Dependency Confusion
Dependency Confusion
Alexander Antipov
Dependency Confusion – это тип атаки на цепочку поставок программного обеспечения, при котором атакующий эксплуатирует механизмы управления зависимостями в проектах программного обеспечения. Проекты часто используют внешние библиотеки или пакеты, указывая их в файле зависимостей. Если проект ссылается на внешний пакет, который не существует в общедоступном репозитории, но имеется во внутреннем репозитории разработчика, атакующий может создать пакет с таким же именем в общедоступном репозитории. При попытке установить зависимости, система управления пакетами может случайно выбрать вредоносный пакет атакующего вместо оригинального внутреннего пакета.
Таким образом, вредоносный код атакующего может быть автоматически загружен и выполнен в рамках процесса сборки или развертывания проекта, что позволяет атакующему получить доступ к конфиденциальным данным, системам или даже распространить вредоносный код дальше по цепочке поставок.
Таким образом, вредоносный код атакующего может быть автоматически загружен и выполнен в рамках процесса сборки или развертывания проекта, что позволяет атакующему получить доступ к конфиденциальным данным, системам или даже распространить вредоносный код дальше по цепочке поставок.
Ваш провайдер знает о вас больше, чем ваша девушка?
Cordova App Harness: путаница зависимостей открывает хакерам доступ в чужое ПО
Как закрытый 5 лет назад проект едва не привёл к катастрофе для цепочки поставок.