セキュリティ研究者が、斬新なオープンソースソフトウェアのアプローチを使って、Apple、Tesla、その他30社以上の大手企業をハッキングする巧妙な方法を発見した。
Microsoft、PayPal、Shopify、Netflix、Yelp、Uber などの企業も、概念実証で社内システムの侵害を発見されました。
この独創的なアプローチは、多くの大企業のシステムが公開リポジトリからオープンソースソフトウェアを導入しているという事実を巧みに利用したものだ。Bleeping Computerは次のように説明している。
この攻撃は、PyPI、npm、RubyGems などのオープンソース リポジトリにマルウェアをアップロードし、それが下流の会社の内部アプリケーションに自動的に配布されるというものでした。
ソーシャルエンジニアリングの戦術や被害者によるパッケージ名のスペルミスを利用する従来のタイポスクワッティング攻撃とは異なり、このサプライチェーン攻撃は、被害者による操作を必要とせず、悪意のあるパッケージを自動的に受け取るという点で、より巧妙です。これは、この攻撃が「依存性の混乱」と呼ばれるオープンソース・エコシステム特有の設計上の欠陥を悪用したためです[…]
昨年、セキュリティ研究者のアレックス・バーサン氏は、別の研究者であるジャスティン・ガードナー氏と共同作業中に、あるアイデアを思いつきました。ガードナー氏は、PayPalが社内で使用しているnpmパッケージのマニフェストファイル(package.json)をバーサン氏と共有していました。
Birsan 氏は、マニフェスト ファイル パッケージの一部がパブリック npm リポジトリに存在せず、PayPal が個人的に作成し、社内で使用および保存している npm パッケージであることに気づきました。
これを見た研究者は、同じ名前のパッケージが、プライベート NodeJS リポジトリに加えてパブリック npm リポジトリにも存在する場合、どちらが優先されるのだろうかと考えました。
彼はすぐに答えを見つけました。公開パッケージが優先されるため、同じ名前の偽のパッケージをアップロードするだけで、自動的にダウンロードされてしまうのです。場合によっては、ダウンロードを開始するために、より新しいバージョン番号を追加する必要がありました。
警告をトリガーせずにパッケージがインストールされたことを Birsan がどのようにして証明できたのかを説明した完全な記事は読む価値があります。
もちろん、偽のパッケージは無害であり、ビルサン氏は侵入成功の確認を得るとすぐに企業に通報しました。彼は13万ドル以上のバグ発見報奨金を受け取り、Appleも報奨金を受け取ることを確認しました。
ionter.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
