Microsoft предупредила о новом типе атак на цепочку поставок

Microsoft предупредила о новом типе атак на цепочку поставок

Суть «атаки с подменой» заключается во вмешательстве в процесс разработки приложения в корпоративной среде.

Специалисты компании Microsoft предупредили предприятия о новом типе атаки под названием «несоответствие используемых зависимостей» (dependency confusion) или «атака с подменой» (substitution attack), суть которого заключается во вмешательстве в процесс разработки приложения в корпоративной среде.

В настоящее время разработчики как в небольших, так и в крупных компаниях при создании корпоративных приложений используют пакетные менеджеры для загрузки и импорта библиотек, которые затем ассемблируются вместе с помощью инструментов для разработки. Эти корпоративные приложения предлагаются клиентам компании или могут использоваться сотрудниками для внутренних нужд.

Иногда в зависимости от предназначения в приложениях также может содержаться проприетарный или чувствительный код. Для таких программ как правило используются приватные библиотеки, хранящиеся в закрытых (внутренних) репозиториях внутри сетей самой компании. В процессе их создания разработчики совмещают приватные библиотеки с публичными, загруженными из открытых порталов с пакетами, таких как PyPI, NuGe и пр. По словам специалистов Microsoft, подобной смешанной средой разработки в больших корпорациях могут воспользоваться киберпреступники, осуществив атаку «несоответствие используемых зависимостей».

Как пояснили эксперты, узнав имена приватных библиотек, использующихся в процессе разработки корпоративных приложений, злоумышленники могут зарегистрировать их в открытых репозиториях пакетов и загрузить публичные библиотеки с вредоносным кодом.

Атака «несоответствие используемых зависимостей» происходит тогда, когда разработчики создают свои приложения в корпоративной среде, а их пакетные менеджеры приоритизируют вредоносные библиотеки из публичных репозиториев вместо внутренних библиотек с теми же названиями.

С целью проверить свое предположение исследователи решили выявить ситуации, когда крупные технологические компании случайно раскрывали имена различных внутренних библиотек, и зарегистрировать эти библиотеки в репозиториях пакетов наподобие npm, RubyGems и PyPI. В результате им удалось загрузить свой код (не вредоносный) в приложения, используемые 35 крупными компаниями, в том числе Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Uber и пр.

Помимо RubyGems и PyPI проблема также затрагивает другие менеджеры пакетов, такие как JFrog, Maven Central и NuGet. Исследователи уведомили о ней все затронутые компании и создателей пакетных менеджеров.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь