- npm (le gestionnaire de packages Node.js)
- pip (le programme d'installation du package Python)
- git (un système de contrôle de version)
- kubectl (un outil de ligne de commande Kubernetes)
- terraform (un outil Infrastructure as Code)
- gcloud (l'interface de ligne de commande de Google Cloud)
- heroku (l'interface de ligne de commande Heroku)
- dotnet (l'interface de ligne de commande pour .NET Core)
« Chacune de ces commandes est largement utilisée dans divers environnements de développement, ce qui en fait des cibles attrayantes pour les attaquants cherchant à maximiser l'impact de leurs packages malveillants », indique le rapport.
Une autre tactique de détournement de commandes a été surnommée « enveloppement de commandes ». Au lieu de remplacer une commande, un attaquant crée un point d’entrée qui agit comme un wrapper autour de la commande d’origine. Cette approche furtive permet aux attaquants de conserver un accès à long terme et potentiellement d'exfiltrer des informations sensibles sans éveiller les soupçons, indique le rapport. Cependant, ajoute-t-il, la mise en œuvre du wrapper de commandes nécessite des recherches supplémentaires de la part de l’attaquant. Ils doivent comprendre les chemins corrects pour les commandes ciblées sur différents systèmes d'exploitation et tenir compte des erreurs potentielles dans leur code. Cette complexité augmente avec la diversité des systèmes ciblés par l’attaque.
Une troisième tactique consisterait à créer des plugins malveillants pour les outils et frameworks populaires. Par exemple, si un attaquant souhaitait cibler le framework de test pytest de Python, il créerait un plugin qui semble être un utilitaire d'aide aux tests utilisant le point d'entrée de pytest. Le plugin pourrait alors exécuter du code malveillant en arrière-plan, ou permettre à un code bogué ou vulnérable de passer des contrôles de qualité.