Etický hacker Alex Birsan vyvinul způsob, jak vložit škodlivý kód do vývojářských open-source nástrojů, aby využil závislosti v interních aplikacích organizací.

Etický hacker prokázal nový útok na dodavatelský řetězec, který narušil systémy více než 35 technologických hráčů, včetně Microsoft, Apple, PayPal, Shopify, Netflix, Tesla a Uber, využitím veřejných vývojových nástrojů s otevřeným zdrojovým kódem.

Útok navržený bezpečnostním výzkumníkem Alexem Birsanem injektuje škodlivý kód do běžných nástrojů pro instalaci závislostí ve vývojářských projektech, které obvykle využívají veřejná úložiště ze stránek jako GitHub. Škodlivý kód pak používá tyto závislosti k šíření malwaru prostřednictvím interních aplikací a systémů cílové společnosti.

Jakmile se svým útokem začal zaměřovat na společnosti, „úspěšnost byla prostě ohromující,“ uvedl Birsan v příspěvku, který podrobně popisuje útok.

Zranitelnost, kterou zneužil a kterou nazval zmatek závislosti, byla zjištěna zatím ve více než 35 organizacích ve třech testovaných programovacích jazycích – Pythonu, Ruby a Javě.

“Drtivá většina postižených společností spadá do kategorie 1000+ zaměstnanců, což s největší pravděpodobností odráží vyšší prevalenci interního používání knihoven ve větších organizacích,” poznamenal Birsan.

Výzkumník obdržel více než 130 000 dolarů v odměnách za chyby a v předem schválených finančních dohodách s cílovými organizacemi, které všechny souhlasily s testováním. Původní cíl hackera PayPal, stejně jako Shopify a Apple, přispěly k této částce částkou 30 000 dolarů.

Birsan řekl, že přišel s nápadem prozkoumat důvěru, kterou vývojáři vložili do „jednoduchého příkazu“, „pip install package_name“, který běžně používají v programovacích jazycích jako Python, Node, Ruby a dalších k instalaci závislostí nebo bloků kódu sdíleného mezi projekty.

Tyto instalační programy – například Python Package Index pro Python nebo npm a registr npm pro Node – jsou obvykle svázány s veřejnými úložišti kódu, kde může kdokoli volně nahrávat balíčky kódu pro ostatní, uvedl Birsan.

Všiml si však, že používání těchto balíčků přináší úroveň důvěryhodnosti, že kód je autentický a není škodlivý.

“Při stahování a používání balíčku z kteréhokoli z těchto zdrojů v zásadě důvěřujete jeho vydavateli, že na vašem počítači spustí kód,” napsal Birsan. “Může tedy být tato slepá důvěra zneužita hackery?”

Přečtěte si více na: threatpost.com

Obrázek: macrovector/Freepik