Wouter Hoeffnagel - 26 mei 2022

SentinelOne analyseert supply chain-aanval op Rust developer community

SentinelOne analyseert supply chain-aanval op Rust developer community image

De Rust Security Response Working Group bracht op 10 mei 2022 aan advisory uit over de ontdekking van een kwaadaardige crate, gehost op de Rust dependency community repository. SentinelOne onderzocht de supply chain-aanval tegen de Rust developer community. De aanval wordt ook wel ‘CrateDepression’ genoemd.

In de advisory uitgebracht kondigt de Rust Security Response Working Group de verwijdering van een kwaadaardige crate aan, die ‘rustdecimal’ wordt genoemd. In een poging om Rust-ontwikkelaars te misleiden, gebruikt de kwaadaardige crate typosquats tegen het bekende rust decimal-pakket dat wordt gebruikt voor financiële berekeningen. Een geïnfecteerde machine wordt geïnspecteerd op de omgevingsvariabele GITLAB_CI in een poging om Continuous Integration-pijplijnen voor softwareontwikkeling te identificeren.

Intentie van aanvallers is onbekend

Op die systemen halen de aanvaller(s) een next-stage payload tevoorschijn. Deze is ontwikkeld op het red-teaming post-exploitation framework Mythic. De payload is geschreven in Go en is een build van de Mythic agent ‘Poseidon’. Hoewel de uiteindelijke intentie van de aanvaller(s) onbekend is, zou het beoogde doelwit latere, grootschalige supply chain-aanvallen kunnen faciliteren, afhankelijk van de GitLab CI-pijplijnen die zijn geïnfecteerd.

Software-aanvallen op de supply chain worden door aanvallers steeds vaker ingezet. SentinelOne vergelijkt dit met dynamietvissen; aanvallers proberen in een poging hele gebruikerspopulaties in één keer te infecteren. In het geval van CrateDepression doet de gerichte interesse in cloud software-ontwikkelomgevingen vermoeden dat de aanvallers deze infecties zouden kunnen gebruiken voor grootschalige supply-chain-aanvallen.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024