错误的邀请机制启用了“包装种植”攻击
安全研究人员透露,开源软件开发人员的声誉可能会滥用,以在不知情或同意的情况下传播恶意的NPM软件包。
4月26日,Aqua团队Nautilus的网络安全团队发布了安全咨询在这个问题上,“允许威胁行为者将恶意包装伪装成合法和欺骗性的开发人员来安装它”。
直到最近,GitHub的NPM平台才将允许任何开发人员在未经允许的情况下添加到一个项目中,这是威胁参与者可以轻松武器化的潜在盲点。
你可能也会喜欢IBM数据库更新第三方XML解析器中的关键漏洞地址
研究人员说,如果攻击者“仔细的手提包”受到信任和受欢迎的维护者,然后将其添加到恶意包裹中,这可能会使包裹显得合理,并鼓励用户下载它。
该技术被Nautilus团队称为“包装种植”。
逻辑缺陷
研究人员说:“例如,Lodash的软件包非常受欢迎和可信。”“如果我们将其所有者Mathias,Jdalton和BNJMNT4N添加到一个新的恶意包装中,那么许多开发人员可能会被欺骗,以为这套包装是合法的,甚至更具吸引力。”
Lodash,一个用于实用功能的JavaScript库,已下载超过4200万次,并拥有超过154,000个依赖者。
以这种方式利用声誉的开发人员不会意识到,由于NPM邀请机制中的逻辑缺陷,将其作为包装维护者添加。
此外,从理论上讲,威胁性演员可以为恶意包装增加一个受欢迎的维护者,然后向他们报告非法活动 - 可能破坏其声誉。
据报道逻辑问题github2月10日通过Hackerone的Bug Bounty平台通过新的确认机制的形式进行了修复。
不再有可能在未经批准的情况下将新维护者添加到NPM项目中。
研究人员评论说:“重要的是要为任何第三方组件使用可靠的来源,并使用可以检测软件供应链威胁(例如包装种植)的解决方案来保护您的环境。”beplay维护得多久
“ NPM用户应检查其名称下列出的所有软件包是否真正属于他们,以确保未经其同意就不会添加到任何项目中。”
包分析项目
在相关新闻中,4月28日,Google宣布了对开源安全基金会(OPENSSF)的支持包分析项目,一种原型方案,用于限制恶意NPM软件包的传播。
正在开发包装分析程序,以动态扫描上传的NPM软件包以获取恶意签名,并“识别以前安全的软件何时开始可疑地行动”。
Google是Openssf的成员。科技巨头进行了一项研究在一个月内上传的200个恶意NPM软件包中,大多数攻击都是基于打字和依赖混乱技术的。
“这项工作旨在通过检测恶意行为,通知消费者选择包裹并为研究人员提供有关生态系统的数据,以提高开源软件的安全性,”Openssf说。“尽管该项目已经开发了一段时间,但根据初始经验进行了广泛的修改,该项目直到最近才变得有用。”
每日swbeplay2018官网ig已经与Github和Aqua联系了其他疑问,如果我们回来时,我们将更新此故事。
