在流行的包管理器中已经揭露多个安全漏洞,如果被潜在黑客利用,可能被滥用来运行任意代码和访问敏感信息,包括受感染设备的源代码和访问令牌。

然而,值得注意的是,这些漏洞要求目标开发人员同时处理一个受影响的软件包管理器和一个恶意软件包。

SonarSource 的研究员 Paul Gerste 说: “这意味着攻击不能远程直接针对开发人员的机器,并且需要欺骗开发人员来加载格式不正确的文件。”“但你是否总是足够了解并信任来自互联网或公司内部仓库的所有软件包的提供者呢?”

包管理器指的是用于自动安装、升级和配置开发应用程序所需的第三方依赖项的系统或一组工具。

虽然流氓库将存储库打包存在自带的安全风险——需要对依赖关系进行适当的审查,以防止出现类型定义错误和依赖混淆攻击——但“管理依赖关系的行为通常不被视为具有潜在风险的操作”

但是,在各种软件包管理器中新发现的问题表明,攻击者可以将这些软件包武器化,诱骗受害者执行恶意代码。这些漏洞已经在以下软件包管理器中被识别出来:

  • Composer 1.x < 1.10.23 and 2.x < 2.1.9
  • Bundler < 2.2.33
  • Bower < 1.8.13
  • Poetry < 1.1.9
  • Yarn < 1.22.13
  • pnpm < 6.15.1
  • Pip (no fix), and
  • Pipenv (no fix)

其中最主要的漏洞是 Composer 的 browse 命令中的命令注入漏洞,这个漏洞被滥用,通过向已发布的恶意程序包插入 URL 来实现任意代码执行。

如果包利用类型定位或依赖关系混淆技术,它可能会导致这样一种情况,即运行库的浏览命令可能导致检索下一阶段的有效负载,然后该有效负载用来发动进一步的攻击。

在 Bundler、 Poetry、 Yarn、 Composer、 Pip 和 Pipenv 中发现的附加参数注入和不可信搜索路径漏洞意味着,黑客可以通过添加恶意软件的 git 可执行文件或攻击者控制的文件(如用于指定 Ruby 程序依赖项的 Gemfile)获得代码执行。

在2021年9月9日的披露之后,针对 Composer,Bundler,Bower,Poetry,Yarn 和 Pnpm 中的问题已经发布了修复程序。但是 Composer、 Pip 和 Pipenv 都受到不可信搜索路径漏洞的影响,他们选择不解决这个 bug。

“开发者是 *** 犯罪的香饽饽,因为他们可以访问公司的核心知识产权资产: 源代码,”Gerste 说。“攻击他们可以让攻击者进行间谍活动,或者在公司的产品中嵌入恶意代码。这甚至可能被用来实施供应链攻击。”

消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文