研究人員將虛假軟件包添加到了微軟Azure SDK版本列表中！

一名安全研究人員將偽造的測試軟件包成功添加到了微軟Azure SDK最新版本的官方列表中。

如果攻擊者濫用這個簡單的花招，會讓人誤以為他們的惡意軟件包是Azure SDK套件的一部分。

新軟件包添加到Azure SDK版本頁面上

本月，安全研究人員Alex Birsan演示了誰都可以將自己的軟件包添加到官方Azure SDK最新版本列表中。

幾天前，Azure SDK版本頁面將正宗的微軟Azure SDK版本和神秘的軟件包alexbirsantest放在一起顯示。

Azure SDK最新版本頁面顯示了Alex Birsan的軟件包alexbirsantest

圖片來源：BleepingComputer

此外一位用戶指出，GitHub上提交的內(nèi)容是由“azure-sdk”機(jī)器人程序推送的，將alexbirsantest軟件包添加到了本該用于填充微軟Azure SDK版本頁面的CSV文件中。

這表明機(jī)器人程序上當(dāng)受騙，結(jié)果自動獲取這個非官方的測試軟件包。

GitHub上提交的內(nèi)容顯示Alex Birsan的測試軟件包已添加到Azure維護(hù)的CSV文件中。

圖片來源：GitHub

不是依賴項混淆攻擊

正如上個月IT安全外媒BleepingComputer首次報道，Alex Birsan可以利用開源生態(tài)系統(tǒng)中的依賴項混淆問題，在一次新穎的供應(yīng)鏈攻擊中以合乎倫理道德的手段黑入了逾35家大型科技公司，因此獲得了超過130000美元的漏洞賞金。

然而這位研究人員闡明，這并不歸因于依賴項混淆，而是極其簡單的做法。

該研究人員按照npm闡明的簡單操作說明，將alexbirsantest軟件包發(fā)布到了npm，隨后進(jìn)一步將npm帳戶azure-sdk作為協(xié)作者添加到其軟件包中。

在這種特殊情況下，npm和GitHub上所用的“azure-sdk”帳戶似乎是機(jī)器人程序，被配置成獲取這些帳戶作為協(xié)作者而列出來的所有npm軟件包。

雖然后來刪除了alexbirsantest，但作為Sonatype安全研究人員，我還是能夠從Sonatype的自動化惡意軟件檢測系統(tǒng)庫中獲得原始npm軟件包的副本。

Alexbirsantest版本2100.4.2中的index.js文件含有與Birsan之前發(fā)布的依賴項混淆軟件包一樣的概念驗證代碼，但是該軟件包在多處附有免責(zé)聲明，闡明這不是“依賴項混淆測試”。

進(jìn)入到Azure SDK版本列表上的alexbirsantest npm軟件包的內(nèi)容。

圖片來源：BleepingComputer

Birsan稱：“我剛將多家公司作為協(xié)作者添加到了我的軟件包上，看看會發(fā)生什么。這是唯一有意思的結(jié)果?！?/span>

即使該事件可能并不會直接危及系統(tǒng)的安全性，但仍值得關(guān)注。

如果攻擊者可以添加名稱與其他Azure SDK軟件包相似的惡意軟件包，就能輕松地將其惡意軟件偽裝成官方Azure SDK版本的一部分。如果毫無戒心的開發(fā)人員或用戶下載，這有可能成為軟件供應(yīng)鏈攻擊的根本原因。

畢竟，頁面明確表示它含有“從azure-sdk帳戶發(fā)布到npm的Azure庫軟件包”。