微软警告企业新的“依赖混淆”攻击技术

微软周二发布了一份白皮书，介绍了一种新型攻击技术，称为“依赖混淆”或“替代攻击”，可用于毒害公司环境中的应用程序构建过程。

该技术围绕包管理器、公共和私有包存储库等概念展开，和构建过程。

今天，小型或大型公司的开发人员使用软件包管理器下载和导入库，然后使用构建工具将这些库组装在一起，以创建最终的应用程序。

此应用程序可以提供给公司的客户，也可以在公司内部用作员工工具。

但是其中一些应用程序也可以包含专有的或高度敏感的代码，这取决于它们的性质。对于这些应用程序，公司通常会使用他们存储在私有（内部）软件包存储库中的私有库，该存储库托管在公司自己的网络中。

在构建应用程序时，公司的开发人员会将这些私有库与从公共软件包门户（如npm、PyPI、NuGet、，新的“依赖混乱”攻击在周二发表的研究中，一组安全研究人员详细介绍了一个名为“依赖性混淆“，攻击大公司内部这些混合应用程序构建环境。

表明如果攻击者知道公司应用程序构建过程中使用的私有库的名称，他们可以在公共包存储库中注册这些名称，并上载包含恶意代码的公共库。

当开发人员在企业环境中构建应用程序时，“依赖项混淆”攻击就会发生，他们的软件包管理者优先考虑公共存储库中托管的（恶意）库，而不是同名的内部库。

研究团队说，他们通过搜索大型科技公司意外泄露各种内部库名称的情况，然后注册这些库，来检验这一发现npm、RubyGems和PyPI等软件包存储库中的相同库。

研究人员表示，通过这种方法，他们成功地将自己的（非恶意）代码加载到35家主要科技公司使用的应用程序中，这些公司包括苹果、微软、PayPal、Shopify、Netflix、Yelp、Uber等。

但除了npm、RubyGems和PyPI，研究人员说，其他软件包经理也很容易受到攻击，包括JFrog、Maven Central和NuGet等公司。

新人小程序+APP定制199元起