א דעפּענדענסי אַטאַק אַלאַוז קאָד דורכפירונג ביי PayPal, Microsoft, Apple, Netflix, Uber און 30 אנדערע קאָמפּאַניעס

ווייניק טעג צוריק אַ סאַפּרייזינגלי פּשוט מעטאָד איז רעלעאַסעד אַז אַלאַוז קעגן דיפּענדאַנסיז אין אַפּלאַקיישאַנז וואָס זענען דעוועלאָפּעד ניצן ינערלעך פּעקל ריפּאַזאַטאָריז. די ריסערטשערז וואָס יידענאַפייד דעם פּראָבלעם זיי זענען ביכולת צו לויפן דיין קאָד אויף די ינערלעך סערווערס פון 35 קאָמפּאַניעס, אַרייַנגערעכנט PayPal, Microsoft, Apple, Netflix, Uber, Tesla און Shopify.

די האקן זענען דורכגעפירט געווארן אלס טייל פון די באג באונטי פראגראמען, אין קאארדינאציע מיט די אטאקירטע פירמעס, און די פארברעכער האבן שוין באקומען $ 130.000 אין באנוסעס פאר אידענטיפיצירן שוואכקייט.

דער אופֿן איז באזירט אויף די פאַקט אַז פילע קאָמפּאַניעס נוצן נאָרמאַל ריפּאַזאַטאָרי דיפּענדאַנסיז פון NPM, PyPI און RubyGems אין זייער ינערלעך אַפּלאַקיישאַנז, ווי געזונט ווי ינערלעך דיפּענדאַנסיז וואָס זענען נישט עפנטלעך פונאנדערגעטיילט אָדער דאַונלאָודיד פֿון זייער אייגענע ריפּאַזאַטאָריז.

די פּראָבלעם איז אַז פּעקל מאַנאַדזשערז ווי נפּם, פּיפּ און יידלשטיין זיי פּרובירן צו אָפּלאָדירן די ינערלעך דיפּענדאַנסיז פון די קאָמפּאַניעס, אפילו פֿון די עפנטלעך ריפּאַזאַטאָריז. פֿאַר אַ באַפאַלן, פּונקט דעפינירן די נעמען פון די פּאַקידזשיז מיט ינערלעך דיפּענדאַנסיז און מאַכן דיין אייגן פּאַקידזשיז מיט די זעלבע נעמען אין די עפֿנטלעכע ריפּאַזאַטאָריז פון NPM, PyPI און RubyGems.

די פּראָבלעם איז נישט ספּעציפיש פֿאַר NPM, PyPI און RubyGems, און עס מאַנאַפעסט זיך אויך אין אנדערע סיסטעמען ווי NuGet, Maven און Yarn.

דער געדאַנק פֿאַר די פארגעלייגט מעטאָד איז געווען נאָך אַ פאָרשער אַקסאַדענאַלי באמערקט אַז אין עפנטלעך פאַראַנען קאָד אַרייַנגעשיקט אויף גיטהוב, פילע קאָמפּאַניעס טאָן ניט אַראָפּנעמען די דערמאָנונג פון נאָך דעפּענדענסיעס פֿון זייער באַשייַמפּערלעך טעקעס געוויינט אין ינערלעך פּראַדזשעקס אָדער ווען ימפּלאַמענינג עקסטענדעד פאַנגקשאַנאַליטי. ענלעך טראַסעס זענען געפֿונען אין דזשאַוואַסקריפּט קאָד פֿאַר וועב באַדינונגען און אין נאָד.דזשס, פּיטהאָן און רובי פראיעקטן פון פילע קאָמפּאַניעס.

די הויפּט ליקס זענען פארבונדן צו די עמבעדדינג פון די אינהאַלט פֿון דער package.json טעקעס אין די עפנטלעך פאַראַנען דזשאַוואַסקריפּט קאָד בעשאַס די בויען פּראָצעס, ווי געזונט ווי מיט די נוצן פון פאַקטיש דרך עלעמענטן אין ריקוויירז () רופט, וואָס קענען ווערן גענוצט צו ריכטער דעפּענדענסי נעמען.

סקאַננינג עטלעכע מיליאַנז פֿירמע דאָומיינז גילוי עטלעכע טויזנט דזשאַוואַסקריפּט פּעקל נעמען וואָס זענען נישט אין די NPM ריפּאַזאַטאָרי. ווייל פארזאמלט אַ דאַטאַבייס פון ינערלעך פּעקל נעמען, דער פאָרשער באַשלאָסן צו דורכפירן אַן עקספּערימענט צו כאַק די ינפראַסטראַקטשער פון קאָמפּאַניעס פּאַרטיסאַפּייטינג אין Bug Bounty מגילה. די רעזולטאַטן זענען סאַפּרייזינגלי עפעקטיוו און דער פאָרשער איז ביכולת צו פירן זיין קאָד אויף פילע אַנטוויקלונג קאָמפּיוטערס און סערווערס פאַראַנטוואָרטלעך פֿאַר בנין אָדער טעסטינג באזירט אויף קעסיידערדיק ינאַגריישאַן סיסטעמען.

ווען דאַונלאָודינג דיפּענדאַנסיז, פּעקל מאַנאַדזשערז נפּם, פּיפּ און יידלשטיין דער הויפּט אינסטאַלירן פּאַקידזשיז פֿון די ערשטע עפנטלעך ריפּאַזאַטאָריז NPM, PyPI און RubyGems, וואָס זענען געווען באטראכט ווי אַ העכער בילכערקייַט.

די בייַזייַן פון ענלעך פּאַקידזשיז מיט די זעלבע נעמען אין די ריפּאַזאַטאָריז פון פּריוואַט קאָמפּאַניעס איז איגנאָרירט אָן ווייַזן קיין וואָרנינגז אָדער קאָזינג קראַשיז. וואָס קען צוציען די ופמערקזאַמקייט פון אַדמיניסטראַטאָרס. אין PyPI, די אראפקאפיע בילכערקייַט איז ינפלואַנסט דורך די ווערסיע נומער (ראַגאַרדלאַס פון די ריפּאַזאַטאָרי, די לעצטע ווערסיע פון ​​די פּעקל איז דאַונלאָודיד). אין NPM און RubyGems, די בילכערקייַט איז געווען בלויז אָפענגיק פון ריפּאַזאַטאָרי.

דער פאָרשער האט געשטעלט פּאַקידזשיז אין NPM, PyPI און RubyGems ריפּאַזאַטאָריז וואָס ינערסעקט מיט די נעמען פון די געפֿונען ינערלעך דיפּענדאַנסיז, צוגעלייגט קאָד צו די שריפט וואָס לויפן איידער ינסטאַלירונג (פּרי-אינסטאַלירן אין NPM) צו זאַמלען אינפֿאָרמאַציע וועגן די סיסטעם און פאָרלייגן די אינפֿאָרמאַציע באקומען צו די פונדרויסנדיק באַלעבאָס.

צו קאַנוויי אינפֿאָרמאַציע וועגן די הצלחה פון די כאַק, בייפּאַס פירעוואַללס בלאַקינג פונדרויסנדיק פאַרקער, דער מיטל צו אָרגאַניזירן געהיים קאַנאַל קאָמוניקאַציע איבער דנס פּראָטאָקאָל. דער קאָד וואָס איז געווען פליסנדיק ריזאַלווד דער באַלעבאָס אין די אַטאַקינג פעלד אונטער די קאָנטראָל פון די אַטאַקינג פעלד, וואָס איז געווען מעגלעך צו זאַמלען אינפֿאָרמאַציע וועגן געראָטן אַפּעריישאַנז אויף די דנס סערווער. אינפֿאָרמאַציע וועגן דעם באַלעבאָס, נאמען און קראַנט וועג איז דורכגעגאנגען.

75% פון אַלע רעקאָרדעד קאָד עקסעקוטיאָנס זענען פארבונדן מיט NPM פּעקל דאַונלאָודז, בפֿרט רעכט צו דעם פאַקט אַז עס זענען באטייטיק מער ינערלעך מאָדולע נעמען אין דזשאַוואַסקריפּט ווי די דעפּענדענסי נעמען אין פּיטהאָן און רובי.

מקור: https://medium.com/


דער אינהאַלט פון דעם אַרטיקל אַדכיר צו אונדזער פּרינציפּן פון לייט עטיקס. צו מעלדונג אַ טעות גיט דאָ.

זייט דער ערשטער צו באַמערקן

לאָזן דיין באַמערקונג

אייער בליצפּאָסט אַדרעס וועט נישט זייַן ארויס. Required fields זענען אנגעצייכנט מיט *

*

*

  1. פאַראַנטוואָרטלעך פֿאַר די דאַטן: Miguel Ángel Gatón
  2. ציל פון די דאַטן: קאָנטראָל ספּאַם, קאָמענטאַר פאַרוואַלטונג.
  3. לעגיטימאַטיאָן: דיין צושטימען
  4. קאָמוניקאַציע פון ​​די דאַטן: די דאַטן וועט נישט זיין קאַמיונאַקייטיד צו דריט פּאַרטיעס אַחוץ דורך לעגאַל פליכט.
  5. דאַטן סטאָרידזש: דאַטאַבייס כאָוסטיד דורך Occentus Networks (EU)
  6. רעכט: צו קיין צייט איר קענט באַגרענעצן, צוריקקריגן און ויסמעקן דיין אינפֿאָרמאַציע.