Attaque de la chaîne d'approvisionnement

Les acteurs de la menace ciblent les applications Amazon, Zillow, Lyft et Slack NodeJS en utilisant une nouvelle vulnérabilité de «confusion de dépendance» pour voler des fichiers de mots de passe Linux / Unix et ouvrir des shells inversés pour les attaquants.

Un ordinateur signalé au chercheur en sécurité Alex Birsan le mois dernier gagne des primes de bogues de 35 entreprises en utilisant un nouveau bogue dans les outils de développement open source.

Cette erreur se produit lorsque des attaquants créent des packages qui utilisent les mêmes noms que les référentiels ou composants internes d’une entreprise. Lorsque les gestionnaires de dépendances sont hébergés dans des référentiels publics tels que npm, PyPI et RubyGems, ils utilisent les packages dans le référentiel public plutôt que les packages internes de l’entreprise lors de la création de l’application.

Cette «confusion de dépendance» permettrait à un attaquant d’insérer son propre code malveillant dans une application interne en cas d’attaque de la chaîne d’approvisionnement.

Les acteurs de la menace commencent à utiliser la confusion des dépendances

Depuis notre rapport, BleepingComputer attend que des acteurs malveillants profitent de cette nouvelle vulnérabilité pour livrer des paquets malveillants.

Alors que nous avons vu De nombreux chercheurs en sécurité incarnent le travail de Birsan En créant des PoC inoffensifs pour gagner des primes de bogues, nous n’avions vu aucune activité malveillante.

À ce jour, la société de sécurité open source Sonatype a découvert des packages malveillants ciblant des applications liées à Amazon, Zillow, Lyft et Slack pour voler des mots de passe et ouvrir des shells distants.

« J’ai commencé à me demander quand un acteur malveillant profiterait de la situation actuelle. Nous en avons finalement trouvé un. »

« Il n’y a pas de scénario dans lequel je puisse penser à l’endroit où je soumettrai un PoC pour un programme de primes de bogues qui nuit réellement à l’organisation. / etc / shadow Le fichier est définitivement malveillant », a déclaré Juan Aguirre, chercheur en sécurité chez Sonatype nouveau rapport.

Ces packages malveillants sont appelés ‘amzn ‘, ‘zg-locations ‘, ‘lyft-dataset-sdk ‘, ‘Application Slack sans serveur ‘ et utilisez des noms similaires aux référentiels populaires sur GitHub [1, 2] et autre Projets.

Lorsque les acteurs de la menace ont créé leurs NPM malveillants, ils ont utilisé les PoC d’origine de Birsan comme modèle, mais ont ajouté un code malveillant.

«Vous commencez avec presque la même base de code que le PoC publié par le chercheur Alex Birsan et devenez progressivement créatif», explique Aguirre.

Par exemple, les packages NPM ‘amzn’ et ‘zg-locations’ non seulement volent le fichier de mot de passe / etc / shadows (ligne 5 ci-dessous) et le renvoient aux attaquants (ligne 42), mais ouvrent également un shell distant (ligne 42). Ligne 26), qui donne aux acteurs de la menace un accès illimité au système.

Paquet Amzn malveillant
Paquet Amzn malveillant

Le ‘lyft-dataset-sdk’ et le ‘serverless-slack-app’ semblent provenir d’un autre auteur et volent à la place un profil Linux .bash_history Archivez et envoyez-le à un hôte distant sous le contrôle de l’attaquant.

L'application Slack sans serveur vole le fichier .bash_history
L’application Slack sans serveur vole le fichier .bash_history

Vous vous demandez peut-être pourquoi un attaquant voudrait voler un fichier .bash_history?

Parce que le fichier d’historique contient une liste de toutes les commandes que vous avez entrées dans le shell, y compris les mots de passe passés en arguments, voler le fichier .bash_history est une erreur technique connue Utilisé par les attaquants pour recueillir des informations d’identification.

Compte tenu de la nature ouverte et publique des référentiels et de la facilité avec laquelle ils peuvent créer des attaques sur la confusion des dépendances, nous devons nous attendre à ce que ce type d’attaque se poursuive jusqu’à ce que les développeurs d’applications sauvegardent leurs fichiers de configuration.

Microsoft a un livre blanc intitulé « 3 façons d’atténuer le risque lié à l’utilisation de flux de paquets privés«Cela donne des conseils sur la façon de prévenir ces types d’attaques de la chaîne d’approvisionnement.

Sonatype en a un aussi scénario Les utilisateurs de Nexus Repository Manager peuvent l’utiliser pour vérifier que leurs dépendances privées sont nommées d’après les packages existants dans les référentiels publics.



Source link

Recent Posts