Microsoft предупредила о новом типе атак на цепочку поставок
10 февраля 2021 года
Специалисты компании Microsoft предупредили предприятия о новом типе атаки под названием «несоответствие используемых зависимостей» (dependency confusion) или «атака с подменой» (substitution attack), суть которого заключается во вмешательстве в процесс разработки приложения в корпоративной среде.
В настоящее время разработчики как в небольших, так и в крупных компаниях при создании корпоративных приложений используют пакетные менеджеры для загрузки и импорта библиотек, которые затем ассемблируются вместе с помощью инструментов для разработки. Эти корпоративные приложения предлагаются клиентам компании или могут использоваться сотрудниками для внутренних нужд.
Иногда в зависимости от предназначения в приложениях также может содержаться проприетарный или чувствительный код. Для таких программ как правило используются приватные библиотеки, хранящиеся в закрытых (внутренних) репозиториях внутри сетей самой компании. В процессе их создания разработчики совмещают приватные библиотеки с публичными, загруженными из открытых порталов с пакетами, таких как PyPI, NuGe и пр. По словам специалистов Microsoft, подобной смешанной средой разработки в больших корпорациях могут воспользоваться киберпреступники, осуществив атаку «несоответствие используемых зависимостей».
Как пояснили эксперты, узнав имена приватных библиотек, использующихся в процессе разработки корпоративных приложений, злоумышленники могут зарегистрировать их в открытых репозиториях пакетов и загрузить публичные библиотеки с вредоносным кодом.
Атака «несоответствие используемых зависимостей» происходит тогда, когда разработчики создают свои приложения в корпоративной среде, а их пакетные менеджеры приоритизируют вредоносные библиотеки из публичных репозиториев вместо внутренних библиотек с теми же названиями.
С целью проверить свое предположение исследователи решили выявить ситуации, когда крупные технологические компании случайно раскрывали имена различных внутренних библиотек, и зарегистрировать эти библиотеки в репозиториях пакетов наподобие npm, RubyGems и PyPI. В результате им удалось загрузить свой код (не вредоносный) в приложения, используемые 35 крупными компаниями, в том числе Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Uber и пр.
Помимо RubyGems и PyPI проблема также затрагивает другие менеджеры пакетов, такие как JFrog, Maven Central и NuGet. Исследователи уведомили о ней все затронутые компании и создателей пакетных менеджеров.
Источники
править| Эта статья содержит материалы из статьи «Microsoft предупредила о новом типе атак на цепочку поставок», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
