Специалист по безопасности Алекс Бирсан сумел взломать внутренние системы более чем 35 крупных компаний, включая Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber, в ходе новой атаки на цепочку поставок программного обеспечения.
В отличие от традиционных атак типа typesquatting, основанных на тактике социальной инженерии или жертве, неправильно пишущей имя пакета, эта конкретная атака цепочки поставок является более сложной, поскольку она не требует каких-либо действий со стороны жертвы, которая автоматически получает вредоносные пакеты.
Это происходит потому, что атака использовала уникальный недостаток дизайна в экосистемах с открытым исходным кодом, называемый путаницей зависимостей.
В прошлом году исследователь безопасности Алекс Бирсан придумал эту идею, работая с другим специалистом в этой области, Джастином Гарднером, который поделился с ним файлом манифеста пакета.Json из пакета npm, используемого внутри PayPal.
Бирсан заметил, что некоторые пакеты файлов манифеста отсутствовали в публичном репозитории npm, но были частными пакетами npm, созданными PayPal, которые используются и хранятся внутри.
Увидев это, исследователь задался вопросом, должен ли пакет с таким же именем существовать в публичном репозитории npm в дополнение к частному репозиторию NodeJS, какой из них получит приоритет?
Чтобы проверить эту гипотезу, Бирсан начал искать имена частных внутренних пакетов, которые он мог найти в файлах манифестов в репозиториях GitHub или в CDN известных компаний, но не существовали в публичных репозиториях пакетов с открытым исходным кодом.
Затем исследователь начал создавать поддельные проекты с теми же именами в репозиториях с открытым исходным кодом, таких как npm, PyPI и RubyGems.
Каждый пакет, опубликованный Бирсаном, был сделан под его реальным аккаунтом и явно имел отказ от ответственности, гласящий:" Этот пакет предназначен для исследований безопасности и не содержит никакого полезного кода."
Бирсан вскоре понял, что если пакет зависимостей, используемый приложением, существует как в публичном репозитории пакетов с открытым исходным кодом, так и в частной сборке, то публичный пакет получит приоритет и будет извлечен вместо него-без какого-либо вмешательства разработчика.
В некоторых случаях, как и в случае с пакетами PyPI, исследователь заметил, что пакет с более высокой версией будет иметь приоритет независимо от того, где он находится.
Используя эту технику, Бирсан провел успешную атаку на цепочки поставок Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp и Uber, просто опубликовав общедоступные пакеты с тем же названием, что и внутренние пакеты компании.
В общей сложности исследователю удалось заработать более 130 000 долларов, участвуя в программах bug bounty.
