Поделиться
Исследование МТС RED: хакеры могут атаковать разработчиков ПО, захватывая сторонние репозитории
Компания МТС RED, входящая в ПАО «МТС», опубликовала исследование более 4,7 млн уникальных публичных репозиториев программного кода. Команда перспективных исследований МТС RED ART (Advanced Research Team) выявила около 1000 уязвимых библиотек, которыми злоумышленники могут воспользоваться для заражения легитимного программного обеспечения вредоносным кодом. Об этом CNews сообщили представители МТС RED.
В современной разработке широко распространено использование внешних компонентов от сторонних разработчиков — библиотек. Если они подключаются из внешнего репозитория, то существует риск захвата этого хранилища кода злоумышленником — атака типа repository hijacking или repojacking (захват репозитория).
Уязвимость при использовании внешних компонентов возникает, если их разработчик перенес, удалил или продал свою учетную запись – например, в связи с прекращением поддержки проекта или передачей репозитория с кодом заказчику. В ряде случаев злоумышленники способны зарегистрировать на себя «заброшенное» имя учетной записи и разместить в нем вредоносный код. В этом случае программы, использующие компонент по старой ссылке, будут обращаться уже к новому содержимому, контролируемому злоумышленником. Таким образом в легитимную и популярную программу незаметно для разработчика может быть встроен код с различными вредоносными функциями — от кражи данных и слежения за пользователями до полного контроля над пользовательскими устройствами.
Эксперты МТС RED ART проанализировали свыше 6,3 млн репозиториев из таких популярных источников, как Google Cloud Console, PyPi, NPM. Анализ позволил выделить 4,7 млнуникальных репозиториев, по ссылкам на 7820 из них содержимое отсутствует. В 986 случаях аккаунт, под которым изначально создавались репозитории, неактивен. Такие репозитории уязвимы к захвату злоумышленниками, которые могут повторно зарегистрировать их на себя, в том числе с применением инструментов автоматизации.
Аккаунты, уязвимые к кибератакам класса repojacking, могли быть использованы в большом количестве программ, в том числе и российскими разработчиками, которые не подозревают о потенциальной опасности. Чтобы сторонние компоненты не стали входной точкой хакерской атаки на разработчиков, МТС RED ART опубликовала методику и ссылки на ряд инструментов, которые позволяют проверять исходный код на корректность ссылок на используемые внешние репозитории.
«Мы предлагаем сообществу разработчиков присоединиться к инициативе и еще раз проверить наличие в своих зависимостях прямых ссылок на сторонние репозитории, которые могут быть уязвимы к repojacking-атакам. Наша общая цель — создание реестра доверенных зависимостей, в которых все сторонние компоненты и их артефакты проверены сообществом», — сказал Денис Макрушин, технический директор компании МТС RED.
***
МТС RED ART – команда перспективных исследований, входящая в состав компании МТС RED, российского разработчика продуктов и сервисов для защиты от кибератак. МТС RED ART занимается разработкой технологических решений, которые интегрируются в продукты компании. Ранее специалисты команда перспективных исследований МТС RED ART уже помогли устранить уязвимость в инструменте разработки Microsoft WinDbg.
Публичное акционерное общество «Мобильные телесистемы» (ПАО «МТС») – компания по предоставлению услуг мобильной и фиксированной связи, передачи данных и доступа в интернет, кабельного и спутникового ТВ-вещания; провайдер цифровых сервисов, включая финтех и медиа в рамках экосистем и мобильных приложений; поставщик ИТ-решений в области объединенных коммуникаций, интернета вещей, мониторинга, обработки данных, облачных вычислений. В России, Белоруссии и Армении услугами мобильной связи МТС пользуются более 88 млн абонентов. Фиксированными услугами МТС – телефонией, доступом в интернет и ТВ – охвачено свыше 10 млн абонентов, сервисами OTT и платного ТВ в различных средах – более 10 млн пользователей, услугами дочернего МТС Банка – 3,3 миллиона млн, общее количество экосистемных клиентов МТС составляет почти 13 млн. Компания располагает в России 14 дата-центрами и розничной сетью из более 5000 магазинов. Крупнейшим акционером МТС является ПАО АФК «Система».
Короткая ссылка
