El 9 de febrero, el consultor de seguridad Axel Birsan, publicó un documento en el que describe cómo logró acceder, como parte de los programas de “Bounty hunting”, a 35 organizaciones. Entre ellas se encontraban Microsoft, Apple, PayPal, Netflix, Uber, Shopify, Yelp y Tesla.

Ax Sharma, columnista e investigador de seguridad, informó el 12 de febrero a través de un artículo que diversos investigadores estaban emulando el método de acceso de Axel Birsan para hacer pruebas de concepto (PoC).

Por su parte, el día 2 de marzo Bleeping Computer publicó un artículo informando que varias compañías reportaron ataques a la cadena de entrega de sus desarrollos, utilizando este método. Entre las afectadas se mencionan a Amazon, Zillow, Lyft y Slack. En estos ataques no sólo se efectuaron pruebas de concepto, sino que también se detectaron intentos para robar contraseñas y obtener acceso por medio de “reverse shells”.

El método de ataque está dirigido a los gestores y repositorios de paquetes de código abierto para entornos de programación, como los son NPM para node.js, PyPi para pip de Python, y RubyGems para Ruby. El ataque aprovecha que el ambiente de desarrollo puede tener dependencia de paquetes, los cuales pueden estar en repositorios internos o externos. Los paquetes internos son parte del código desarrollado por la organización, y los paquetes externos son herramientas o bibliotecas de apoyo en el desarrollo de la solución.

El ataque consiste en agregar versiones alternas de paquetes del repositorio interno a los repositorios externos. Al existir dos desarrollos, el gestor de paquetes puede instalar la versión más reciente del paquete, la cual puede estar en el repositorio externo.

Para limitar los posibles riesgos, los controles de seguridad se deben enfocar en la limitación del acceso a los repositorios permitidos. Además, es conveniente tener activas investigaciones de Ciberinteligencia que permitan saber si alguien nos está intentando comprometer.

Referencias:
https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610
https://blog.sonatype.com/dependency-hijacking-software-supply-chain-attack-hits-more-than-35-organizations
https://www.bleepingcomputer.com/news/security/copycats-imitate-novel-supply-chain-attack-that-hit-tech-giants/
https://www.bleepingcomputer.com/news/security/malicious-npm-packages-target-amazon-slack-with-new-dependency-attacks/
https://blog.sonatype.com/pypi-and-npm-flooded-with-over-5000-dependency-confusion-copycats