Os pesquisadores identificaram uma vulnerabilidade de confusão de dependência que afeta um projeto Apache arquivado chamado Chicote de aplicativos Cordova.
Os ataques de confusão de dependência ocorrem devido ao fato de os gerenciadores de pacotes verificarem os repositórios públicos antes dos registros privados, permitindo assim que um ator de ameaça publique um pacote malicioso com o mesmo nome em um repositório de pacotes público.
Isso faz com que o gerenciador de pacotes baixe inadvertidamente o pacote fraudulento do repositório público em vez do repositório privado pretendido. Se for bem-sucedido, poderá ter consequências graves, como a instalação de todos os clientes downstream que instalam o pacote.
Uma análise de maio de 2023 de pacotes npm e PyPI armazenados em ambientes de nuvem pela empresa de segurança em nuvem Orca revelou que quase 49% das organizações são vulneráveis a um ataque de confusão de dependência.
Embora o npm e outros gerenciadores de pacotes tenham introduzido correções para priorizar as versões privadas, a empresa de segurança de aplicativos Legit Safety disse que descobriu que o projeto Cordova App Harness faz referência a uma dependência interna chamada cordova-harness-client sem um caminho de arquivo relativo.
A iniciativa de código aberto foi descontinuada pela Apache Software program Basis (ASF) em 18 de abril de 2019.
Como demonstrado pela Legit Safety, isso deixou a porta aberta para um ataque à cadeia de suprimentos, carregando uma versão maliciosa com o mesmo nome e um número de versão mais alto, fazendo com que o npm recuperasse a versão falsa do registro público.
Com o pacote falso atraindo mais de 100 downloads após ser carregado no npm, isso indica que o projeto arquivado ainda está sendo usado, provavelmente representando graves riscos para os usuários.
Em um cenário de ataque hipotético, um invasor poderia sequestrar a biblioteca para fornecer código malicioso que poderia ser executado no host de destino após a instalação do pacote.
Desde então, a equipe de segurança do Apache resolveu o problema assumindo a propriedade do pacote cordova-harness-client. Vale a pena notar que as organizações são aconselhadas a criar pacotes públicos como espaços reservados para evitar ataques de confusão de dependências.
“Esta descoberta destaca a necessidade de considerar projetos e dependências de terceiros como potenciais elos fracos na fábrica de desenvolvimento de software program, especialmente projetos de código aberto arquivados que podem não receber atualizações regulares ou patches de segurança”, disse o pesquisador de segurança Ofek Haviv.
“Embora possa parecer tentador deixá-los como estão, esses projetos tendem a ter vulnerabilidades que não estão recebendo atenção e provavelmente não serão corrigidas”.
