dependency confusion

Microsoft telah menerbitkan white paper pada hari Selasa tentang jenis teknik serangan baru yang disebut “dependency confusion” atau “serangan substitusi” yang dapat digunakan untuk meracuni proses pembuatan aplikasi di dalam perusahaan.

Teknik ini berputar di sekitar konsep seperti manajer paket, repositori paket publik dan pribadi, dan proses pembangunan.

Saat ini, pengembang di perusahaan kecil atau besar menggunakan pengelola paket untuk mengunduh dan mengembang pustaka yang kemudian dikumpulkan bersama menggunakan alat build untuk membuat aplikasi akhir.

Aplikasi ini dapat ditawarkan kepada pelanggan perusahaan atau dapat digunakan secara internal di perusahaan sebagai alat karyawan.

Tetapi beberapa dari aplikasi ini juga dapat berisi kode kepemilikan atau sangat sensitif, tergantung pada sifatnya. Untuk aplikasi ini, perusahaan akan sering menggunakan pustaka pribadi yang mereka simpan di dalam repositori paket pribadi (internal), dihosting di dalam jaringan perusahaan sendiri.

Ketika aplikasi dibangun, pengembang perusahaan akan mencampur perpustakaan pribadi ini dengan perpustakaan umum yang dapat diunduh dari portal paket publik seperti npm, PyPI, NuGet, atau lainnya.

selengkapnya : ZDNET

Seorang peneliti berhasil menembus lebih dari 35 sistem internal perusahaan besar, termasuk Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, dan Uber, dalam serangan rantai pasokan perangkat lunak baru.

Serangan itu terdiri dari mengunggah malware ke repositori open source termasuk PyPI, npm, dan RubyGems, yang kemudian didistribusikan secara otomatis ke dalam aplikasi internal perusahaan.

Tidak seperti serangan typosquatting tradisional yang mengandalkan taktik rekayasa sosial atau korban salah mengeja nama paket, serangan rantai pasokan khusus ini lebih canggih karena tidak memerlukan tindakan apa pun dari korban, yang secara otomatis menerima paket berbahaya tersebut.

Ini karena serangan tersebut memanfaatkan cacat desain unik dari ekosistem sumber terbuka yang disebut dependency confusion. Untuk upaya penelitian etisnya, peneliti keamanan Alex Birsan telah menghasilkan lebih dari $130.000 dalam bentuk bug bounty.

Melalui penelitian yang mencakup organisasi besar ini, Birsan mengatakan dia telah membuat perusahaan teknologi terkemuka menyadari jenis serangan ini yang sekarang telah menerapkan semacam mitigasi di seluruh infrastruktur mereka. Namun, peneliti yakin masih banyak yang bisa ditemukan.

Untuk informasi lebih lengkap mengenai temuan Birsan dan bagaimana ia melakukan serangan rantai pasokan yang berhasil terhadap perusahan-perusahaan besar, kunjungi situs di bawah ini.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft memperingatkan perusahaan tentang teknik serangan ‘dependency confusion’ yang baru

Peneliti meretas Microsoft, Apple, dan lebih banyak lagi dalam serangan rantai pasokan baru

dependency confusion

Cookies Settings