En ny type supply-chain-angreb, som kom frem i lyset i februar, rammer i stigende grad store organisationer.
Det skriver Ars Technica.
Hackerne uploader en ondsindet pakke til offentlige kodebiblioteker og giver den et navn, der er identisk med navnet på en pakke, som er lagret i en udviklers interne arkiver. Udvikleres software-styrings-apps bruger ofte eksterne kodebiblioteker i stedet for interne, og derfor downloader man den ondsindede pakke i stedet for den sikre pakke.
Sikkerhedsforskeren Alex Birsan har navngivet angrebsmetoden ‘dependency confusion’ eller ‘namespace confusion’, fordi den udnytter udvikleres behov for software med brugen af et misvisende pakke-navn.
Udviklere passer ofte godt på, at navnet på de pakker, man er afhængig af, ikke slipper ud, men ifølge Alex Birsan, så bliver navnene ofte lækket, når package.json-filer indlejres i offentlige script-filer.
De offentlige kode-arkiver ‘npm’ og ‘PyPi’ har fået flere end 5000 proof-of-concept-pakker, ifølge it-virksomheden Sonatype, der hjælper udviklere med at sikre deres apps.
»Hvis man tager i betragtning den daglige volumen af mistænkelige nmp-pakker, som Sonatypes automatiske malware-registreringssystem finder, så forventer vi kun, at denne tendens stiger, og at kriminelle udnytter dependency confusion til at udføre yderligere ondsindede aktiviteter,« skrev Ax Sharma, sikkerhedsforsker hos Sonatype, tidligere på ugen.