セキュリティ研究者は、「依存関係の混乱」と名付けたサプライチェーン攻撃を使用して、Apple、Microsoft、PayPal などの大手企業の内部システムをハッキングしました。

この攻撃は、開発者がパッケージや依存関係に使用する多くの一般的なインストーラーに内在する欠陥を利用しました。研究者のAlex Birsan氏は、マルウェアをオープンソースリポジトリにアップロードすることで、これらのインストーラーをだまして悪意のあるコードをダウンロードさせることができたという。書き込み彼はMediumに投稿した。

Apple の場合、Birsan は、JavaScript のパッケージ マネージャーである npm にアップロードした Node パッケージ内の悪意のあるコードをダウンロードした後、社内ネットワーク内の複数のマシンを侵害することができました。具体的には、Birsan は Apple ID 認証システムに関連するプロジェクトに侵入することができました。

Apple は研究者に対し、この脆弱性を利用して Apple サーバー上でリモートでコードが実行された可能性があると述べました。 Birsan氏が、攻撃者がApple IDにバックドアを挿入した可能性があるのか​​と尋ねたところ、同社は「運用中のサービスでバックドアを達成するには、より複雑な一連のイベントが必要であり、これは追加の意味合いを伴う非常に特殊な用語である」と述べた。

クパチーノのテクノロジー大手は、公開から 2 週間以内にこの脆弱性を修正しました。 Birsan氏は2020年8月にこの欠陥をAppleに報告したが、2021年2月のMediumの書き込みに先立ち、バグ報奨金の支払いを受け取ったばかりだと述べた。

サプライ チェーン攻撃は、多くの開発者がこれらのパッケージ インストーラー (npm、Python の pip、Ruby の RubyGems など) に対して抱いている信頼に依存しています。もう 1 つの重要な要素は、パブリック リポジトリに存在しない内部パッケージの使用です。 Birsan は、これらの内部で使用されているパッケージの名前でマルウェアをアップロードすることで、一部のプログラムをだまして、正規のパッケージではなく悪意のあるコードをダウンロードさせることができました。彼は DNS を使用して秘密裏にデータを持ち出しました。

Birsan は企業のバグ報奨金プログラムの範囲内でのみ活動し、侵害されたシステムから非機密データのみを収集しましたが、彼の調査により多くの企業の内部構成の欠陥を指摘することができました。

研究者は、これまでに合計 35 の組織内で依存関係の混乱の脆弱性を発見しました。その大部分は従業員 1,000 人を超える企業であり、これは「大規模な組織内での内部図書館の使用率が高い」ためであると同氏は考えています。

Birsan はバグ報奨金として 130,000 ドル以上を獲得しました。それぞれ 30,000 ドルの支払いが Shopify、Apple、PayPal から行われました。 Microsoft の場合、Birsan 氏の調査により、会社最高額の 40,000 ドルが得られました。 Microsoftもこの問題に関するホワイトペーパーを発表した。

研究者はまた、この問題は今後も拡大すると考えている。

「具体的には、内部パッケージ名を漏洩するための新しく賢い方法を見つければ、さらに脆弱なシステムが暴露されるだろうし、ターゲットとなる代替プログラミング言語やリポジトリを検討することで、依存関係の混乱に関するバグの追加の攻撃対象領域が明らかになるだろうと私は信じている」とBirsan氏は書いている。