Development

Dit is een bijdrage van SentinelOne
Security
rustdecimal-encoded-string.jpg

Rust supply-chain-aanval infecteert Cloud CI-pijplijnen

SentinelLabs heeft onderzoek gedaan naar een aanval tegen de Rust developer community.

25 mei 2022
Door: SentinelOne, partner

SentinelLabs heeft onderzoek gedaan naar een aanval tegen de Rust developer community.

SentinelLabs heeft een supply chain-aanval tegen de Rust developer community onderzocht die ‘CrateDepression’ wordt genoemd. Op 10 mei 2022 heeft de Rust dependency community repository, crates.io, een advisory uitgebracht waarin de verwijdering van een kwaadaardige crate, ‘rustdecimal’, werd aangekondigd.

In een poging om Rust-ontwikkelaars te misleiden, gebruikt de kwaadaardige crate typosquats tegen het bekende rust decimal-pakket dat wordt gebruikt voor financiële berekeningen. Een geïnfecteerde machine wordt geïnspecteerd op de omgevingsvariabele GITLAB_CI in een poging om Continuous Integration-pijplijnen voor softwareontwikkeling te identificeren.

Op die systemen halen de aanvaller(s) een next-stage payload tevoorschijn. Deze is ontwikkeld op het red-teaming post-exploitation framework Mythic. De payload is geschreven in Go en is een build van de Mythic agent ‘Poseidon’. Hoewel de uiteindelijke intentie van de aanvaller(s) onbekend is, zou het beoogde doelwit latere, grootschalige supply chain-aanvallen kunnen faciliteren, afhankelijk van de GitLab CI-pijplijnen die zijn geïnfecteerd.

Software-aanvallen op de supply chain, eerder vooral zeldzame incidenten, worden door aanvallers steeds vaker ingezet. Aanvallers ‘vissen’ zo ‘met dynamiet’ in een poging hele gebruikerspopulaties in één keer te infecteren. In het geval van CrateDepression doet de gerichte interesse in cloud software-ontwikkelomgevingen vermoeden dat de aanvallers deze infecties zouden kunnen gebruiken voor grootschalige supply-chain-aanvallen.

Meer (technische) informatie is te vinden in dit artikel.

Reactie toevoegen