Les équipes de sécurité de JFrog ont récemment découvert et signalé un package malveillant, nommé chimera-sandbox-extensions, mis en ligne sur PyPI par un utilisateur se faisant appeler chimerai. Pour rappel, Chimera Sandbox fournit l’infrastructure essentielle aux ingénieurs en machine learning et aux data scientists pour concevoir et tester rapidement des modèles de langage (LLM).
Tribune JFrog – Ce package malveillant a été conçu pour dérober des identifiants ainsi que d’autres informations sensibles, telles que la configuration de Jamf, les variables d’environnement CI/CD, les jetons AWS, et bien plus encore.
Vous trouverez ci-dessous les principaux enseignements de cette recherche :
-
Le malware chimera-sandbox se distingue par son caractère hautement ciblé, s’attaquant spécifiquement aux environnements corporate et cloud afin d’exfiltrer des données sensibles telles que des jetons cloud, des informations CI/CD et des fichiers de configuration.
-
Une fois exécuté, le malware établit une connexion sophistiquée avec le serveur de l’attaquant, depuis lequel il télécharge et exécute un payload Python de type infostealer.
-
Ce dernier cible avec précision les données associées à l’infrastructure des entreprises, qu’il transmet ensuite au serveur distant via une requête POST.
-
La logique côté serveur analyse ces informations volées afin de déterminer s’il convient de déployer un second payload, destiné à prolonger ou intensifier l’activité malveillante.
-
La découverte du package chimera-sandbox-extensions illustre l’essor d’attaques avancées au sein des dépôts open source, et rappelle la nécessité d’une vigilance accrue lors de l’installation de packages tiers.
-
Elle souligne également l’importance pour les équipes de sécurité de mettre en place une surveillance continue et de réagir rapidement face aux menaces identifiées.
-
Il est vivement recommandé aux utilisateurs concernés de révoquer immédiatement tout jeton compromis et de supprimer le package malveillant. À ce titre, JFrog Xray a d’ores et déjà été mis à jour pour détecter ce package.
« Les incidents tels que le package malveillant chimera-sandbox-extensions rappellent une fois de plus les risques que représentent les dépôts open source, malgré leur rôle essentiel dans l’innovation. L’approche ciblée de ce malware, combinée à la complexité de son payload en plusieurs étapes, le distingue des menaces open source plus génériques rencontrées jusqu’à présent, et témoigne du niveau de sophistication atteint récemment par ces attaques. Cette montée en puissance souligne l’importance pour les équipes de développement de rester vigilantes avec les mises à jour, tout en menant une recherche proactive en cybersécurité pour se défendre face aux menaces émergentes et garantir l’intégrité logicielle », – Jonathan Sar Shalom, Directeur de la Recherche sur les Menaces, JFrog Security Research.
