一名安全研究人员将伪造的测试软件包成功添加到了微软Azure SDK最新版本的官方列表中。
如果攻击者滥用这个简单的花招,会让人误以为他们的恶意软件包是Azure SDK套件的一部分。
新软件包添加到Azure SDK版本页面上
本月,安全研究人员Alex Birsan演示了谁都可以将自己的软件包添加到官方Azure SDK最新版本列表中。
几天前,Azure SDK版本页面将正宗的微软Azure SDK版本和神秘的软件包alexbirsantest放在一起显示。
Azure SDK最新版本页面显示了Alex Birsan的软件包alexbirsantest
图片来源:BleepingComputer
此外一位用户指出,GitHub上提交的内容是由“azure-sdk”机器人程序推送的,将alexbirsantest软件包添加到了本该用于填充微软Azure SDK版本页面的CSV文件中。
这表明机器人程序上当受骗,结果自动获取这个非官方的测试软件包。
GitHub上提交的内容显示Alex Birsan的测试软件包已添加到Azure维护的CSV文件中。
图片来源:GitHub
不是依赖项混淆攻击
正如上个月IT安全外媒BleepingComputer首次报道,Alex Birsan可以利用开源生态系统中的依赖项混淆问题,在一次新颖的供应链攻击中以合乎伦理道德的手段黑入了逾35家大型科技公司,因此获得了超过130000美元的漏洞赏金。
然而这位研究人员阐明,这并不归因于依赖项混淆,而是极其简单的做法。
该研究人员按照npm阐明的简单操作说明,将alexbirsantest软件包发布到了npm,随后进一步将npm帐户azure-sdk作为协作者添加到其软件包中。
在这种特殊情况下,npm和GitHub上所用的“azure-sdk”帐户似乎是机器人程序,被配置成获取这些帐户作为协作者而列出来的所有npm软件包。
虽然后来删除了alexbirsantest,但作为Sonatype安全研究人员,我还是能够从Sonatype的自动化恶意软件检测系统库中获得原始npm软件包的副本。
Alexbirsantest版本2100.4.2中的index.js文件含有与Birsan之前发布的依赖项混淆软件包一样的概念验证代码,但是该软件包在多处附有免责声明,阐明这不是“依赖项混淆测试”。
进入到Azure SDK版本列表上的alexbirsantest npm软件包的内容。
图片来源:BleepingComputer
Birsan称:“我刚将多家公司作为协作者添加到了我的软件包上,看看会发生什么。这是唯一有意思的结果。”
即使该事件可能并不会直接危及系统的安全性,但仍值得关注。
如果攻击者可以添加名称与其他Azure SDK软件包相似的恶意软件包,就能轻松地将其恶意软件伪装成官方Azure SDK版本的一部分。如果毫无戒心的开发人员或用户下载,这有可能成为软件供应链攻击的根本原因。
毕竟,页面明确表示它含有“从azure-sdk帐户发布到npm的Azure库软件包”。
跨境电商注册的话首先要选择一个平台进行入驻,再根据该平台的流程的来进行,比如说亚马逊的注册流程: 1.进入亚马逊官网首页,在账户位置点击“免费注册”; 2.按照要求输入创建信息,点击“继续”; 3.对输入的手机号码验证,输入验证码后点击“验证”; 4.验证通过…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
