En lo que es un nuevo ataque a la cadena de suministro, un investigador de seguridad logró violar los sistemas internos de más de 35 empresas importantes, incluidos Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla y Uber, y logró la ejecución remota de código.

La técnica, llamada confusión de dependencia o ataque de sustitución, aprovecha el hecho de que una pieza de software puede incluir componentes de una combinación de fuentes públicas y privadas.

Estas dependencias de paquetes externos, que se obtienen de repositorios públicos durante un proceso de compilación, pueden representar una oportunidad de ataque cuando un adversario sube una versión superior de un módulo privado a la fuente pública, lo que hace que un cliente descargue automáticamente la versión falsa «más reciente» sin requiriendo cualquier acción del desarrollador.

«Desde los errores únicos cometidos por los desarrolladores en sus propias máquinas hasta los servidores de compilación internos o basados ​​en la nube mal configurados y las canalizaciones de desarrollo sistémicamente vulnerables, una cosa estaba clara: ocupar nombres de paquetes internos válidos era un método casi seguro para ingresar las redes de algunas de las compañías tecnológicas más grandes, obteniendo la ejecución remota de código y posiblemente permitiendo a los atacantes agregar puertas traseras durante las compilaciones «, detalló el investigador de seguridad Alex Birsan en un artículo.

Birsan ha recibido colectivamente más de $ 130,000 en recompensas por errores por sus esfuerzos.

Para llevar a cabo el ataque, Birsan comenzó recopilando nombres de paquetes internos privados utilizados por las principales empresas fuera de GitHub, publicaciones en varios foros de Internet y archivos JavaScript que enumeran las dependencias de un proyecto, y luego cargó bibliotecas maliciosas usando esos mismos nombres para código abierto. servicios de alojamiento de paquetes como npm, PyPI y RubyGems.

«[Shopify’s] El sistema de compilación instaló automáticamente una gema de Ruby llamada ‘shopify-cloud’ solo unas pocas horas después de que la subí, y luego traté de ejecutar el código dentro de ella «, señaló Birsan, agregando un paquete de Nodo que cargó a npm en agosto de 2020 fue ejecutado en múltiples máquinas dentro de la red de Apple, afectando proyectos relacionados con el sistema de autenticación de ID de Apple de la empresa.

Birsan finalmente usó los paquetes falsificados para obtener un registro de cada máquina donde se instalaron los paquetes y exfiltró los detalles a través de DNS por la razón de que «es menos probable que el tráfico se bloquee o detecte al salir».

La preocupación de que un paquete con la versión superior sea extraído por el proceso de creación de la aplicación, independientemente de dónde se encuentre, no ha escapado a la notificación de Microsoft, que publicó un nuevo documento técnico el martes que describe tres formas de mitigar los riesgos al usar feeds de paquetes privados.

Las principales de sus recomendaciones son las siguientes:

• Haz referencia a un feed privado, no a varios
• Proteja los paquetes privados utilizando ámbitos controlados, espacios de nombres o prefijos, y
• Utilice funciones de verificación del lado del cliente, como la fijación de versiones y la verificación de integridad.