Cybercriminelen gebruiken een nieuwe aanvalsvorm om grote technologiebedrijven aan te vallen. “afhankelijkheid verwarring”ik Het hackte de netwerken van Apple, Microsoft, Amazon en tientallen anderen.
volgens Verslag van Ars Technica Een klein bedrijf van vier Duitse bedrijven heeft een achterdeur achtergelaten in de omgeving van hun klanten. Pinterest controleerde de weerbaarheid van klanten tegen “dependency conversation”, een nieuwe aanvalstechniek die misbruik maakt van openbare coderepositories. “Het had slecht kunnen aflopen”, schreef Dan Goodin van Ars Technica.
De achterdeur is gevonden en de schade is beperkt. Het ongeval wijst echter op een groter probleem. Afhankelijkheidsverwarring, een nieuwe aanvalstactiek in de toeleveringsketen, ontstond in maart 2021. Een onafhankelijke onderzoeker voerde ongeautoriseerde code uit op de netwerken van Apple, Microsoft en 33 andere bedrijven. Onderzoeker Alex Bersan ontving $ 130.000 aan beloningen en krediet.
Persans aanvalsmethode heeft cybercriminelen aangetrokken. Na een paar weken, een een andere zoeker Met bewijs dat Amazon, Slack, Lyft en Zillow het doelwit zijn van aanvallers die deze methode gebruiken. Er zijn meer dan 200 kwaadaardige pakketten in omloop gevonden.
Afhankelijkheden creëren zwakheden
Afhankelijkheidsverwarring maakt misbruik van het vertrouwen dat bedrijven hebben in open source repositories zoals NMP, PyPI en RubyGems. Sommige zakelijke programma’s maken automatisch verbinding met openbare opslagplaatsen om de bibliotheken op te halen die nodig zijn om een toepassing uit te voeren. Sommige organisaties hosten de repository op een interne locatie, zodat applicaties geen verbinding maken met openbare bronnen. Zoals de naam al aangeeft, gaat afhankelijkheidsverwarring over het verwarren van het doelwit. Slachtoffers hebben de neiging om bibliotheken van de verkeerde site te downloaden; Openbare repository, geen interne repository.
De aanvalsmethode werkt als volgt. Eerst zoeken hackers naar JavaScript-code, gelekte pakketten en andere bronnen om de namen van afhankelijkheden te ontdekken die door de doelorganisatie worden gebruikt. Vervolgens ontwikkelen de hackers een kwaadaardige afhankelijkheid. De afhankelijkheid wordt gehost in een bekende openbare repository. De afhankelijkheid krijgt dezelfde naam als de afhankelijkheid die het doel momenteel gebruikt. Het verschil is dat de kwaadaardige afhankelijkheid een hoger versienummer heeft. Als gevolg hiervan wordt de afhankelijkheid door sommige organisaties gedownload wanneer ze hun software bijwerken. Bijvoorbeeld wanneer het doelwit een automatisch updatesysteem gebruikt. Het systeem beschouwt de valse afhankelijkheid als een nieuwe en betrouwbare versie.
“Op deze manier waren hackers in staat om betrouwbare softwaretoeleveringsketens te infecteren en kwaadaardige code uit te voeren op doelen en hun gebruikers”, schreef Godin.
het advies: Conte lekt gegevens van woningbouwverenigingen na aanval op Sourcing Company
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”