Подражатели имитируют новую атаку на цепочку поставок в попытке заработать вознаграждение

13 февраля 2021 года

За последнюю неделю в репозитории NPM появилось более двух сотен новых пакетов, имитирующих PoC исследователя, которому удалось взломать более 35 крупных технологических компаний.

Речь идет о новом типе атаки на цепочку поставок под названием «несоответствие используемых зависимостей» или «подстановочная атака» (dependency confusion), ранее описанной ИБ-экспертом Алексом Бирсаном (Alex Birsan) и отдельно Microsoft. С помощью этой атаки исследователь смог запустить вредоносный код на системах десятков крупных технологических компаний, в том числе Microsoft, Apple, PayPal, Tesla, Uber, Yelp и Shopify.

Метод предполагает эксплуатацию конструктивной недоработки в безопасности хранилищ открытого кода для подмены частных зависимостей, используемых крупными компаниями. Зарегистрировав имена внутренних библиотек в общедоступных каталогах пакетов с открытым исходным кодом, Бирсан успешно внедрил вредоносный код в такие репозитории как npm, PyPI и RubyGems, из которых впоследствии его ПО распространялось дальше по цепочке доставки обновлений.

Как сообщили специалисты компании Sonatype, спустя 48 часов после публикации исследования Бирсана репозиторий NPM наводнили пакеты, имитирующие PoC эксперта, с пометкой «только для исследовательских целей». Специалисты полагают, что таким образом подражатели пытаются получить вознаграждения в рамках программ по поиску уязвимостей.

«Вполне ожидаемо, что другие «охотники за уязвимостями» или даже злоумышленники начнут загружать пакеты, и я не могу влиять на их действия», - пояснил Бирсан в разговоре с изданием Bleeping Computer.

По словам специалистов Sonatype, большинство из опубликованных пакетов-имитаторов содержат идентичный код, отправляющий DNS-запросы на сервер Бирсана, обладают той же структурой, наименованием версий и комментариями в коде. Хотя исследователи не обнаружили вредоносных пакетов, они предупредили, что злоумышленники вполне могут воспользоваться ситуацией в своих целях, и если администраторы открытых репозиториев не внедрят надежные механизмы проверки при публикации пакетов, «подстановочные атаки» станут серьезным подспорьем для более сложных вредоносных кампаний.

Источники

править
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.