Исследователь безопасности взломал внутренние системы таких крупных компаний, как Apple, Microsoft, PayPal и других, используя атаку на цепочку поставок, которую он назвал «путаницей зависимости».
Атака использовала недостаток, присущий многим популярным установщикам, используемым разработчиками для пакетов и зависимостей. Загрузив вредоносное ПО в репозитории с открытым исходным кодом, исследователь Алекс Бирсан смог обманом заставить этих установщиков загрузить его вредоносный код, согласно описанию, которое он опубликовал на Medium.
В случае с Apple Бирсан смог взломать несколько машин во внутренней сети компании после того, как они загрузили вредоносный код в пакете Node, который он загрузил в npm, менеджер пакетов для JavaScript. В частности, Бирсан смог взломать проекты, связанные с системой аутентификации Apple ID.
Apple сообщила исследователю, что уязвимость могла быть использована для удаленного выполнения кода на серверах Apple. Когда Бирсан спросил, мог ли злоумышленник внедрить бэкдоры в Apple ID, компания ответила, что «создание бэкдора в операционной службе требует более сложной последовательности событий и является очень специфическим термином, имеющим дополнительные коннотации».
Технический гигант из Купертино устранил уязвимость в течение двух недель после обнаружения. Хотя он сообщил об ошибке Apple в августе 2020 года, Бирсан сказал, что он только что получил вознаграждение за ошибку до того, как было написано Medium в феврале 2021 года.
Атака цепочки поставок основана на доверии многих разработчиков к этим установщикам пакетов, которые могут включать npm, Python pip и Ruby RubyGems. Другой ключевой фактор — использование внутренних пакетов, которых нет в публичных репозиториях. Загрузив часть вредоносного ПО под именами этих внутренних пакетов, Бирсан смог обманом заставить некоторые программы загружать его вредоносный код вместо законных пакетов. Он использовал DNS для скрытого извлечения данных.
Бирсан работал только в рамках программ компании по выявлению ошибок и собирал только неконфиденциальные данные из скомпрометированных систем, но его исследование позволило выявить недостатки во многих внутренних конфигурациях компании.
Всего на сегодняшний день исследователь обнаружил уязвимости путаницы зависимостей внутри 35 организаций. Подавляющее большинство из них — компании, в которых работает более 1000 сотрудников, что он объясняет «более высокой распространенностью использования внутренних библиотек в более крупных организациях».
Бирсан заработал более 130 000 долларов в виде вознаграждений за ошибки. Платежи по 30 000 долларов каждая поступили от Shopify, Apple и PayPal. В случае Microsoft исследование Бирсана принесло ему наибольшую сумму в 40 000 долларов. Microsoft также выпустила официальный документ по этой проблеме.
Исследователь также считает, что проблема будет и дальше нарастать.
«В частности, я считаю, что поиск новых и умных способов утечки внутренних имен пакетов раскроет еще более уязвимые системы, а изучение альтернативных языков программирования и целевых репозиториев откроет некоторую дополнительную поверхность атаки для ошибок путаницы зависимостей», — написал Бирсан.
