Apache Cordova App Harness成为依赖混淆攻击的目标

阅读量26850

发布时间 : 2024-04-24 10:52:00

研究人员发现了一个依赖性混淆漏洞,该漏洞影响名为Cordova App Harness的已归档 Apache 项目。

依赖混淆攻击的发生是由于包管理器在私有注册表之前检查公共存储库,从而允许威胁行为者将同名的恶意包发布到公共包存储库。

这会导致包管理器无意中从公共存储库而不是预期的私有存储库下载欺诈性包。如果成功,可能会产生严重后果,例如安装所有安装该软件包的下游客户。

云安全公司 Orca 于 2023 年 5 月对存储在云环境中的 npm 和 PyPI 包进行的分析显示,近 49% 的组织容易受到依赖性混淆攻击。

虽然 npm 和其他包管理器此后引入了修复程序来优先考虑私有版本,但应用程序安全公司 Legit Security表示,它发现 Cordova App Harness 项目引用了名为 cordova-harness-client 的内部依赖项,而没有相对文件路径。

自 2019 年 4 月 18 日起,Apache 软件基金会 (ASF)终止了该开源计划。

正如 Legit Security 所证明的那样,这为供应链攻击敞开了大门,通过上传具有更高版本号的同名恶意版本,从而导致 npm 从公共注册表中检索伪造版本。

依赖混淆攻击

该假包上传到npm后,下载量超过100次,表明该归档项目仍在使用中,可能给用户带来严重风险。

在假设的攻击场景中,攻击者可以劫持该库来提供恶意代码,这些代码可以在安装包后在目标主机上执行。

Apache 安全团队此后通过获取cordova-harness-client 包的所有权来解决该问题。值得注意的是,建议组织创建公共包作为占位符,以防止依赖混淆攻击。

安全研究员 Ofek Haviv 表示:“这一发现凸显了需要将第三方项目和依赖项视为软件开发工厂中潜在的薄弱环节,尤其是可能无法定期收到更新或安全补丁的存档开源项目。”

“尽管让它们保持原样似乎很诱人,但这些项目往往存在未引起关注且不太可能修复的漏洞。”

本文转载自:

如若转载,请注明出处: https://thehackernews.com/2024/04/apache-cordova-app-harness-targeted-in.html

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66