一种具有严重后果的新型供应链攻击是蓬勃发展的

2021-03-07 10:33:21

上个月推出的新型供应链攻击是越来越多的公司,本周旨在瞄准Microsoft,Amazon,Slack,Lyft,Zillow和其他人未知数量的新一轮。在过去的几周内,Apple,Microsoft,Tesla和32家其他公司都是通过类似的攻击来实现,允许安全研究员在其网络内执行未经授权的代码。

对微软的最新攻击也被研究人员作为概念验证。相比之下,攻击瞄准亚马逊,松弛,Lyft和Zillow的攻击是恶意的,但如果他们成功地在他们的网络里面执行恶意软件,则目前尚不清楚。同时,NPM和PyPi开源代码代码存储库已被泄密,这是一个以上的概念验证包,根据SONATYPE,这是一家帮助客户保护他们开发的应用程序的公司。

“考虑到SONATYPE自动恶意软件检测系统被拾取的每日可疑NPM套餐,我们只预计这一趋势会增加,对依赖依赖情绪进行更加险恶的活动,”索文型研究人员斧头SHARMA本周早些时候写道。“

这些攻击的目标是在目标内部软件构建系统内执行未经授权的代码。该技术通过将恶意软件包上传到公共代码存储库,并给予它们与存储在目标开发人员内部存储库中存储的程序包相同的名称。开发人员的软件管理应用程序通常有利于内部的外部代码库,因此他们下载并使用恶意包而不是受信任的包。 Alex Birsan-欺骗苹果和其他34家公司运行他上传到NPM和Pypi-Dubbed新型供应链攻击依赖性混淆或命名空间混乱的研究人员,因为它依赖于误导性的软件依赖性名字。

软件依赖项是代码库,即应用程序必须合并其工作。通常,开发人员密切保护其软件构建系统内的依赖项的名称。但是Birsan发现,当Package.json文件 - 嵌入到公共脚本文件中,该名称常常泄漏。包含Require()编程调用的内部路径和公共脚本也可以泄漏依赖项名称。

如果在公共存储库中不可用具有相同名称的文件中,Hackers可以上传恶意软件包并给出与在内部存储的正宗文件高的文件名和版本号。在许多情况下,开发人员要么意外使用恶意库,或者他们的构建应用程序会自动执行。

“这是一个光滑的攻击,”网络发现平台隆隆的联合创始人兼首席执行官HD Moore“。 “我的猜测是影响了一大吨的人。”他补充说,大多数风险都是使用大量内部包的组织,并且不采取特殊步骤以防止公共包替换内部包。

在Birsan发表了他的发现之后,依赖混乱袭击已经蓬勃发展。通过在网络中执行Birsan未经授权的包的验证攻击已经达到了击中,微软最近陷入了第二次攻击,该攻击是由研究人员从坚定的对比度安全完成的。

与对比度的安全研究总监Matt Austin表示,他首先寻找微软团队桌面应用程序中使用的依赖项。查找名为“可选依赖项”的JavaScript包后,他抓住了在某种程度上获取团队开发机下载并运行他投入NPM的包裹。该包使用与列为可选依赖性的模块相同的名称。

在此之后不久,脚本奥斯汀投入模块开始从几个内部Microsoft IP地址与他联系。奥斯汀写道:

我看到的响应是自动化的还是手动,我能够产生这种反应的事实会带来显着的风险。通过利用后安装后脚本,我能够在安装的任何环境中执行代码。如果攻击者要执行代码,我在构建服务器上为即将分发的桌面应用程序更新,他们可以插入他们想要的任何更新,并且该代码将使用团队的每个桌面 - 超过1.15亿台机器。这样的攻击可能具有巨大的影响,可能影响许多组织作为对12月透露的Solarwinds软件工厂的大规模攻击。

他提供了下图,说明了恶意攻击如何在这种理论场景下工作:

一个Microsoft发言人写道:“作为我们更大努力减轻包装替代攻击的一部分,我们很快确定了提到的问题并解决了它,并且在任何时候都没有对我们的客户构成严重的安全风险。”发言人补充说,执行奥斯汀代码的系统是公司安全测试基础架构的一部分。微软更多地有关于在这里减轻它们的风险和方法。

就像Birsan和Austin上传的软件包一样,淹没了NPM和PYPI的数千个文件主要包含良性脚本,该良好脚本将研究人员发送了运行它们的计算机的IP地址和其他通用详细信息。

但并非所有上传都观察到这种克制。周一,SONATYPE研究人员报告了上传到NPM的文件,该文件试图窃取来自包括亚马逊,松弛,Lyft和Zillow等公司的密码哈希和Bash脚本历史。

鉴于依赖/命名空间劫持问题的性质,依赖于受害者的性质,鉴于依赖/命名空间劫持问题,“索文型研究员的研究员,索文型的研究人员,就会发生这些活动并不需要受害者的行动。

BASH历史记录,管理员键入计算机的存储命令和其他输入通常包含明文密码和其他敏感数据。存储在Linux计算机/ etc / shadow路径中的文件存储访问计算机上用户帐户所需的密码所需的密码哈希。 (对于要泄露的哈希,NPM应用程序必须以超级用户模式运行,这是一个几乎从未给予软件管理应用程序的非常高昂的特权集。)

SONATYPE表示,它没有办法了解文件是否由脚本所针对的任何公司执行。

有问题的模仿图书馆不是Slack产品的一部分,也不是懈怠或支持的。我们没有理由认为恶意软件在生产中执行。我们的安全团队定期扫描我们产品中使用的依赖项,内部和外部工具可防止攻击这种性质。此外,Slack的安全开发实践,例如在使用私人依赖项时使用私有范围,使得依赖相关的攻击不太可能对我们的产品成功。

Lyft声明阅读:“Lyft在这次尝试中没有伤害。没有迹象表明这种恶意软件在Lyft网络上执行。 Lyft拥有专用信息安全程序,以防御此类供应链攻击,并运行一个活动的错误赏金程序,以便连续测试其安全控制。“

我们知道最近的安全报告,涉及涉及欺骗软件包的可能攻击。在我们的安全团队调查后,我们发现没有证据表明我们的系统受到所透明的技术遭到影响或利用的证据。我们的团队还采取了一些行动来监测和捍卫未来可能的尝试,以获得未经授权访问我们的系统。

同时,NPM的代表写道:“我们提供了有关如何最好地防止这些博客文章中这些类型的替代攻击的指导。 我们致力于保持NPM安全,并继续提高生态系统的安全性。“ 亚马逊代表没有回复寻求评论的电子邮件。 PYPI的代表没有立即发表评论。 最近对网络工具提供商太阳风的影响 - 这损失了德克萨斯州公司的软件构建系统,并用它来分配给18,000名客户的恶意更新 - 这是一种缺点,供应侧攻击可能导致可能导致的损坏。 除非开发人员采取预防措施,否则依赖混乱攻击有可能造成更多伤害。