 |
| ภาพจาก BleepingComputer |
Alex Birsan นักวิจัยด้านความปลอดภัยเปิดตัวการจู่โจมใหม่ที่เรียกว่าการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ ที่สามารถเจาะเข้าสู่ระบบภายในของบริษัทยักษ์ใหญ่กว่า 35 แห่งรวมถึง Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla และ Uber การโจมตีดังกล่าวเกี่ยวข้องกับการอัปโหลดมัลแวร์ไปยังที่เก็บ (repository) แบบโอเพนซอร์สเช่น PyPI, npm และ RubyGems จากนั้นจะกระจายต่อไปยังแอปพลิเคชันภายในของ บริษัทโดยอัตโนมัติ การโจมตีนี้ผู้ที่เป็นเหยื่อนั้นไม่จำเป็นต้องทำอะไรเลย เพราะวิธีนี้ใช้ประโยชน์จากความสับสนของการขึ้นแก่กัน (dependency confusion) ซึ่งเป็นข้อบกพร่องในการออกแบบที่เป็นเอกลักษณ์ของระบบนิเวศแบบโอเพนซอร์ส Birsan อธิบายว่า "ช่องโหว่หรือข้อบกพร่องในการออกแบบ ในเครื่องมือสร้างหรือติดตั้งอัตโนมัติ อาจทำให้มีการใช้แพ็กเกจแบบสาธารณะแทนแพ็กเกจที่พัฒนาขึ้นเพื่อใช้ภายในบริษัท ที่ใช้ชื่อเดียวกัน" Birsan ได้รับเงินกว่า $ 130,000 เป็นรางวัลจากจากโปรแกรมล่าบั๊ก (bug bounty program) จากงานวิจัยนี้ของเขา
อ่านข่าวเต็มได้ที่: BleepingComputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น