恶意代码炸弹目标亚马逊,Lyft,Slack,Zillow

2021-03-04 05:34:22

研究人员发现了针对亚马逊,Lyft,Slack和Zillow(其中)内部应用程序的内部应用程序的恶意软件包 - 所有这些都是exfiltrate敏感信息。

该软件包武器提出了概念验证(PoC)代码依赖性混淆漏洞,最近由安全研究员Alex Birsan将流氓代码注入开发人员项目。

内部开发人员项目通常使用位于私人存储库中的标准,可信代码依赖项。 BIRSAN决定看到如果在像NPM这样的公共存储库中被安置“COPYCCAT”软件包,则会发生什么,与私有合法代码依赖关系相同。

“有可能的一些内部项目是否可以开始默认为新的公共包而不是私人封装?”他问。答案是肯定的。

在Birsan的情况下,他使用良性PoC代码块测试了这种“依赖困惑”。这些被上传到公共存储库 - 他只是坐下来等待看他们是否会导入。他的亨希证明了正确的,展示了如何通过目标公司的内部应用程序和系统进口和传播的外部代码,相对缓解 - 包括Apple,Microsoft,Netflix,PayPal,Shopify,Tesla和Uber。

总的来说,他收到了超过130,000美元的错误赏金,并预先批准与实验的有针对性组织的财务安排,所有人都已同意进行测试。这已经产生了看起来收获发薪日的CopyCat赏金猎人的杂志 - 在Birsan的研究中出版的48小时内上传到NPM存储库中的275多个这样的套餐,根据SONATYPE分析。 Sonatype星期二表示,该号码现已跃升到700多个以上,恶意演员在混合中播出。

“一个道德研究员通常将以与NPM这样的公共存储库的私有依赖性的私人依赖性发布包装,”SONATYPE研究员AX Sharma在接受采访时解释道。 “除了,他们的包裹将包含足够的最小POC代码来展示对供应商的攻击和错误赏金计划。 SONATYPE看到的道德研究包也有声明,表明这些是道德安全研究的一部分,这提供了一些保证。“

“一些依赖困惑的杂志套餐采取了可能被视为”伦理研究“的进一步进一步,通过从事彻底的恶意活动,”沙尔各答解释道。

几个CopyCat包SONATYPE识别EXFILTRATE,例如,用户的.bash_history文件和/ etc / shadow文件。

.bash_history文件包含先前由基于UNIX的OS用户在终端执行的命令列表。除非定期清除,此文件可以包含用户名,密码和其他敏感数据。

同时维护系统上的用户帐户的哈希密码数据/ etc / shadow文件。虽然该文件通常仅限于“超级用户”帐户,但是如果受感染的机器运行具有提升权限的NPM,则可以获得恶意演员。

“这些通常包含高度敏感的信息,应该保持看不见,”Sharma解释说。 “其中一些包也为他们的作者的服务器建立了一个逆境,并且如果这是道德研究的一部分或错误赏金计划,则没有明显的免责声明或指示来澄清。”

加剧这些包中的危险是事实上,这些类型的代码导入自动完成 - 当新版本可用时,开发人员项目将自动从存储库获取它。

“这使得这一趋势更为有问题是依赖困惑 - 因为它非常自然 - 不需要对受害者的一部分,”莎钵解释。 “考虑这些恶意软件包可以共享具有领先组织使用的内部依赖项的名称,它们可以几乎即时将其拉入组织的构建。”

不幸的是,即使他们技术上是私有的,也是相当容易确定这些内部依赖性的内容。

“通常做的道德研究人员是监控组织的公共Github存储库或CDN的代码,”Sharma说。 “此代码可以揭示其内部依赖项的名称(例如,在清单文件中),在NPM,RubyGems或GitHub等公共存储库上没有任何其他可用。至少,这就是Alex Birsan如何做到的,但仍有创意的空间。“

此外,由于CopyCat软件包上传到公共存储库,因此对恶意攻击者的进入几乎没有障碍。这是一个相同的问题,这些问题通常在软件供应链攻击中发现,涉及打字和品牌公共包装。

“任何人 - 道德研究人员或恶意演员 - 可以利用依赖困惑问题,”沙姆拉说。 “什么构成”道德“或不是基本上由演员的意图决定。”

研究人员揭开了针对各种公司的恶意套餐,但四个针对亚马逊,莱特,松弛和Zillow奠定了。

“AMZN”的NPM网页提供了两个相同的恶意包版本,每个版本只包含两个文件:一个名为package.json的清单,以及功能run.js文件。根据研究人员的说法,有与Amazon的GitHub存储库和开源包类似的名称的“Amzn”包。

“Inside Run.js是我们看到正在访问/ etc / shadow文件的内容,并最终将包裹的作者解除到域域互动,”根据分析。 “代码也有作者对他们的服务器打开了一个反向shell,这将在`Amzn`包渗透脆弱的构建时立即生成。”

对于Zillow,Package“Zg-entals”也被同一作者发布到NPM,并且研究人员表示,在“AMZN”包的结构和功能方面是相同的。根据SONATYPE分析,既不提供任何指示或免责声明,他们可以与道德研究努力相关联。

与此同时,恶意“无求休闲 - 应用程序”包也没有明确的迹象,它与道德研究或错误赏金计划相关联。它以一份由阿特拉斯人开发商制作的合法包命名。根据SONATYPY,它包含清单文件的预先安装和Postinstall脚本。

“虽然index.js脚本在预装阶段旋转,但在Birsan的PoC Research包中的一个相同的副本,Postinstall脚本特别有趣,”根据帖子。 “在PostInstall阶段,运行在GitHub上托管的另一个脚本,将用户的.bash_history文件发送到无服务器 - Slack-app后面的作者。”

同一作者发布了一个近似相同的Lyft包,称为Lyft-dataset-sdk,它与Lyft使用的基于Python的包共享名称。

“我开始想知道我们什么时候会看到一个恶意演员利用目前的情况,”SONATYPE安全研究员JUAN AGUIRRE说,在邮寄中。 “最后,我们发现了一个。”

他补充说:“看看最近发布的所有恶意NPM CopyCat软件包是有趣的。你可以看到他们的进化。他们从研究人员Alex Birsan发布的PoC开始,他们开始与同一代码基础相同。他们逐渐开始创造创意。“