שרשרת האספקה: חוקר ניצל תלות של מפתחים בחבילות קוד פתוח

באמצעות שימוש בחבילות עם אותו שם, הצליח החוקר להכניס חבילות קוד פתוח מזוהמות למאגרים ציבוריים, משם הן עברו אוטומטית לתוך מארג הקוד של תוכנות שנכתבו פנימית בארגונים

By Russian-Matroshka_no_bg.jpg: User:Fanghongderivative work: Greyhood (talk) - Russian-Matroshka_no_bg.jpg, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=13676809

חוקר הצליח לפרוץ מעל 35 מערכות פנימיות של חברות גדולות, כולל מיקרוסופט, אפל, PayPal, Shopify, נטפליקס, Yelp, טסלה, ו- Uber, במתקפת שרשרת אספקת תוכנה חדשנית. על מאמצי המחקר האתי שלו, החוקר הרוויח מעל 130,000 דולרים. 

ההתקפה כללה העלאת תוכנות זדוניות למאגרי קוד פתוח כולל PyPI, npm, ו RubyGems, אשר לאחר מכן הופצו באופן אוטומטי לתוך היישומים הפנימיים של החברה. התקפת שרשרת אספקה זו לא נזקקה לפעולה על ידי הקורבן, שקיבל באופן אוטומטי את החבילות הזדוניות.

הסיבה לכך היא שההתקפה מינפה פגם עיצובי ייחודי במערכות האקולוגיות בקוד פתוח הנקראות בלבול תלות (dependency confusion). ההתקפה "בלבול תלות" מתרחשת כאשר מפתחים בונים את האפליקציות שלהם בתוך סביבות ארגוניות, ומנהל החבילות שלהם מתעדף את הספריה (הזדונית) המתארחת במאגר הציבורי במקום בספריה הפנימית בשם זהה.

 

אולי יעניין אותך גם