Rust supply-chain-aanval infecteert Cloud CI-pijplijnen met Go Malware

Samenvatting

• SentinelLabs heeft een supply chain-aanval tegen de Rust developer community onderzocht die ‘CrateDepression’ wordt genoemd.
• Op 10 mei 2022 heeft de Rust Security Response Working Group een advisory uitgebracht waarin de ontdekking van een kwaadaardige crate, gehost op de Rust dependency community repository, wordt aangekondigd.
• De kwaadaardige dependency controleert op omgevingsvariabelen die een bijzondere interesse in GitLab Continuous Integration-pijplijnen suggereren.
• Geïnfecteerde CI-pijplijnen krijgen een second-stage payload voorgeschoteld. Deze payloads zijn geïdentificeerd als Go binaries die zijn ontwikkeld op het red-teaming framework Mythic.
• Gezien de aard van de slachtoffers die doelwit zijn, zou deze aanval kunnen dienen als een enabler voor latere aanvallen op de supply chain, die op een grotere schaal worden uitgevoerd dan het infecteren van ontwikkel pijplijnen.
• Er is een vermoeden dat de campagne een bekende Rust-ontwikkelaar imiteert om zodoende de bron te vergiftigen met broncode die op de typosquatted kwaadaardige dependency leunt en de infectieketen in gang zet.

Amsterdam, 25 mei 2022 – SentinelLabs, het research-team van SentinelOne, heeft onderzoek gedaan naar een supply chain-aanval tegen de Rust developer community die ‘CrateDepression’ wordt genoemd. Op 10 mei 2022 heeft de Rust dependency community repository, crates.io, een advisory uitgebracht waarin de verwijdering van een kwaadaardige crate, ‘rustdecimal’, werd aangekondigd. In een poging om Rust-ontwikkelaars te misleiden, gebruikt de kwaadaardige crate typosquats tegen het bekende rust decimal-pakket dat wordt gebruikt voor financiële berekeningen. Een geïnfecteerde machine wordt geïnspecteerd op de omgevingsvariabele GITLAB_CI in een poging om Continuous Integration-pijplijnen voor softwareontwikkeling te identificeren.

Op die systemen halen de aanvaller(s) een next-stage payload tevoorschijn. Deze is ontwikkeld op het red-teaming post-exploitation framework Mythic. De payload is geschreven in Go en is een build van de Mythic agent ‘Poseidon’. Hoewel de uiteindelijke intentie van de aanvaller(s) onbekend is, zou het beoogde doelwit latere, grootschalige supply chain-aanvallen kunnen faciliteren, afhankelijk van de GitLab CI-pijplijnen die zijn geïnfecteerd.

Software-aanvallen op de supply chain, eerder vooral zeldzame incidenten, worden door aanvallers steeds vaker ingezet. Aanvallers ‘vissen’ zo ‘met dynamiet’ in een poging hele gebruikerspopulaties in één keer te infecteren. In het geval van CrateDepression doet de gerichte interesse in cloud software-ontwikkelomgevingen vermoeden dat de aanvallers deze infecties zouden kunnen gebruiken voor grootschalige supply-chain-aanvallen.

---

Over SentinelOne

SentinelOne levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporingsfunctionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk. Kijk voor meer informatie op www.sentinelone.com en op @SentinelOne, LinkedIn en Facebook.