Confusión de dependencia: otra vulnerabilidad de la cadena de suministro


Confusión de dependencia: otra vulnerabilidad de la cadena de suministro

Alex Birsan escribe acerca de poder instalar malware en application corporativo propietario al nombrar los archivos de código para que sean idénticos a los archivos de código corporativo internos. De una ZDNet artículo:

Hoy en día, los desarrolladores de empresas pequeñas o grandes usan administradores de paquetes para descargar e importar bibliotecas que luego se ensamblan usando herramientas de compilación para crear una aplicación remaining.

Esta aplicación se puede ofrecer a los clientes de la empresa o se puede utilizar internamente en la empresa como una herramienta para los empleados.

Pero algunas de estas aplicaciones también pueden contener código propietario o altamente wise, según su naturaleza. Para estas aplicaciones, las empresas a menudo utilizarán bibliotecas privadas que almacenan dentro de un repositorio de paquetes privado (interno), alojado dentro de la propia purple de la empresa.

Cuando se crean las aplicaciones, los desarrolladores de la empresa mezclarán estas bibliotecas privadas con bibliotecas públicas descargadas de portales de paquetes públicos como npm, PyPI, NuGet u otros.

(…)

Los investigadores demostraron que si un atacante se entera de los nombres de las bibliotecas privadas que se utilizan en el proceso de creación de aplicaciones de una empresa, pueden registrar estos nombres en los repositorios de paquetes públicos y cargar bibliotecas públicas que contienen código malicioso.

El ataque de «confusión de dependencia» tiene lugar cuando los desarrolladores crean sus aplicaciones dentro de entornos empresariales y su administrador de paquetes prioriza la biblioteca (maliciosa) alojada en el repositorio público en lugar de la biblioteca interna con el mismo nombre.

El equipo de investigación dijo que pusieron a prueba este descubrimiento al buscar situaciones en las que las grandes empresas de tecnología filtraron accidentalmente los nombres de varias bibliotecas internas y luego registraron esas mismas bibliotecas en repositorios de paquetes como npm, RubyGems y PyPI.

Con este método, los investigadores dijeron que cargaron con éxito su código (no malicioso) dentro de aplicaciones utilizadas por 35 importantes empresas de tecnología, incluidas empresas como Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Uber y otras.

Ataque inteligente, y uno que le ha valido $ 130K en recompensas por errores.

Más noticias artículos.

Publicado el 23 de febrero de 2021 a las 6:18 AM •
1 comentarios



Enlace a la noticia authentic