Các nhà nghiên cứu đã xác định được lỗ hổng nhầm lẫn phụ thuộc ảnh hưởng đến một dự án Apache được lưu trữ có tên Cordova App Harness.
Các cuộc tấn công nhầm lẫn phụ thuộc diễn ra do thực tế là các nhà quản lý gói kiểm tra các kho công khai trước các cơ quan đăng ký tư nhân, do đó cho phép tác nhân đe dọa xuất bản một gói độc hại có cùng tên lên kho lưu trữ gói công khai.
Điều này khiến trình quản lý gói vô tình tải xuống gói gian lận từ kho lưu trữ công khai thay vì kho lưu trữ riêng dự định. Nếu thành công, nó có thể gây ra hậu quả nghiêm trọng, chẳng hạn như cài đặt tất cả các khách hàng hạ nguồn cài đặt gói.
Một phân tích vào tháng 5/2023 về các gói npm và PyPI được lưu trữ trong môi trường đám mây của công ty bảo mật đám mây Orca cho thấy gần 49% tổ chức dễ bị tấn công nhầm lẫn phụ thuộc.
Trong khi npm và các trình quản lý gói khác đã giới thiệu các bản sửa lỗi để ưu tiên các phiên bản riêng tư, công ty bảo mật ứng dụng Legit Security cho biết họ đã tìm thấy dự án Cordova App Harness để tham chiếu một phụ thuộc nội bộ có tên cordova-harness-client mà không có đường dẫn tệp tương đối.
Sáng kiến nguồn mở đã bị Tổ chức Phần mềm Apache (ASF) ngừng hoạt động kể từ ngày 18 tháng 4 năm 2019.
Như Legit Security đã chứng minh, điều này đã mở rộng cánh cửa cho một cuộc tấn công chuỗi cung ứng bằng cách tải lên một phiên bản độc hại dưới cùng tên với số phiên bản cao hơn, do đó khiến npm truy xuất phiên bản không có thật từ sổ đăng ký công khai.
Với gói không có thật thu hút hơn 100 lượt tải xuống sau khi được tải lên npm, điều đó cho thấy dự án lưu trữ vẫn đang được đưa vào sử dụng, có khả năng gây rủi ro nghiêm trọng cho người dùng.
Trong kịch bản tấn công giả định, kẻ tấn công có thể chiếm quyền điều khiển thư viện để phục vụ mã độc có thể được thực thi trên máy chủ đích khi cài đặt gói.
Nhóm bảo mật Apache đã giải quyết vấn đề bằng cách sở hữu gói cordova-harness-client. Cần lưu ý rằng các tổ chức nên tạo các gói công khai làm trình giữ chỗ để ngăn chặn các cuộc tấn công nhầm lẫn phụ thuộc.
"Phát hiện này nhấn mạnh sự cần thiết phải coi các dự án và sự phụ thuộc của bên thứ ba là các liên kết yếu tiềm ẩn trong nhà máy phát triển phần mềm, đặc biệt là các dự án nguồn mở được lưu trữ có thể không nhận được bản cập nhật thường xuyên hoặc các bản vá bảo mật", nhà nghiên cứu bảo mật Ofek Haviv cho biết.
"Mặc dù có vẻ hấp dẫn khi để chúng như vậy, nhưng các dự án này có xu hướng có những lỗ hổng không được chú ý và không có khả năng được khắc phục."