반응형
기사 한줄요약('22.10.14) :
실존하는 비공개된 패키지와 똑같은 이름의 악성 공개 패키지를 만들어 비공개 패키지 사용자가 다운로드하도록 하는 코드 디펜던시 혼란을 이용 이를 회사 내부로 들어가게 하는 방법이 고안되었고 이를 '코드 디펜던시 혼동 공격'이 라고 하며 아직 명확한 방어 방법이 없다고 한다.
- 공격 특징!
1. 공격 대응 방법 : 내부적으로 사용하는 패키지 이름을 외부로 유출하지 않음
2. 공격 방식 : NPM의 API 취약점 이용
- 비공개 패키지의 존재 여부 확인 가능
> 확인 방법 : 비공개 패키지 검색해서 나오는 오류(648밀리 세컨드)와 패키지가 실존하지 않아서 나타나는 오류(101밀리 세컨드)의 반응 속도가 다름
3. 패키지 이름 추측 방법
1) 조직 내 통용되는 이름 짓기 방법을 사전 공격으로 시도
2) 라이브러리 등 공개된 데이터셋을 활용해 공공 패키지들 중 삭제된 것 확인.(공공이었다 비공개 전환)
문가용 기자, NPM 리포지터리의 비공개 패키지도 감염시킬 수 있다, 보안뉴스, https://m.boannews.com/html/detail.html?tab_type=1&idx=110679
NPM 리포지터리의 비공개 패키지도 감염시킬 수 있다
기업이 NPM 리포지터리에 호스팅한 비공개 소프트웨어 패키지를 공략하는 방법이 보안 업체 아쿠아시큐리티(Aqua Security)에 의해 개발됐다. 실제로 존재하는 비공개 소프트웨어 패키지의 이름을
m.boannews.com
반응형
