L'étape Registres & publication de la chaîne logicielle regroupe 5 vecteurs d'attaque, ancrés dans CNCF Publishing Infrastructure. Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.
Account takeover d'éditeur
Vol / abus de jeton de publication longue durée
Republication par ver (worm)
Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.
Vecteurs d'attaque
Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.
V-REG-1Account takeover d'éditeur
Le compte d'un éditeur sur un registre (npm, PyPI, conteneurs) est pris (phishing, réutilisation de mot de passe, absence de MFA), permettant de publier des versions malveillantes sous une identité de confiance. C'est le vecteur le plus fréquent des compromissions de paquets.
V-REG-2Vol / abus de jeton de publication longue durée
Un jeton de publication de longue durée fuite (CI, poste, dépôt) et sert à pousser des versions piégées sans interaction avec le compte. La durée de vie excessive du jeton élargit la fenêtre d'abus.
V-REG-3Republication par ver (worm)
Un paquet compromis vole les jetons de publication des mainteneurs qui l'installent et republie automatiquement d'autres paquets, se propageant de proche en proche (cas Shai-Hulud). L'auto-propagation transforme une compromission isolée en épidémie.
V-REG-4Push avec credentials d'éditeur valides
L'attaquant publie avec des identifiants d'éditeur valides (volés ou détournés), rendant la publication indistinguable d'une légitime côté registre. La détection repose alors sur le comportement, pas sur l'authentification.
V-REG-5Compromission du registre / miroir
Le registre de paquets ou un miroir est compromis, permettant d'altérer ou de substituer des artefacts pour tous ses utilisateurs. L'infrastructure de distribution devient le point de défaillance unique.