Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

PoC исследователя породил волну эксплоитов для осуществления атак

15/02/21

hack11-4За последнюю неделю в репозитории NPM появилось более двух сотен новых пакетов, имитирующих PoC исследователя, которому удалось взломать более 35 крупных технологических компаний.

Речь идет о новом типе атаки на цепочку поставок под названием «несоответствие используемых зависимостей» или «подстановочная атака» (dependency confusion), ранее описанной ИБ-экспертом Алексом Бирсаном (Alex Birsan) и отдельно Microsoft. С помощью этой атаки исследователь смог запустить вредоносный код на системах десятков крупных технологических компаний, в том числе Microsoft, Apple, PayPal, Tesla, Uber, Yelp и Shopify.

Метод предполагает эксплуатацию конструктивной недоработки в безопасности хранилищ открытого кода для подмены частных зависимостей, используемых крупными компаниями. Зарегистрировав имена внутренних библиотек в общедоступных каталогах пакетов с открытым исходным кодом, Бирсан успешно внедрил вредоносный код в такие репозитории как npm, PyPI и RubyGems, из которых впоследствии его ПО распространялось дальше по цепочке доставки обновлений.

Как сообщили специалисты компании Sonatype, спустя 48 часов после публикации исследования Бирсана репозиторий NPM наводнили пакеты, имитирующие PoC эксперта, с пометкой «только для исследовательских целей». Специалисты полагают, что таким образом подражатели пытаются получить вознаграждения в рамках программ по поиску уязвимостей.

«Вполне ожидаемо, что другие «охотники за уязвимостями» или даже злоумышленники начнут загружать пакеты, и я не могу влиять на их действия», - пояснил Бирсан в разговоре с изданием Bleeping Computer.

По словам специалистов Sonatype, большинство из опубликованных пакетов-имитаторов содержат идентичный код, отправляющий DNS-запросы на сервер Бирсана, обладают той же структурой, наименованием версий и комментариями в коде. Хотя исследователи не обнаружили вредоносных пакетов, они предупредили, что злоумышленники вполне могут воспользоваться ситуацией в своих целях, и если администраторы открытых репозиториев не внедрят надежные механизмы проверки при публикации пакетов, «подстановочные атаки» станут серьезным подспорьем для более сложных вредоносных кампаний.

Темы:MicrosoftУгрозыPoC-эксплоиты

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором

Еще темы...