Bombas de código malicioso apuntan a Amazon, Lyft, Slack, Zillow - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Bombas de código malicioso apuntan a Amazon, Lyft, Slack, Zillow

Hola, un placer verte por aquí. Te habla Eduardo Arroyo y esta vez te voy a hablar sobre Bombas de código malicioso apuntan a Amazon, Lyft, Slack, Zillow

Bombas de código malicioso apuntan a Amazon, Lyft, Slack, Zillow

Los atacantes han confundido la adicción al código como un arma para atacar aplicaciones internas contra gigantes tecnológicos.

Los investigadores han identificado paquetes maliciosos dirigidos a aplicaciones internas para Amazon, Lyft, Slack y Zillow (entre otros) dentro del repositorio de código público npm, todos los cuales exfiltran información confidencial.

Los paquetes utilizan como arma un exploit de confusión de dependencia de código de prueba de concepto (PoC) que fue diseñado recientemente por el investigador de seguridad Alex Birsan para inyectar código falso en proyectos de desarrollo.

Los proyectos de desarrolladores internos suelen utilizar dependencias de código estándar y de confianza que se alojan en repositorios privados. Birsan decidió ver qué pasaría si creaba paquetes «imitadores» para alojarlos en repositorios públicos como npm, con los mismos nombres de dependencia que el código legítimo privado.

«¿Es posible que algunos de los proyectos internos de PayPal estén comenzando a utilizar los nuevos paquetes públicos en lugar de los privados?» iglesias. Y la respuesta fue sí.

En el caso de Birsan, probó esta «confusión de dependencia» utilizando bloques de código PoC benignos. Estos se cargaron en archivos públicos y él simplemente se sentó y esperó para ver si iban a ser importados. Su intuición resultó correcta, demostrando cómo el código externo se puede importar y propagar a través de las aplicaciones y sistemas internos de una empresa objetivo, con relativa facilidad, incluidos Apple, Microsoft, Netflix, PayPal, Shopify, Tesla y Uber.

En total, recibió más de $ 130,000 en recompensas por errores y acuerdos financieros preaprobados con las organizaciones objetivo del experimento, todas las cuales habían acordado ser probadas. Esto generó legiones de cazarrecompensas que imitaban a los cazarrecompensas que intentaban aumentar un día de pago: estaban allí 275+ de estos paquetes subido al repositorio de npm dentro de las 48 horas posteriores a la publicación de la investigación de Birsan, según el análisis de Sonatype. El número ha aumentado a más de 700, Sonatype dijo el martes, con actores traviesos entrando en la mezcla.

«Un investigador de ética normalmente publicará un paquete del mismo nombre que la adicción privada en un repositorio público como npm», dijo el investigador de Sonatype, Ax Sharma, a Threatpost en una entrevista. “Excepto que su paquete contendría un código PoC mínimo suficiente para demostrar el ataque al proveedor y al programa de recompensas por errores. Los paquetes de investigación de ética vistos por Sonatype también contenían descargos de responsabilidad que indicaban que eran parte de la investigación de seguridad ética, lo que brinda cierta tranquilidad «.

Desafortunadamente, Sonatype también identificó varios paquetes maliciosos, lo que demuestra que la técnica se utilizó como arma.

«Algunos de los paquetes de guiones de adicción-confusión toman lo que se puede considerar ‘investigación ética’ al participar en actividades directamente dañinas», explicó Sharma.

Muchos de los paquetes de imitación de Sonatype han identificado exfiltrados, por ejemplo, los archivos .bash_history del usuario y los archivos / etc / shadow.

El archivo .bash_history contiene una lista de comandos ejecutados previamente por un usuario del sistema operativo basado en Unix en el terminal. A menos que se elimine periódicamente, este archivo puede contener nombres de usuario, contraseñas y otros datos confidenciales.

Mientras tanto, el archivo / etc / shadow mantiene los datos de contraseña hash de las cuentas de usuario en un sistema. Aunque el archivo normalmente se limita a cuentas de «superusuario», un atacante podría obtener el archivo si la máquina infectada ejecuta npm con privilegios elevados.

«Por lo general, contienen información muy sensible que debe permanecer oculta», explicó Sharma. «Algunos de estos paquetes incluso establecieron un shell inverso en los servidores de sus autores y no tenían descargos de responsabilidad o pistas obvias sobre si esto era parte de una investigación ética o un programa de recompensas por errores».

Para agravar el peligro de estos paquetes está el hecho de que estos tipos de importación de código se realizan automáticamente: cuando una nueva versión está disponible, un proyecto de desarrollador la recuperará automáticamente de un repositorio.

«Lo que hace que esta tendencia sea aún más problemática es que la confusión de la adicción, debido a su propia naturaleza, no requiere ninguna acción por parte de la víctima», explicó Sharma. «Teniendo en cuenta que estos paquetes maliciosos pueden compartir nombres con dependencias internas utilizadas por las principales organizaciones, pueden inyectarse en las compilaciones de la organización casi al instante».

Desafortunadamente, también es bastante fácil identificar cuáles son estas dependencias internas, incluso si son técnicamente privadas.

«Lo que los investigadores éticos suelen hacer es monitorear el repositorio público de GitHub o CDN de una organización en busca de código», dijo Sharma. “Este código puede revelar los nombres de sus dependencias internas (por ejemplo, en archivos de manifiesto), que de otro modo no están disponibles en repositorios públicos como npm, RubyGems o GitHub. Al menos, así lo hizo Alex Birsan, pero todavía hay espacio para ser creativo «.

Además, dado que los paquetes de imitación se cargan en repositorios públicos, existen pocas barreras de entrada para atacantes malintencionados. Este es el mismo problema que se encuentra a menudo en los ataques a la cadena de suministro de software que involucran typosquatting y brandjacking de paquetes públicos.

«Cualquiera, ya sean investigadores éticos o actores malintencionados, puede aprovechar el problema de la confusión por adicción», dijo Sharma. «Lo que constituye ‘ético’ o no está determinado en gran medida por la intención del actor».

Los investigadores descubrieron paquetes maliciosos dirigidos a una variedad de empresas, pero se destacaron cuatro dirigidos a Amazon, Lyft, Slack y Zillow.

La página web de npm para «amzn» ofrece dos versiones idénticas de un paquete malicioso, cada una con solo dos archivos: un manifiesto llamado package.json y el archivo funcional run.js. El paquete «amzn» que tiene nombres similares al repositorio GitHub de Amazon y los paquetes de código abierto, según los investigadores.

«Dentro de run.js es donde vemos el contenido del archivo / etc / shadow al que se accede y eventualmente se exfiltra al autor del paquete para dominar el comevil[.]divertido «, según el análisis». El código también tiene al autor abriendo un shell inverso en su servidor que se generaría tan pronto como el paquete `amzn` se infiltrara en la compilación vulnerable. «

En cuanto a Zillow, el paquete «zg-rentals» también fue publicado en npm por el mismo autor y es idéntico en estructura y funcionalidad al paquete «amzn», dijeron los investigadores. Ninguno ofrece indicaciones o descargos de responsabilidad que puedan estar vinculados a un esfuerzo de investigación ética, según el análisis de Sonatype.

Mientras tanto, el paquete malicioso «serverless-slack-app» ni siquiera tiene una señal clara de que esté vinculado a una investigación ética o un programa de recompensas por errores. Lleva el nombre de un paquete legítimo hecho por un desarrollador de Atlassian. Tiene scripts de preinstalación y posinstalación iniciados desde el archivo de manifiesto, según Sonatype.

«Si bien el script index.js creado en la fase de preinstalación es una réplica idéntica del que se encuentra en los paquetes de búsqueda PoC de Birsan, el script posterior a la instalación es particularmente interesante», según la publicación. «En la fase posterior a la instalación, se ejecuta otro script alojado en GitHub y envía el archivo .bash_history del usuario al autor detrás de la aplicación serverless-slack-app».

El mismo autor ha publicado un paquete Lyft casi idéntico, llamado lyft-dataset-sdk, que comparte un nombre con un paquete basado en Python utilizado por Lyft.

«Empezaba a preguntarme cuándo veríamos a un actor malintencionado aprovecharse de la situación actual», dijo en el mensaje el investigador de seguridad de Sonatype, Juan Aguirre. «Finalmente, hemos localizado uno».

Añadió: «Es interesante ver todos los paquetes maliciosos imitadores de npm lanzados recientemente. Puede ver su evolución. Comienzan prácticamente con la misma base de código que el PoC publicado por el investigador Alex Birsan y gradualmente comienzan a ser creativos».

.

Deberías compartir en tu Facebook para que tus amigos opinen

??? ? ? ???

Comparte