שרשרת האספקה: חוקר ניצל תלות של מפתחים בחבילות קוד פתוח
באמצעות שימוש בחבילות עם אותו שם, הצליח החוקר להכניס חבילות קוד פתוח מזוהמות למאגרים ציבוריים, משם הן עברו אוטומטית לתוך מארג הקוד של תוכנות שנכתבו פנימית בארגונים
עמי רוחקס דומבה
| 10/02/2021
חוקר הצליח לפרוץ מעל 35 מערכות פנימיות של חברות גדולות, כולל מיקרוסופט, אפל, PayPal, Shopify, נטפליקס, Yelp, טסלה, ו- Uber, במתקפת שרשרת אספקת תוכנה חדשנית. על מאמצי המחקר האתי שלו, החוקר הרוויח מעל 130,000 דולרים.
ההתקפה כללה העלאת תוכנות זדוניות למאגרי קוד פתוח כולל PyPI, npm, ו RubyGems, אשר לאחר מכן הופצו באופן אוטומטי לתוך היישומים הפנימיים של החברה. התקפת שרשרת אספקה זו לא נזקקה לפעולה על ידי הקורבן, שקיבל באופן אוטומטי את החבילות הזדוניות.
הסיבה לכך היא שההתקפה מינפה פגם עיצובי ייחודי במערכות האקולוגיות בקוד פתוח הנקראות בלבול תלות (dependency confusion). ההתקפה "בלבול תלות" מתרחשת כאשר מפתחים בונים את האפליקציות שלהם בתוך סביבות ארגוניות, ומנהל החבילות שלהם מתעדף את הספריה (הזדונית) המתארחת במאגר הציבורי במקום בספריה הפנימית בשם זהה.
באמצעות שימוש בחבילות עם אותו שם, הצליח החוקר להכניס חבילות קוד פתוח מזוהמות למאגרים ציבוריים, משם הן עברו אוטומטית לתוך מארג הקוד של תוכנות שנכתבו פנימית בארגונים
חוקר הצליח לפרוץ מעל 35 מערכות פנימיות של חברות גדולות, כולל מיקרוסופט, אפל, PayPal, Shopify, נטפליקס, Yelp, טסלה, ו- Uber, במתקפת שרשרת אספקת תוכנה חדשנית. על מאמצי המחקר האתי שלו, החוקר הרוויח מעל 130,000 דולרים.
ההתקפה כללה העלאת תוכנות זדוניות למאגרי קוד פתוח כולל PyPI, npm, ו RubyGems, אשר לאחר מכן הופצו באופן אוטומטי לתוך היישומים הפנימיים של החברה. התקפת שרשרת אספקה זו לא נזקקה לפעולה על ידי הקורבן, שקיבל באופן אוטומטי את החבילות הזדוניות.
הסיבה לכך היא שההתקפה מינפה פגם עיצובי ייחודי במערכות האקולוגיות בקוד פתוח הנקראות בלבול תלות (dependency confusion). ההתקפה "בלבול תלות" מתרחשת כאשר מפתחים בונים את האפליקציות שלהם בתוך סביבות ארגוניות, ומנהל החבילות שלהם מתעדף את הספריה (הזדונית) המתארחת במאגר הציבורי במקום בספריה הפנימית בשם זהה.