Un logiciel malveillant auto-propagateur empoisonne les logiciels open source et efface les machines basées en Iran
Un logiciel malveillant récemment découvert infecte les bibliothèques de logiciels open source populaires et, dans certains cas, efface les disques durs des machines situées en Iran. Cette menace souligne les risques croissants pour la chaîne d’approvisionnement logicielle mondiale.
Le malware, baptisé « PENDULUM » par les chercheurs qui l’ont découvert, opère en injectant du code malveillant dans des paquets logiciels largement utilisés hébergés sur des plateformes comme npm et PyPI. Une fois qu’un développeur télécharge un paquet infecté, le code malveillant s’active et tente de se propager à d’autres projets et systèmes.
La caractéristique la plus inquiétante de PENDULUM est son comportement destructeur ciblé. Lorsque le malware détecte qu’il s’exécute sur une machine avec une adresse IP iranienne, il déclenche une charge utile qui écrase les fichiers critiques du système et corrompt les données, rendant essentiellement l’ordinateur inutilisable.
Les experts en sécurité affirment que cette attaque représente une évolution significative dans les menaces contre la chaîne d’approvisionnement logicielle. Contrairement aux attaques précédentes qui visaient des organisations ou des secteurs spécifiques, PENDULUM diffuse largement son code malveillant tout en réservant ses capacités destructrices pour des cibles géographiques particulières.
L’origine du malware reste incertaine, bien que son comportement ciblé suggère des motivations géopolitiques potentielles. Les chercheurs continuent d’analyser le code pour déterminer qui pourrait être derrière l’attaque et si d’autres charges utiles destructrices peuvent être déclenchées dans d’autres régions.
Les développeurs et les organisations sont vivement encouragés à examiner attentivement leurs dépendances logicielles, à utiliser des outils d’analyse automatisés pour détecter le code suspect et à maintenir leurs systèmes de sauvegarde à jour. L’incident souligne l’importance de la vigilance dans la sécurité de la chaîne d’approvisionnement logicielle, car même les bibliothèques de confiance peuvent être compromises.
Les mainteneurs des plateformes npm et PyPI ont été alertés et travaillent à identifier et supprimer les paquets infectés. Cependant, la nature auto-propagatrice du malware signifie que de nouvelles variantes pourraient continuer à apparaître, nécessitant une surveillance continue et des mises à jour de sécurité.
