Многие из недавних громких атак стали результатом уязвимостей в целостности цепочки поставок. В качестве основного вектора атаки выступало манипулирование зависимостями, позволяющее внешнему злоумышленнику проникнуть через уязвимый процесс SDLC. Этот вектор основан на способности управлять сторонними ресурсами с помощью компонентов. Удалось ли злоумышленнику автоматически компрометировать множество репозиториев и пакетов, массово заполучив первоначальный доступ к разработчикам ПО?
Чтобы оценить возможность массовой компрометации, мы проанализировали структуру зависимостей и популярные реестры пакетов (PyPi и NPM). Далее мы выделили ряд артефактов, которые могут контролироваться злоумышленником и быть уязвимыми для атак по захвату контроля. После анализа публичных реестров мы поделимся информацией о том, сколько зависимостей уязвимо ко взлому репозитория и перехвату URL-адресов. Мы также расскажем о том, как атаки с использованием тайпсквоттинга (с помощью суперспособностей LLM) помогают злоумышленнику усилить воздействие, сохранить доступ к SDLC и внедрить вредоносную полезную нагрузку.
По итогам доклада мы предоставим метод и инструменты для мониторинга всех артефактов зависимостей, чтобы помочь снизить риск поглощения в CI/CD. В качестве основного вектора атаки выступало манипулирование зависимостями, позволяющее внешнему злоумышленнику проникнуть через уязвимый процесс SDLC. Этот вектор основан на способности управлять сторонними ресурсами с помощью компонентов. В докладе освещаются основные тактики, методы и инструменты злоумышленников, а также стратегии защиты для специалистов по безопасности.
Денис Макрушин
«МТС-Red»