T1195.001: Компрометация программных зависимостей и инструментов разработки

Злоумышленники могут вносить изменения в программные зависимости и инструменты разработчика до того, как конечный пользователь получит создаваемое с их помощью ПО, с целью компрометации данных или систем. Приложения часто имеют взаимосвязи с внешним кодом, необходимые для корректной работы. Популярные проекты с открытым исходным кодом, от которого зависит работа многих других приложений, могут стать средством доставки вредоносного кода их пользователям.

Атака может быть направлена сразу на нужные цели или же на широкий круг потребителей с переходом к дополнительным тактикам в отношении конкретных жертв.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

supply_chain: PT-CR-1772: SupplyChain_Dependency_Confusion: Внутренняя проприетарная библиотека загружена из внешнего репозитория. Это может свидетельствовать об атаке Dependency Confusion (CVE-2021-29427)

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Проверяйте подлинность распространенных бинарных файлов, используя проверку хеша или другие средства проверки подлинности. Сканируйте загрузки на предмет вредоносных сигнатур и рассмотрите возможность тестирования ПО и обновлений до развертывания, отмечая возможную подозрительную активность.

Меры противодействия

IDM1016НазваниеПоиск уязвимостейОписание

Проводите постоянный мониторинг источников уязвимостей и используйте средства автоматического и ручного анализа кода.

IDM1033НазваниеОграничение установки программного обеспеченияОписание

По возможности требуйте, чтобы разработчики брали пакеты из внутренних репозиториев, содержащих проверенные и одобренные пакеты, а не из внешних.

IDM1051НазваниеОбновление ПООписание

Процесс управления исправлениями должен быть внедрен для проверки неиспользуемых зависимостей, необслуживаемых и (или) ранее уязвимых зависимостей, ненужных функций, компонентов, файлов и документации.

IDM1013НазваниеРуководство для разработчиков приложенийОписание

Разработчики приложений должны быть осторожны при выборе сторонних библиотек для интеграции в приложение. Кроме того, разработчики должны по возможности использовать конкретные версии зависимостей программного обеспечения, а не обязательно последние.