| 0 |
|
Недоработка безопасности хранилищ открытого кода, на которую обратил внимание «этический хакер» Алекс Бирсан (Alex Birsan), позволила ему запустить свои программы на служебных машинах ряда крупнейших компаний, включая Apple, Microsoft, Netflix, PayPal, Tesla и др.
Как сообщает Bleeping Computer, организованная Бирсаном атака на цепочку поставок не требовала действий со стороны жертв: вредоносный код доставлялся им автоматически из-за конструктивного недостатка экосистем Open Source, называемого «путаницей в зависимостях» или подстановочный атакой.
Просто зарегистрировав имена внутренних библиотек в общедоступных каталогах пакетов с открытым исходным кодом, Бирсан успешно внедрил вредоносный код в такие реестры как npm, PyPI и RubyGems, из которых впоследствии его ПО распространялось дальше по цепочке доставки обновлений.
«Внутренние разработчики публикуют свои пакеты в частном канале, а потребители проверяют как частные, так и общедоступные каналы в поисках лучших доступных версий необходимых пакетов. Такая конфигурация представляет риск атаки замещения в цепочке поставок», — отмечается в официальном документе Microsoft по данной теме.
В идеале разработчики ПО должны отслеживать каждое изменение, происходящее в коде, который развивается с внешним участием. На деле же это практически неосуществимо даже для проектов умеренной сложности.
«Выявление, интерпретация и анализ тысяч строк кода могут в значительной степени обнулить финансовую выгоду от открытого исходного кода для некоторых организаций», — сказал Крейг Янг (Craig Young), главный исследователь кибербезопасности и соответствия в компании Tripwire. Он считает это очень серьёзной проблемой для всей программной отрасли: компании по разработке ПО вынуждены позволять своим сотрудникам пользоваться произвольными модулями кода из общедоступных репозиториев, чем ставят клиентов под угрозу взлома и подвергают себя юридическому риску.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
