| 10 февраля 2021 г. — 5:58 PT
Исследователь безопасности нашел умный способ взломать Apple, Tesla и более 30 других крупных компаний, используя новый подход с использованием программного обеспечения с открытым исходным кодом.
Microsoft, PayPal, Shopify, Netflix, Yelp и Uber были среди других компаний, чьи внутренние системы были скомпрометированы в рамках доказательства концепции…
Изобретательный подход использовал тот факт, что системы многих крупных компаний используют программное обеспечение с открытым исходным кодом из общедоступных репозиториев. Bleeping Computer объясняет:
Атака заключалась в загрузке вредоносного ПО в репозитории с открытым исходным кодом, включая PyPI, npm и RubyGems, которое затем автоматически распространялось дальше во внутренние приложения компании.
В отличие от традиционных атак с тайпоскваттингом, которые полагаются на методы социальной инженерии или на то, что жертва неправильно набирает имя пакета, эта конкретная атака на цепочку поставок является более сложной, поскольку она не требовала никаких действий со стороны жертвы, которая автоматически получала вредоносные пакеты. Это связано с тем, что атака использовала уникальный конструктивный недостаток экосистем с открытым исходным кодом, называемый зависимостью от путаницы […]
В прошлом году исследователь безопасности Алекс Бирсан пришел к идее, работая с другим исследователем Джастином Гарднером. Гарднер поделился с Бирсаном манифест-файлом, package.json, из пакета npm, используемого PayPal внутри компании.
Бирсан заметил, что некоторые пакеты из манифеста не присутствовали в общедоступном репозитории npm, а вместо этого были частными пакетами npm, созданными PayPal, используемыми и хранимыми внутри компании.
Увидев это, исследователь задался вопросом: если бы пакет с таким же именем существовал в общедоступном репозитории npm, а также в частном репозитории NodeJS, какой из них получил бы приоритет?
Вскоре он нашел ответ: приоритет отдавался общедоступным пакетам, поэтому простая загрузка поддельных пакетов с теми же именами приводила к их автоматическому скачиванию. В некоторых случаях ему приходилось добавлять более поздние номера версий, чтобы вызвать загрузку.
Полная статья стоит того, чтобы ее прочитать, так как в ней объясняется, как Бирсану удалось доказать, что пакеты были установлены без срабатывания каких-либо оповещений.
Конечно, поддельные пакеты были безвредными, и Бирсан уведомил компании, как только получил подтверждение успешного проникновения. Он получил более 130 тысяч долларов в виде вознаграждений за обнаружение ошибок, при этом Apple подтвердила, что они его вознаградят.