Amigo PixelUn investigador de seguridad encontró una forma inteligente de hackear Apple, Tesla y más de 30 grandes empresas utilizando un novedoso enfoque de software de código abierto.
Microsoft, PayPal, Shopify, Netflix, Yelp y Uber fueron algunas de las empresas que vieron vulnerados sus sistemas internos en la prueba de concepto …
El imaginativo enfoque se aprovechó del hecho de que los sistemas de muchas grandes empresas tiran de software de código abierto de los repositorios públicos. Lo explica Bleeping Computer:
El ataque consistía en subir el malware a repositorios de código abierto como PyPI, npm y RubyGems, que luego se distribuía automáticamente en las aplicaciones internas de la empresa.
A diferencia de los ataques tradicionales de typosquatting, que se basan en tácticas de ingeniería social o en que la víctima escriba mal el nombre de un paquete, este ataque particular a la cadena de suministro es más sofisticado, ya que no necesitaba ninguna acción por parte de la víctima, que recibía automáticamente los paquetes maliciosos. Esto se debe a que el ataque aprovechó un fallo de diseño único de los ecosistemas de código abierto llamado confusión de dependencias […]
El año pasado, el investigador de seguridad Alex Birsan dio con una idea al trabajar con otro investigador, Justin Gardner. Gardner había compartido con Birsan un archivo de manifiesto, package.json, de un paquete npm utilizado internamente por PayPal.
Birsan se dio cuenta de que algunos de los paquetes del archivo de manifiesto no estaban presentes en el repositorio npm público, sino que eran paquetes npm creados de forma privada por PayPal, utilizados y almacenados internamente por la empresa.
Al ver esto, el investigador se preguntó, en caso de que existiera un paquete con el mismo nombre en el repositorio npm público, además de un repositorio NodeJS privado, ¿cuál tendría prioridad?
Pronto encontró la respuesta: Los paquetes públicos tenían prioridad, por lo que basta con subir otros falsos con los mismos nombres para que se descarguen automáticamente. En algunos casos, tuvo que añadir números de versión posteriores para activar la descarga.
Merece la pena leer el artículo completo, en el que se explica cómo Birsan pudo demostrar que los paquetes se habían instalado sin activar ninguna alerta.
Por supuesto, los paquetes falsos eran inofensivos, y Birsan alertó a las empresas tan pronto como obtuvo la confirmación de una infiltración exitosa. Recibió más de 130.000 dólares en recompensas por errores, y Apple confirmó que será recompensado por ellos.
