La confusion ou l’abus de dépendances

Résumé – La confusion ou l’abus de dépendances est un problème dans lequel les attaquants exploitent les conventions de dénomination des dépôts de paquets publics et privés pour inciter les développeurs à télécharger à leur insu du code malveillant ou des paquets non autorisés au cours du développement de logiciels. Cela se produit lorsque l’environnement local d’un développeur va chercher une dépendance dans un dépôt public alors qu’il a l’intention d’utiliser un paquetage interne, ce qui peut compromettre la chaîne d’approvisionnement des logiciels.

Objectif(s) :

• Créer un package malveillant portant le même nom qu’une dépendance interne et le télécharger sur un dépôt public pour que les développeurs l’installent à leur insu.
• Créer un package dont le numéro de version ressemble à celui d’un package légitime afin d’exploiter les configurations de la gamme de versions.
• Enregistrer des noms de domaines ou de packages similaires pour exploiter les fautes de frappe des développeurs.
• Créer des packages dont les noms ressemblent à des dépendances légitimes pour tromper les développeurs.
• Développer un package qui semble inoffensif mais qui dépend de packages vulnérables en vue d’attaques futures.
• Utiliser des tactiques d’ingénierie sociale telles que l’hameçonnage pour obtenir des informations sensibles.
• Compromettre un fournisseur de logiciels pour injecter du code malveillant dans des packages largement utilisés.
• Concevoir des packages pour voler des informations d’identification sensibles dans l’environnement d’exécution.
• Concevoir des logiciels pour voler et exfiltrer des données.
• Exploiter les vulnérabilités des packages introduits pour exécuter des codes à distance.