Supply chain-angreb via kodebiblioteker vinder frem hos hackere

Hackere placerer en pakke med ondsindet kode i et offentligt kode-arkiv, som man snyder udviklere til at downloade. Illustration: Alle Aon | Bigstock
En ny type supply chain-angreb bliver i stigende grad brugt af hackere til at smugle ondsindet kode ind i hos flere store softwareudviklere via pakker i offentlige kode-arkiver. Sikkerhedsforsker Alex Birsan kalder angrebsmetoden 'dependency confusion'.

En ny type supply-chain-angreb, som kom frem i lyset i februar, rammer i stigende grad store organisationer.

Det skriver Ars Technica.

Hackerne uploader en ondsindet pakke til offentlige kodebiblioteker og giver den et navn, der er identisk med navnet på en pakke, som er lagret i en udviklers interne arkiver. Udvikleres software-styrings-apps bruger ofte eksterne kodebiblioteker i stedet for interne, og derfor downloader man den ondsindede pakke i stedet for den sikre pakke.

Læs også: White hat angreb Apple og Paypal: Derfor er kodebiblioteker en reel fare

Sikkerhedsforskeren Alex Birsan har navngivet angrebsmetoden ‘dependency confusion’ eller ‘namespace confusion’, fordi den udnytter udvikleres behov for software med brugen af et misvisende pakke-navn.

Udviklere passer ofte godt på, at navnet på de pakker, man er afhængig af, ikke slipper ud, men ifølge Alex Birsan, så bliver navnene ofte lækket, når package.json-filer indlejres i offentlige script-filer.

De offentlige kode-arkiver ‘npm’ og ‘PyPi’ har fået flere end 5000 proof-of-concept-pakker, ifølge it-virksomheden Sonatype, der hjælper udviklere med at sikre deres apps.

»Hvis man tager i betragtning den daglige volumen af mistænkelige nmp-pakker, som Sonatypes automatiske malware-registreringssystem finder, så forventer vi kun, at denne tendens stiger, og at kriminelle udnytter dependency confusion til at udføre yderligere ondsindede aktiviteter,« skrev Ax Sharma, sikkerhedsforsker hos Sonatype, tidligere på ugen.

Læs også: To dødsstråler sendt ud fra Statens It: Myndigheder ramt af Solarwinds-angrebet

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere