Pesquisador Hackea Mais de 35 empresas de tecnologia em um novo ataque à cadeia de suprimentos

Un investigador logr violar os sistemas internos de ms de 35 grandes empresas, incluindo Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla y Uber, en un nuevo ataque a la cadena de suministro de software.

O ataque envolve a carga de malware em repositórios de cdigo abertos, incluindo PyPI, npm e RubyGems, que luego é implementado automaticamente nas aplicações internas da empresa.

A los ataques de ataques tradicionais se basan na ingeniera descritiva social que descreve mal o vctima de um pacote, ataque de cadena de suministro em particular es que não diferenciam a diferença em el sentido de que não é necessário o reconhecimento de nenhuma necessidade por parte de la vctima, que automaticamente recebe os pacotes maliciosos.

Esto se debe a que el ataque aprovech una falla de diseo nica en los ecosistemas de cdigo aberto llamada confusin de adiccin.

Por causa dos esforços de investigação, o investigador ganhou $ 130.000 em prêmios contra insetos.

índice de conteúdo

  1. O malware se distribui automaticamente hacia abajo.
  2. Reconhecimento e exfiltração de dados nas passagens de DNS
  3. Ganado ms de $ 130.000 em recompensas
  4. Se espera que os ataques se intensifiquem, um problema difícil de resolver

O malware se distribui automaticamente hacia abajo.

Ao passar, investigador de segurança Alex Birsan Se me ocorreu uma ideia, enquanto trabalhava com outro investigador Justin Gardner.

Gardner compartilhou um arquivo de manifesto com Birsan, package.json , de um pacote npm utilizado internamente por PayPal.

Dependências públicas e privadas (criadas internamente) para um pacote de PayPal
Fonte: Birsan

Birsan seal que algunos de los pacotes de arquivos de manifesto no estaban apresenta no repositorio pblico de npm, sin que PayPal los cre de forma privada e la empresa los utiliz y almacen internamente.

Al ver isto, o investigador se pregunt, deve existir um pacote com o mismo nombre no repositório público de npm, adems de um repositório privado de NodeJS, cul tenderra prioridad?

Para probar this hiptesis, Birsan comenz a buscar nomes de pacotes internos privados que pudiera encontrar em arquivos de manifesto em repositórios de GitHub ou em CDN de las principais empresas, mas não existe em um repositório público de cdigo aberto.

Luego, o investigador comenz a criar projetos falsos con los mismos nombres en archivos de cdigo aberto como npm, PyPI y RubyGems.

Cada pacote publicado por Birsan se hizo bajo su cuenta real e claramente tena um descargo de responsabilidade, que deca "Este pacote está destinado a multas de investigação de segurança y no contiene ningn cdigo til".

Pacotes publicados com divulgação de investigação de segurança
Fonte: BleepingComputer

Birsan pronto se dio cuenta de que é um pacote de dependência utilizado por um aplicativo existe tanto em um repositório público de cdigo aberto como em uma compilação privada, o pacote público tem prioridade e pode ser retirado em seu lugar, se for necessário parte del desarrollador.

Em alguns casos, como com os pacotes de PyPI, o investigador não que o pacote con la versin superior tendra prioridad independientemente de dnde estuviera.

Com esta tcnica, Birsan ejecut com xito um ataque à cadeia de fornecimento contra Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp e Uber simplesmente publicando pacotes públicos com o mismo nombre que os internos da empresa.

"Creo que la confusin por adiccin es muy different de la errata ou el robo de marca, ya que no requiere necessariamente ningn tipo de entrada manual de la vctima".

"Ms birsan, las vulnerabilidades o fallas de diseo enlas herramientas de instalacin o construccin que complementares pueden hacer las dependencias pbliblicas se confundan se confundan de dependências internas del mismo nombre", dijo Birsan a BleepingComputer em uma entrevista por correo eletrônico.

Reconhecimento e exfiltração de dados nas passagens de DNS

Os pacotes têm scripts pré -instalados que automaticamente iniciam um script para extrair informações de identificação da máquina e pronto como o processo de compilação inserido nos pacotes.

Sabendo que seus scripts são conectados a partir de redes corporativas, Birsan decide usar DNS para filtrar dados e eludir a detecção.

Sabendo que a maior parte dos objetivos possíveis estão dentro das redes corporativas protegidas, envie a exfiltração de DNS era o caminho a seguir, dice Birsan em sua publicação de blog.

DNS utilizado para reconhecimento e exfiltração de dados
Fonte: Birsan

Un fragmento del cdigo que se muestra a continuacin es del paquete npm en cuclillas " analtica-paypal "que ahora se ha eliminado de npm. Sem embargo, como investigador de segurança em Sonatype, pode recuperar seus arquivos de detecção automática de malware.

Este script se inicia automaticamente como se extraiga a dependência "analytics-paypal" e tende o cdigo para realizar solicitações de DNS para dns.alexbirsan-hacks-paypal.com .

A devolução de chamada recebida dos sistemas do PayPal alerta o investigador do IP que realiza a solicitação de permissão para o PayPal, junto com o nome do usuário e o diretório de início do sistema infectado.

Pacotes PoC de dados exfiltrados
Fonte: BleepingComputer

Despus de recibir tales retiros e com certeza suficiente que o componente de investigação de falsificações foi infiltrado com xito na corporação vermelha, Birsan informa sus hallazgos a empresa correspondente e obtuvo uma recompensa por erros.

Ganado ms de $ 130.000 em recompensas

Em geral, o investigador logrizou $ 130.000 em prêmios. programas de recompensa por erros e disposições pré-aprovadas para testes de penetração.

"Creo que é importante esclarecer que todas as organizações selecionadas durante esta investigação têm permissão otorgada para testar sua segurança, e o mar travs de programas públicos de recompensas de erros ou acuerdos privados.

Por meio da divulgação de Birsan, a Microsoft otorga a maior garantia de recompensa por erros de $ 40.000 e lança um papel de arquivo branco sobre este tema de segurança. Identificando este problema como CVE-2021-24105 para seu produto Azure Artifactory.

Sem embargo, a Microsoft dijo a Birsan em um correo elétrico que considera que é um defeito de projeto para os administradores de pacotes.

"Se nós tratamos como um problema de segurança importante, em última instância, devemos resolver reconfigurando as ferramentas de instalação e os fluxos de trabalho, e não corrigimos nada nos repositórios de pacotes".

"Para resolver este problema, a Microsoft realizou pequenas melhorias em Artefatos do Azure para garantir que podem ser usados ​​como uma solução alternativa fiável".

"Dicho esto, cremos que la causa raz de este problema es una falla de diseo (en place of un error) en los administradores de pacotes que sozinho se puede resolver através da reconfiguração", dijo un portavoz de Microsoft en el correo eletrônico.

Ao declarar um BleepingComputer, Yelp confirme o informe do investigador e galardoado l despus de resolver o problema em un da.

"A travessia do Yelp programa de compensação por erros Alex Birsan nos ayud ayud a una vulnerabilidad, que soluciona de mediato em un da."

"Estamos comprometidos a associar-nos com especialistas em segurança para estar com as últimas técnicas de segurança e confiamos em nosso programa de recompensas de erros para recompensar os pesquisadores de segurança qualificados que ajudarão a melhorar os sistemas e serviços do Yelp", dijo a BleepingComputer, um porta-voz do Yelp.

Apple le dijo a BleepingComputer que Birsan recebeu uma recompensa a travs do programa Apple Security Bounty por revelar responsavelmente este problema.

Considerando que, o PayPal agora divulgou El informe HackerOne de Birsan menciona o monte de recompensa de $ 30.000.

Sin embargo, los esfuerzos de investigacin tica del investigador no fueron bien recibidos por todos.

"É provável que seja suficiente para não ter estes projetos em PyPI, dijo Dustin Ingram, diretor da Python Software Foundation e promotor de desenvolvedores no Google, que investiga e saca alguns dos pacotes de Birsan de PyPI.

Despus de passar uma hora eliminando estes pacotes, Ingram reforçado que carrega pacotes ilícitos em PyPI supõe uma carga indebida para os voluntários que mantêm PyPI.

"Em última instância, se você está interessado em proteger os usuários deste tipo de ataque, existem melhores formas de fazer o que protege todo o ecossistema, no solo um conjunto específico de organizações com recompensas por erros", agreg Ingram.

Se espera que os ataques se intensifiquem, um problema difícil de resolver

A travs de esta investigação que abarca as principais organizações, Birsan dice que você sensibilizou as principais empresas de tecnologia sobre este tipo de ataque que agora não está implementando algum tipo de mitigação em sua infraestrutura. Sem embargo, o investigador cree que hay ms por descubrir.

Queda a posibilidade de que tais finais ressurgiram e cresçam, especialmente em plataformas de cdigo aberto sem uma solução fcil para a confusão de dependências.

"Especificamente, creo que encontrar formas novas e inteligentes de filtrar os nomes dos pacotes internos expõem os sistemas e os ms vulneráveis, e os esquemas de linguagem de programação e repositórios alternativos aos que apuntar revelam algumas superfícies de ataque adicionais para os erros de confusão de dependência", conclui el. investigador em sua entrada no blog.

O Sonatype publicou um arquivo guin no GitHub que os usuários do Nexus Repository Manager podem executar para verificar suas dependências privadas em relação ao número de pacotes existentes que podem ser encontrados nos repositórios públicos npm, RubyGems e PyPI. As empresas de outros administradores de arquivos de artefatos podem adotar implementações idnticas.

BleepingComputerso en contacte com as empresas mencionadas neste informe com mucha antelacin, incluindo Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp, Tesla e Uber. Hemos publicado declarações de empresas que responderam antes do cierre de esta edicin.

Actualizacin 10 de febrero de 2021 4:30 pm ET: Se agregaron enlaces a los informes de HackerOne para PayPal, divulgados por Yelp despus del cierre de esta edicin.

  • Cmo una cuenta de eliminar Reddit
  • Microsoft corrige o erro de bloqueio do controlador da consola do Windows 10

Descobre ms contenido

Google Pixel Watch também tem detecção de cadas, pero no hasta el prximo ao

Las melhores tazas de caf calentadas de 2022

Cmo automatize seu iPhone segn el tiempo, la actividad ou la ubicacin

"Eso debe haber sido antes de mi tiempo"

Por qu la NASA enva a Snoopy a la Luna? – Revisando geek

Qu es una carga fantasma?

Deja una respuesta Cancelar la respuesta

¿Qué pasa si me llega uma notificação de que meu iPhone fue hackeado?

Se você receber um correio eletrônico tão específico que parece ser da Apple, reenviá-lo para reportphishing@apple.com . Para denunciar uma mensagem de texto SMS sospechoso que parece ser da Apple, haz una captura de pantalla del mensaje y enviala a reportphishing@apple.com.

¿Qué tão fácil é hackear um iPhone?

O iPhone não é um dispositivo móvel inquebrável

Según as pruebas realizadas pela empresa Cellebrite e través de sus diferentes herramientas de extração, transferência e análise de dados, se tiver determinado que mientras mais recentes seja a versão do software, é mais complicado hackearlo.

¿Como se produzir um hackeo?

O hackeo consiste em colocar em riesgo sistemas informáticos, cuentas pessoais, redes de ordenadores ou dispositivos digitais. Não há necessariamente uma atividade malintencionada: no hay nada intrinsecamente delictivo na definição oficial de hackeo .

¿Qué pasa si hackeo un celular?

Um telefone afetado pode estar dando toda a sua energia de processamento às nefastas aplicações do hacker. Pode-se fazer que o telefone funcione muito lentamente. Em ocasiões, os sintomas podem incluir bloqueios, falhas e reinícios inesperados. Notas una actividad extraña en tus outras cuentas en línea.

Ir arriba