Alex Birsan a piraté 35 entreprises dont Apple et Microsoft
- 👨 Alban Martin
- Il y a 4 ans (Màj il y a 4 ans)
- 💬 2 coms
Il n'a pas eu vraiment besoin de forcer son talent, il lui a suffit de placer un bout de code malveillant sur des gestionnaires de dépendances publics open-source qui sont utilisés par la plupart des développeurs.
Il a piraté les plus grandes entreprises américaines
L'approche imaginative a exploité le fait que les systèmes de nombreuses grandes entreprises tirent automatiquement des libraires open-source à partir de référentiels publics.
L'attaque consistait à placer des logiciels malveillants dans des référentiels open source, notamment PyPI, npm et RubyGems, qui ont ensuite été distribués automatiquement dans les applications internes des entreprises.
Contrairement aux attaques de typosquatting traditionnelles qui reposent sur des tactiques d'ingénierie sociale ou que la victime a mal orthographié un nom de paquet, cette attaque particulière est plus sophistiquée car elle n'a nécessité aucune action de la victime, qui a automatiquement reçu les paquets malveillants. En effet, l'attaque a mis à profit une faille de conception unique des écosystèmes open source.
L'année dernière, le chercheur en sécurité Alex Birsan a eu une idée en travaillant avec un autre chercheur Justin Gardner. Gardner avait partagé avec Birsan un fichier manifeste, package.json, à partir d'un package npm utilisé en interne par PayPal.
Birsan a remarqué que certains des packages de fichiers manifestes n'étaient pas présents dans le référentiel public npm, mais étaient à la place des packages npm créés de manière privée par PayPal, utilisés et stockés en interne par la société.
En voyant cela, le chercheur s'est demandé si un paquet du même nom existait dans le référentiel public npm, en plus d'un référentiel privé, lequel aurait la priorité ?
Il a rapidement trouvé la réponse : les paquets publics ont la priorité, donc cela a conduit à leur téléchargement automatique. Dans certains cas, il a dû ajouter des numéros de version supérieure pour déclencher un téléchargement par les gestionnaires de dépendances.
La description complète vaut la peine d'être lue, expliquant comment Birsan a pu prouver que les paquets avaient été installés sans déclencher d'alertes.
Bien sûr, les faux paquets étaient inoffensifs et Birsan a alerté les entreprises dès qu'il a obtenu la confirmation d'une infiltration réussie. Il a reçu plus de 130 000 $ en primes de bogues, Apple confirmant qu'il sera bientôt récompensé.