软件

德沃斯

Apple,Microsoft,PayPal在35个组织中受到邪恶双胞胎依赖攻击的侵害

安全研究员发现它很容易将构建系统与恶意版本的私有软件库混淆


Bug Hunter Alex Birsan去年设法通过利用JavaScript,Python和Ruby开发人员使用的包装机制来损害35家公司的软件供应链。

在一个 写上去 在星期二发布,Birsan讲述了如何通过NPM企业技术新闻表,Pypi(Python Package Index)和RubyGems分发概念的验证恶意代码,这些代码由开发人员使用的rubyGems安装为其应用程序添加功能的软件库。

从公共企业技术新闻管理机构集成第三方软件库需要在创建和上传软件包中的高度信任,信任通过技术经常被滥用 typosquatting. 或者 妥协 库维护者的帐户。

这些包装系统是公开的,因为任何开发人员都可以向其代码添加特定的包名称,并将这些库从远程存储库加载到包含模块的应用程序运行的环境中。

但他们还允许私人依赖性 - 在普通公众不可用的组织内部使用的代码库。

BIRSAN设置了,看看他是否可以识别内部公司中使用的私有软件包的名称,并使用这些库名称创建恶意软件包,以便在公共包企业技术新闻表中放置 - 跟踪可用软件模块的索引。

私有软件包的名称是易于找到的,特别是在Node.js / javascript生态系统中,因为私有包.json文件在公共软件存储库中显示。

因此,BIRAN在与公司防火墙偷偷摸摸地潜行系统配置数据的设计相同名为“图书馆”。他的exfiltration方案依赖于HEX编码信息,并使其成为他控制的自定义DNS服务器的DNS查询的一部分。

污染编码流

然后挑战变得越来越需要私有库的应用程序在污染的公共来源中查找这些文件名。

事实证明,公司软件开发人员依赖于其应用程序的混合配置,引用私有内部包但也支持从公共企业技术新闻表获取依赖项的常见,以确保包是最新的。

研究人员发现缺陷后的Solarwinds Orion的更多补丁允许低信用用户执行代码,等等

阅读更多

“内部开发人员将其软件包发布到此私人饲料,消费者检查所需包的最佳可用版本的私人和公共馈送,”微软介绍 一篇论文 与Birsan的披露一起发布。 “此配置提供了供应链风险:替代攻击。”

替代攻击 - 拥有应用程序寻找依赖性和获取,从一个可靠的公共来源而不是公司控制的源代替依赖性版本 - 最终适用于Birsan。

“从开发人员对自己的机器制作的一次性错误,要误解基于内部或基于云的构建服务器,到系统脆弱的发展管道,有一件事很清楚:蹲下有效的内部包装名称是一个几乎肯定的方法进入他说,一些最大的技术公司的网络的一些最大的科技公司,并可能允许攻击者在建造期间添加后门。“

Birsan与此技术攻击的公司包括Apple,Microsoft,Netflix,PayPal,Shopify,Tesla,Uber和Yelp。为他的努力,他已从涉及这些公司的Bug Bounty计划中获得至少130,000美元。

Birsan在执行此类袭击时的成功应脱离闹钟。软件供应链攻击呈现出更高程度的风险,而不是许多威胁情景,因为它们有可能影响许多下游受害者。回想一下,在最近内存中最重要的软件安全事件中,Solarwinds构建系统的折衷是一种供应链攻击。

Birsan的恶意验证文件 被发现了 通过安全Biz Sonatype的自动检测系统,但该公司允许实验在与他颁布并讨论公开时间表后继续进行。

昨天发布了Sonatype,其CTO在开源生态系统中缺乏适当的命名空间管理令人担忧 一个脚本 为了帮助公司检查他们的内部包装是否可以在公共包装企业技术新闻机构中找到。据该公司介绍,上游软件供应链攻击增加了430%。 ®

Send us news
33评论

DEVS的大型更改:Chrome 91使用WebasseMbly SIMD,JSON模块,剪贴板文件支持

更快的webassembly,以及测试信任令牌的最后一次阶段

谷歌已发布Chrome 91,虽然表面上几乎没有新的新功能,但开发人员都有关键的变化,包括WebasseMbly SIMD,JSON模块,重力传感器API,以及对剪贴板上的文件的只读访问。

SIMD(单指令,多个数据)是硬件加速,其使单个指令能够在多个数据上运行,以便更快地计算矢量操作。 WebAsseMbly SIMD基于新的128位值类型用于包装数据,现在在Chrome Desktop和Android中默认情况下启用。

据这位官员说 解释者,WebAsseMbly SIMD构建了一个提议为JavaScript添加SIMD支持,因为JavaScript发动机难以实施并产生很少的现实世界绩效收益。 WebAsseMbly SIMD具有更多潜力,因为“Webassembly中的低级抽象,在那里我们在现实世界应用程序上观察到多个架构中的一致表现。”

继续阅读

由于问题垃圾邮件规则部署,Exchange Online中的自动文件差异

如果只有一个人可以做微软的工程师似乎无法做到的

随着微软的面向公开的工程师在欧洲,呃,公司的构建活动中闪耀,余地的人在争先恐后地争夺云巨头的长期摆动服务。

遵循未划分的躺下 昨天微软拥有的代码小号吉普劳,Exchange Online Services今天睡了一个午睡。

继续阅读

根据Dominic Cummings的说法,谷歌员工帮助英国政府从灾难性的Covid-19战略转换

爆炸性的Whitehall证词还揭示了前教师数据科学家Ben Warner对国家紧急情况下决策的影响

Demis Hassabis,Ceo和Deepmind联合创始人, 现在是谷歌的一部分据说,据说是在2020年期间,劝告英国总理首席顾问的首席顾问委员会主席团的统治顾问“击中了恐慌按钮和官方计划”。

在议会的科学技术委员会和卫生和社会关怀委员会会议的证词期间,卡明斯描绘了一幅令人震惊的地面拍摄了一系列集团和贫穷的数据如何领导英国当局粘附于对病毒传播的回应,其特征在于获得畜牧业免疫力的缺陷计划。

你可以自己观看他的证词, 这里.

继续阅读

Apple的iPad Pro在棍子上,嗯,我们的意思是M1 IMAC分数为10分,以便可修复

袭击iPhone的零件箱:$$。确保用户无法升级台式计算机?无价

被剥夺到苹果的新M1 IMac,IFIXIT GAND 转过身来 到设备的键盘和全部重要的触摸ID传感器。然而,敏感的眼睛可能希望远离最终的可修复分数。

获得新的M1 IMAC内部的访问 通过昨天的屏幕,今天的团队指出了一对球迷的存在(第一个用于M1机器)以及一套“不可思议的薄”扬声器。一对CR2016电池用拉伸粘合剂固定,可能为CMOS占空比提供。

继续阅读

史诗vs苹果审判正在包装,但战斗刚刚开始

现在它已经完全发送......但是当烟雾清除时,事情会看起来像什么?

这几乎结束了。周一,史诗般的游戏和苹果在奥克兰联邦法院的高赌注长凳试验中造成了他们的论据。

前三个星期 当两家拥有市场资本提出的公司大小时,展示了国家各国的规模试图使用法律制度来从根本上塑造对手的商业模式。丑陋的?是的。

娱乐?有时。

继续阅读

如何处理开源漏洞? Linux Foundation Expert说,快速移动

CIO不会决定您需要如何回复。 '决定的人是攻击者'

QCON PLUS. Linux基金会开源供应链安全总监David Wheeler表示,自动化测试和快速部署对于防止开源软件中的漏洞。

驾驶员博士,谁是在我们的安全编程中的多本书作者,并在弗吉尼亚州乔治梅森大学教授弗吉尼亚州的主题,正在发言 QCON PLUS. 本周正在网上的活动。

继续阅读

要小心,007。刚刚有一层新的涂料:今天是QS的D-Day申请mi6

我为生活做了什么?我是一个营销执行率。是的,没有认为你有任何疑问

就像伦敦公共汽车上的票务检查员一样,为mi6工作的人可能是任何人,并且是#secretlyjustlikeyou。我们没有理由为什么我们的读者不应该把自己归于这份工作(只记得牢牢地提示我们 这里 当你在SIS HQ的红门后面的尘土飞扬的电脑上做出Vista工作“再多一年”时。)

申请人需要成为一名高级学位,具有追踪“数字转型”的轨道记录,但这对秘密情报服务的意义意味着什么,我们想知道。他们是否希望您解雇人员,交换机数据库或将所有007的喷泉笔连接到interweb,以使它们不如此智能的IOT小工具?另外,我们不要忘记 工作规范:您必须准备好与“私人和公共部门的高级利益相关者建立合作关系。这不仅仅是一个技术工作,这不仅仅是研究:这意味着肩负着英国的一些最可怕的人。

继续阅读

寻求逃离英国?瞄准火箭和卫星发射的法规从2022年开始到达

不清楚绿色,琥珀色或红色列表上是否“空间”

Wannabe Brit Rocket Operators的好消息: 法规终于到了 在英国立法者旨在允许商业运营商从当地土壤发射。

这是一段时间来临,但与英国空间机构和民航局制定的政府法规将意味着理论上,卫星可以在2022年的英国计划的Spaceport中推出。康沃尔,威尔士和苏格兰都是在框架中作为潜在的出发点。

该法规是由于夏天生效。

继续阅读

Cycebup Campaign表示,计算机滥用法案:告诉家庭办公室Infosec在法律中需要公共利益辩护

虽然,禁止狩猎行业希望更多地了解更多

在InfoSec中运营的企业已被敦促写信给家庭办公室,并支持将公共利益辩护添加到计算机滥用行为中。

在Techuk组织的呼吁讨论行业对审查该法案的回顾时,行业机构和网络营广告所敦促英国的英国和海外公司敦促告诉英国.GOV他们认为法律应该说什么。

网吧改善CMA的建议之一是引入公共利益辩护的计划。这将使人们被指控在CMA下犯下罪行,以便他们基本上是为了获得正确的原因而制作它 - 这是这个计划在今天早上的呼吁中造成了最多的评论。

继续阅读

Home Office Slams PNC技术团队:新代码的“测试不足”导致413,000条记录损失

定义的业务需求不足,文件失败,独立报告查找

对来自英国警察国家计算机(PNC)损失413,000条证据记录的技术失败的独立审查已经发现缺乏对崩溃的评论和有效的检验。

虽然丢失的数据已被恢复, 据犯罪和警务部长守特讲话是由伯纳德霍根 - Howe领导的事件的独立调查,发现既定程序,如评论,才松散地遵循或在某些情况下,在引入故障剧本期间没有遵循任何情况。 Hogan-Howe是伦敦大都会警方的前负责人。

事件, 二月议会在议会中留下了鲍里斯约翰逊的总理是脚本错误的代码中的脚本错误的结果,该编码摘录了从PNC删除的记录,这是一个在富士通BS2000 / OSD SE700-30大型机的Mainforame在伦敦的数据中心运行的43岁的系统。

继续阅读

Astrboffins认为在小行星Ryugu上发现奇怪的多孔巨石可能是原始行星的东西

像日本Hayabusa2探针发现的浮石状的东西会漂浮在水面上

日本Hayabusa2探测器带来了一些样品的岩石,是一个巨大的巨型巨型的岩石,这是一个可能只是制造了行星的东西的高度多孔巨石。

所以说一个新的 标题为“(162173)ryugu作为其父母身体的原始材料”出版“在5月24日发表的”天然多孔巨石 自然天文学.

本文基于小行星的观察,不分析Hayabusa2返回的样品。

继续阅读