Исследователь безопасности нашел умный способ взломать Apple, Tesla и более 30 других крупных компаний, используя новый подход к программному обеспечению с открытым исходным кодом.
Microsoft, PayPal, Shopify, Netflix, Yelp и Uber были среди других компаний, которые обнаружили нарушения в своих внутренних системах при проверке концепции …
Образный подход использовал тот факт, что системы многих крупных компаний используют программное обеспечение с открытым исходным кодом из общедоступных репозиториев. Bleeping Computer объясняет:
Атака заключалась в загрузке вредоносных программ в репозитории с открытым исходным кодом, включая PyPI, npm и RubyGems, которые затем автоматически распределялись вниз по потоку во внутренние приложения компании.
В отличие от традиционных атак типа сквоттинга, основанных на тактике социальной инженерии или неправильном написании жертвой имени пакета, эта конкретная атака цепочки поставок является более сложной, поскольку она не требует никаких действий со стороны жертвы, которая автоматически получила вредоносные пакеты. Это связано с тем, что атака использовала уникальный конструктивный недостаток экосистем с открытым исходным кодом, называемый путаницей зависимостей. […]
В прошлом году исследователь безопасности Алекс Бирсан натолкнулся на идею, работая с другим исследователем Джастином Гарднером. Гарднер поделился с Бирсаном файлом манифеста package.json из пакета npm, используемого внутри PayPal.
Бирсан заметил, что некоторые из пакетов файлов манифеста не присутствовали в общедоступном репозитории npm, а были вместо этого частными пакетами npm, созданными PayPal, которые используются и хранятся внутри компании.
Увидев это, исследователь задался вопросом, должен ли пакет с таким же именем существовать в общедоступном репозитории npm в дополнение к частному репозиторию NodeJS, какой из них получит приоритет?
Вскоре он нашел ответ: публичные пакеты имели приоритет, поэтому простая загрузка поддельных пакетов с такими же именами приводила к их автоматической загрузке. В некоторых случаях ему приходилось добавлять номера более поздних версий, чтобы инициировать загрузку.
Стоит прочитать полную запись, в которой объясняется, как Бирсан смог доказать, что пакеты были установлены, не вызывая никаких предупреждений.
Конечно, поддельные пакеты были безвредны, и Бирсан предупредил компании, как только получил подтверждение об успешном проникновении. Он получил более 130 тысяч долларов в виде вознаграждения за ошибки, и Apple подтвердила, что он будет вознагражден ими.
