Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.
Під час опрацювання “зламу” фахівець Алекс Бірсан зміг завантажити шкідливу програму в репозиторії з відкритим вихідним кодом, включаючи PyPI, npm і RubyGems. Як наслідок цей “шкідник” автоматично розійшовся внутрішніми додатками корпорацій, пише Bleeping Computer.
Finally, a brief look at how each package hosting service responded after seeing the test packages:
* npm – initially deleted a few, stopped after my intentions were clarified
* PyPI – deleted all packages, made it clear that testing this is not allowed
* RubyGems – no reaction
— Alex Birsan (@alxbrsn) February 9, 2021
Продемонстрований дослідником спосіб атаки відрізняється від схожих схем своєю складністю, до того ж для його реалізації від жертви не потрібно жодних дій. А все тому, що атака задіює уразливість в екосистемах, призначених для зберігання вихідного коду.
Цей баг отримав назву “плутанина залежностей”. Оскільки експерт, який виявив проблему безпеки, не ставив за мету по-справжньому зламати системи найбільших корпорацій, він відкрив інформацію про “діру” представникам ІТ-гігантів. У результаті етичний хакер заробив 130 тисяч доларів.
Ідея нового вектора атаки спала на думку Бірсану минулого року. Під час роботи з Джастіном Гарднером, іншим експертом, Алекс звернув увагу на одну деталь під час взаємодії з репозиторіями npm.
Відповідно до опису способу атаки на Bleeping Computer, дослідник почав створювати фейкові проекти з тими ж іменами, що були в репозиторіях npm, PyPI і RubyGems. Незабаром Бірсан зрозумів наступну залежність: якщо пакет, який використовує додаток, знаходиться як в публічному репозиторії, так і в особистому, то пріоритет віддається саме публічному.
Використовуючи цю особливість, фахівець виконав успішну атаку на ланцюжок поставок і дістався до систем Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp і Uber. Цього вдалося домогтися простим розміщенням публічно доступних пакетів з тими ж іменами, які перебували у внутрішніх системах корпорацій.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ
Як не стати жертвою кібератаки? ПОРАДИ
Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу
П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ
Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.
Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.
Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.
До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.
