Nhiều lỗ hổng bảo mật đã được tiết lộ trong các trình quản lý gói phổ biến, nếu có khả năng bị khai thác, có thể bị lạm dụng để chạy mã tùy ý và truy cập thông tin nhạy cảm, bao gồm mã nguồn và mã thông báo truy cập, từ các máy bị xâm nhập.
Tuy nhiên, cần lưu ý rằng các lỗ hổng yêu cầu các nhà phát triển được nhắm mục tiêu phải xử lý một gói độc hại kết hợp với một trong những trình quản lý gói bị ảnh hưởng.
Nhà nghiên cứu Paul Gerste của SonarSource cho biết: “Điều này có nghĩa là một cuộc tấn công không thể được thực hiện trực tiếp chống lại máy của nhà phát triển từ xa và yêu cầu nhà phát triển bị lừa tải các tệp không đúng định dạng. “Nhưng bạn có thể luôn biết và tin tưởng chủ sở hữu của tất cả các gói mà bạn sử dụng từ internet hoặc kho lưu trữ nội bộ của công ty không?”
Trình quản lý gói đề cập đến các hệ thống hoặc một bộ công cụ được sử dụng để tự động cài đặt, nâng cấp, định cấu hình các phần phụ thuộc của bên thứ ba cần thiết để phát triển ứng dụng.
Mặc dù có những rủi ro bảo mật cố hữu với các thư viện giả mạo đang tìm cách đóng gói các kho lưu trữ – đòi hỏi các phần phụ thuộc phải được kiểm tra kỹ lưỡng để bảo vệ khỏi các cuộc tấn công đánh máy và nhầm lẫn phần phụ thuộc – “hành động quản lý các phần phụ thuộc thường không được coi là một hoạt động tiềm ẩn rủi ro.”
Nhưng các vấn đề mới được phát hiện trong các trình quản lý gói khác nhau làm nổi bật rằng chúng có thể bị những kẻ tấn công vũ khí hóa để lừa nạn nhân thực thi mã độc. Các lỗi đã được xác định trong các trình quản lý gói sau:
Nhà soạn nhạc 1.x Đứng đầu trong số các điểm yếu là một lỗ hổng chèn lệnh trong lệnh duyệt của Composer có thể bị lạm dụng để thực hiện mã tùy ý bằng cách chèn URL vào một gói độc hại đã được xuất bản.
Nếu gói sử dụng kỹ thuật đánh máy hoặc nhầm lẫn phụ thuộc, nó có thể dẫn đến tình huống trong đó việc chạy lệnh duyệt cho thư viện có thể dẫn đến việc truy xuất tải trọng ở giai đoạn tiếp theo mà sau đó có thể được sử dụng để khởi động các cuộc tấn công tiếp theo.
Việc đưa đối số bổ sung và lỗ hổng đường dẫn tìm kiếm không đáng tin cậy được phát hiện trong Bundler, Thơ, Yarn, Nhà soạn nhạc, Pip và Pipenv có nghĩa là một kẻ xấu có thể thực thi mã bằng tệp thực thi git có chứa phần mềm độc hại hoặc tệp do kẻ tấn công kiểm soát như Gemfile được sử dụng để chỉ định các phụ thuộc cho các chương trình Ruby.
Sau tiết lộ có trách nhiệm vào ngày 9 tháng 9 năm 2021, các bản sửa lỗi đã được phát hành để giải quyết các vấn đề trong Composer, Bundler, Bower, Thơ, Yarn và Pnpm. Nhưng Composer, Pip và Pipenv, cả ba đều bị ảnh hưởng bởi lỗ hổng đường dẫn tìm kiếm không đáng tin cậy, đã chọn không giải quyết lỗi.
Gerste cho biết: “Các nhà phát triển là mục tiêu hấp dẫn của tội phạm mạng vì chúng có quyền truy cập vào tài sản sở hữu trí tuệ cốt lõi của một công ty: mã nguồn. “Thỏa hiệp với chúng cho phép những kẻ tấn công thực hiện gián điệp hoặc nhúng mã độc vào các sản phẩm của công ty. Điều này thậm chí có thể được sử dụng để ngăn chặn các cuộc tấn công chuỗi cung ứng.”
.
