vissen’ zo ‘met dynamiet’ in een poging hele gebruikerspopulaties in één keer te infecteren. In het geval van CrateDepression doet de gerichte interesse in cloud software-ontwikkelomgevingen vermoeden dat de aanvallers deze infecties zouden kunnen gebruiken voor grootschalige supply-chain-aanvallen.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over SentinelOne
SentinelOne (NYSE: S) levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporings-functionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk.
Meer over SentinelOne
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030103431.png
Conference by app developers, for app developers!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191029200614.jpg
Drive value with data
20191030101402.jpg
De grootste Nederlandse site over Android
20191030100036.png
Voor professionals met passie voor digitale revolutie!
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.