Les équipes Checkmarx expliquent une nouvelle technique d'attaque contre les paquets open source : la command-jacking. Elle cible les CLI et utilise des scripts d'installation pour installer du code malicieux. Cette attaque a été repérée sur PyPi, NPM, Ruby Gems, NuGet, Dart Pub ou encore Rust Crates. L'attaque agit comme un cheval de Troie et manipule les points d'entrée.

"Les méthodes d'attaque comprennent le détournement de commandes, c'est-à-dire l'usurpation de l'identité d'outils tiers et de commandes système populaires, et le ciblage des différentes étapes du processus de développement par le biais de plug-ins et d'extensions malveillants. Les attaques par point d'entrée, tout en nécessitant l'interaction de l'utilisateur, offrent aux attaquants une méthode plus furtive et persistante pour compromettre les systèmes, en contournant potentiellement les contrôles de sécurité traditionnels, ce qui souligne la nécessité de mesures de sécurité plus complètes pour les packages Python. Les attaquants peuvent exploiter ces points d’entrée pour exécuter du code malveillant lorsque des commandes spécifiques sont exécutées, ce qui constitue un risque généralisé dans le paysage open source." explique l'éditeur. 

Tous les détails avec des exemples sur Python et une CLI système : https://checkmarx.com/blog/this-new-supply-chain-attack-technique-can-trojanize-all-your-cli-commands/