15/02/21
За последнюю неделю в репозитории NPM появилось более двух сотен новых пакетов, имитирующих PoC исследователя, которому удалось взломать более 35 крупных технологических компаний.
Речь идет о новом типе атаки на цепочку поставок под названием «несоответствие используемых зависимостей» или «подстановочная атака» (dependency confusion), ранее описанной ИБ-экспертом Алексом Бирсаном (Alex Birsan) и отдельно Microsoft. С помощью этой атаки исследователь смог запустить вредоносный код на системах десятков крупных технологических компаний, в том числе Microsoft, Apple, PayPal, Tesla, Uber, Yelp и Shopify.
Метод предполагает эксплуатацию конструктивной недоработки в безопасности хранилищ открытого кода для подмены частных зависимостей, используемых крупными компаниями. Зарегистрировав имена внутренних библиотек в общедоступных каталогах пакетов с открытым исходным кодом, Бирсан успешно внедрил вредоносный код в такие репозитории как npm, PyPI и RubyGems, из которых впоследствии его ПО распространялось дальше по цепочке доставки обновлений.
Как сообщили специалисты компании Sonatype, спустя 48 часов после публикации исследования Бирсана репозиторий NPM наводнили пакеты, имитирующие PoC эксперта, с пометкой «только для исследовательских целей». Специалисты полагают, что таким образом подражатели пытаются получить вознаграждения в рамках программ по поиску уязвимостей.
«Вполне ожидаемо, что другие «охотники за уязвимостями» или даже злоумышленники начнут загружать пакеты, и я не могу влиять на их действия», - пояснил Бирсан в разговоре с изданием Bleeping Computer.
По словам специалистов Sonatype, большинство из опубликованных пакетов-имитаторов содержат идентичный код, отправляющий DNS-запросы на сервер Бирсана, обладают той же структурой, наименованием версий и комментариями в коде. Хотя исследователи не обнаружили вредоносных пакетов, они предупредили, что злоумышленники вполне могут воспользоваться ситуацией в своих целях, и если администраторы открытых репозиториев не внедрят надежные механизмы проверки при публикации пакетов, «подстановочные атаки» станут серьезным подспорьем для более сложных вредоносных кампаний.
