https://www.bleepingcomputer.com/news/security/microsofts-halo-dev-site-breached-using-dependency-hijacking/

Trước đó, BleepingComputer đã đưa tin, một nhà nghiên cứu đã thực hiện cuộc kiểm tra thâm nhập vào hệ thống của 35 công ty công nghệ lớn, bao gồm cả Microsoft, với mục đích để đánh giá tính bảo mật của các công ty qua việc khai thác các lỗ hổng theo cách mà những kẻ tấn công có thể khai thác chúng. Sau đó ghi lại các thủ tục tấn công để ngăn chặn các cuộc tấn công có thể xảy ra trong tương lai.

Tháng 6/2021, một nhà nghiên cứu khác đã phát hiện ra sự phụ thuộc nội bộ npm đang được sử dụng bởi một dự án mã nguồn mở. Sau khi công bố sự phụ thuộc công khai cùng tên, anh ta bắt đầu nhận được tin nhắn từ các máy chủ dành cho nhà phát triển trò chơi Halo của Microsoft.

"Tìm kiếm nhanh" bị xâm nhập

Khi nhà nghiên cứu đang kiểm tra một gói mã nguồn mở SymphonyElectron để tìm lỗi thì bắt gặp một phụ thuộc được gói này sử dụng. Phần phụ thuộc này được gọi là "tìm kiếm nhanh", nhưng gói này không có trên sổ đăng ký npmjs.com công khai.

Tìm kiếm nhanh nội bộ phụ thuộc npm được sử dụng bởi dự án OSS

Khi nhận ra điều này, dos Santos đã đăng ký một gói có cùng tên trên sổ đăng ký với mã tùy chỉnh của anh ấy (được hiển thị bên dưới trong bài viết này).

Các bài báo trước đây của BleepingComputer về sự nhầm lẫn phụ thuộc đã giải thích rằng thuật ngữ này đại diện cho một điểm yếu cố hữu của các nhà quản lý kho lưu trữ mã nguồn mở khác nhau khi nó liên quan đến việc truy xuất các phụ thuộc được chỉ định cho một gói phần mềm.

Nếu một dự án đang sử dụng một phần phụ thuộc riêng tư được tạo riêng và một phần phụ thuộc có cùng tên cũng tồn tại trên kho lưu trữ công khai, điều này sẽ tạo ra sự nhầm lẫn cho các công cụ phát triển mà sự phụ thuộc đang được đề cập đến.

Do đó, sự phụ thuộc công khai có cùng tên sẽ được kéo vào môi trường phát triển thay vì dự định phụ thuộc vào tư nhân.
Như vậy, "sự nhầm lẫn phụ thuộc" hoặc các cuộc tấn công chiếm quyền điều khiển, cho phép những kẻ tấn công đưa mã độc của họ vào một ứng dụng nội bộ trong một cuộc tấn công chuỗi cung ứng tự động.

Tháng 3/2021, những kẻ tấn công đã khai thác kỹ thuật này để nhắm mục tiêu vào các công ty nổi tiếng với mã độc đó. Chúng đã mở rộng phạm vi của điểm yếu này để săn lỗi nhận tiền thưởng của các công ty.

Phiên bản giả mạo của gói "tìm kiếm nhanh" được đăng bởi dos Santos như một phần của nghiên cứu này đã bị xóa khỏi sổ đăng ký npm công khai từ lâu.

Nhà nghiên cứu bảo mật của Sonatype đã có thể phát hiện phần mềm độc hại từ hệ thống tự động của Sonatype, nơi nó đã bị gắn cờ độc hại kể từ tháng 4/2021:

Bên trong tìm kiếm phụ thuộc nhanh của nhà nghiên cứu được đăng lên npmjs.com

Mã trong gói của dos Santos truy cập các thông số nhạy cảm từ một hệ thống dễ bị nhầm lẫn phụ thuộc và tải chúng lên máy chủ PoC của nhà nghiên cứu.

Các trường và tệp này bao gồm:

1. Tên máy chủ hệ thống và tên tài khoản người dùng

2. Biến môi trường (env)

3. Tên hệ điều hành và thông tin phiên bản

4. Địa chỉ IP công cộng của hệ thống (IPv4 hoặc IPv6)

5. / etc / hosts tệp

6. / etc / passwd tệp

7. / etc / tệp bóng

Máy chủ trò chơi Halo của Microsoft bị tấn công phản hồi

Trong vòng vài giờ sau khi công bố đăng ký npm, nhà nghiên cứu nhận nhận được ping-back từ các máy chủ của Microsoft. "Các truy vấn DNS đến từ 13.66.137.90 là máy chủ DNS của Microsoft và sau đó là yêu cầu đăng từ 51.141.173.203 cũng là địa chỉ IP từ Microsoft (Anh)", dos Santos giải thích trong bài đăng trên blog của mình.

Nhà nghiên cứu nói rằng việc truy cập https://51.141.173.203 đã đưa cho anh ta chứng chỉ SSL Microsoft là tổ chức, với danh sách trường Tên chung (CN) * .test.svc.halowaypoint.com. Tên miền halowaypoint.com đại diện cho loạt trò chơi điện tử Halo, được xuất bản bởi Xbox Game Studios của Microsoft.

Điều này càng khẳng định sự nghi ngờ của nhà nghiên cứu rằng một máy chủ của Microsoft đã bị tấn công bởi cuộc tấn công chiếm quyền điều khiển phụ thuộc của anh ta và nhà nghiên cứu đã liên hệ với Microsoft.

Một số dữ liệu được trả về từ máy chủ của Microsoft bao gồm hệ thống tên người dùng, đường dẫn đến môi trường phát triển ứng dụng, nhiều ID khác nhau,....

Mặc dù được hiển thị trong đoạn mã trên, nhà nghiên cứu đã cố gắng truy cập các tệp hệ thống nhạy cảm bao gồm: / etc / passwd và / etc / shadow.

Một số trường do nhà nghiên cứu thu được từ máy chủ của Microsoft

Chứng chỉ SSL có trên các tên miền phụ là halowaypoint.com đã liệt kê Tập đoàn Microsoft là tổ chức đứng sau những điều này và các bản ghi WHOIS cho 51.141.173.203 cũng liệt kê Microsoft là tổ chức chịu trách nhiệm.

Các miền phụ của * .halowaypoint.com liệt kê Microsoft là tổ chức

Theo báo cáo của nhà nghiên cứu, không thể tìm thấy bản ghi tra cứu ngược liên kết trực tiếp địa chỉ IP 51.141.173.203 với tên miền Microsoft hoặc chứng chỉ SSL cho thấy IP có thể đã được sử dụng ngoại tuyến.

Microsoft hiện đã điều tra và xác định rằng vấn đề cơ bản đã được giải quyết trước khi báo cáo đưa ra. Ngoài ra, công ty tuyên bố rằng báo cáo này đề cập đến một vấn đề ngắn gọn được đưa ra bởi sự thay đổi của bên thứ ba và không có dấu hiệu về bất kỳ tác động nào của khách hàng.

Trong năm ngoái, các cuộc tấn công vào các kho mã nguồn mở bao gồm npm, PyPI và RubyGems vẫn liên tục gia tăng.

Giờ đây, với sự nhầm lẫn về phụ thuộc được đưa vào pha trộn cùng các yếu tố tích cực xuất bản hàng nghìn gói sao chép cho các hệ sinh thái này đã làm xuất hiện thêm một thách thức đối với các tổ chức và người bảo trì để hạn chế hoạt động độc hại.