Un investigador de seguridad afirma haber pirateado los sistemas de grandes empresas, incluidas Apple y Microsoft, nuevamente usando un ataque a la cadena de suministro de software, tal como lo hizo en la invasión de SolarWinds. El propósito de la brecha, según Alex Brian, era mostrar la fragilidad de la seguridad de las infraestructuras de estas empresas, incluso después del megaataque al fabricante de software estadounidense, en diciembre del año pasado.
Biran afirma haber creado paquetes de nodos maliciosos y haberlos cargado en el registro npm (Administrador de paquetes de nodos) con nombres no reclamados. Los paquetes de nodos recopilaron información a través de su script de preinstalación sobre las máquinas en las que fueron instalados. Entonces Biran encontró una manera de conseguir paquetes para enviarle información.
“Sabiendo que la mayoría de los posibles objetivos estarían dentro de redes corporativas bien protegidas, consideré que la exfiltración de DNS era el camino a seguir”, escribió Biran en una publicación. Los datos se codificaron en hexadecimal y se utilizaron como parte de una consulta de DNS, que llegó al servidor de nombres autorizado personalizado del investigador, ya sea directamente o mediante resolutores intermedios. Biran luego encontró nombres de paquetes privados dentro de archivos JavaScript.
“Apple, Yelp y Tesla son sólo algunos ejemplos de empresas que han expuesto los nombres de sus empleados de esta forma”, escribió Biran. En la segunda mitad de 2020, Biran verificó millones de dominios pertenecientes a empresas objetivo y extrajo cientos de nombres de paquetes JavaScript que no se habían reclamado en el registro npm. “Cargué su código malicioso en los servicios de alojamiento de paquetes y logré una tasa de éxito que describió como” simplemente asombrosa “, dijo.
“Ocupar nombres de paquetes internos válidos fue un método casi infalible para ingresar a las redes de algunas de las compañías de tecnología más grandes, obtener la ejecución remota de código y posiblemente permitir a los atacantes agregar puertas traseras durante las compilaciones”, dijo Biran. “Este tipo de vulnerabilidad, que comencé a llamar confusión de dependencia, se ha detectado en más de 35 organizaciones hasta ahora, en los tres lenguajes de programación probados”.
La gran mayoría de las empresas afectadas empleaban a más de 1.000 personas. “Este es un problema increíblemente grave en la industria”, dijo a Infosecurity Craig Young, investigador principal de seguridad de Tripwire. “Cuando las empresas de desarrollo de software permiten que sus empleados descarguen y comiencen a trabajar con módulos de codificación arbitraria de repositorios públicos, se exponen a riesgos legales y de seguridad. En ese caso, era un investigador con una carga útil inocua de ‘teléfono a casa’, pero también podría haber sido un APT que implantaba un implante de malware o un troll de patentes que implementaba un algoritmo con licencia comercial “.
Fuente: https://www.cisoadvisor.com.br/pesquisador-afirma-ter-invadido-sistemas-da-apple-microsoft-yelp-e-tesla/?rand=59158
