新CAPEC吗?从这里开始
>CAPEC列表顶> capec - 695:回购(版本3.9)

capec - 695:回购顶起
攻击模式ID: 695
抽象:详细的
视图定制的信息:
+描述

敌人利用重定向的性质直接相关的版本控制系统(VCS)存储库诱骗用户将恶意代码合并到他们的应用程序。

+扩展描述

软件开发人员可以直接引用一个风投公司库(即。,via a hardcoded URL) within source code to integrate the repository as a dependency for the underlying application. If the repository owner/maintainer modifies the repository name, changes their VCS username, or transfers ownership of the repository, the VCS implements a redirect to the new repository location so that existing software referencing the repository will not break. However, if the original location of the repository is reestablished, the VCS will revert to resolving the hardcoded path. Adversaries may, therefore, re-register deleted or previously used usernames and recreate repositories with malicious code to infect applications referencing the repository. When an application then fetches the desired dependency, it will now reference the adversary's malicious repository since the hardcoded repository path is once again active. This ultimately allows the adversary to infect numerous applications, while achieving a variety of negative technical impacts.

+攻击的可能性

媒介

+典型的严重性

+的关系
部分帮助此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
自然 类型 ID 的名字
ChildOf 标准的攻击模式标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 616年 建立流氓位置
部分帮助此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
视图名称 顶级类别
域的攻击 软件,硬件,通信,供应链,社会工程
机制的攻击 从事欺骗性的交互
+执行流程
探索

  1. 确定目标:敌人必须先确定一个目标存储库,常用它的所有者/维护人员修改/删除用户名或转移所有权的库,然后删除账户。目标通常应该是一个受欢迎的和广泛使用的包,增加攻击范围。

实验

  1. 创建初始库路径:敌人重新注册的帐户被命名为/删除目标库的所有者/维护者和再现目标与恶意代码库旨在开发一个应用程序。这些步骤可能需要发生反向(即。,recreate repository and then rename an existing account to the target account) if protections are in place to prevent repository reuse.

利用

  1. 利用受害者:对手的恶意代码是纳入直接引用初始库的应用程序,这也进一步允许对手进行更多的攻击。

+先决条件
识别一个流行的库,可能直接中引用大量的软件应用程序
存储库所有者/维护者最近改变了他们的用户名或删除帐户
+技能要求
(等级:低)
能力一个风投公司托管站点上创建一个帐户并重新创建一个现有的目录结构。
(等级:低)
能够创建恶意软件,可以利用各种软件应用程序。
+后果
部分帮助这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
范围 影响 可能性
完整性
读取数据
修改数据
访问控制
授权
执行未经授权的命令
改变执行逻辑
获得特权
+缓解措施
利用专用包管理器而不是直接链接到风投存储库。
利用版本将和锁文件,以防止恶意修改存储库的使用。
实现(即“供应商”。,including third-party dependencies locally) and leverage automated testing techniques (e.g., static analysis) to determine if the software behaves maliciously.
利用自动化工具,如Checkmarx“ChainJacking”工具,以确定对回购顶起攻击。
+例子,实例

2022年5月,CTX Python包和PhPass PHP包都是利用相同的对手通过回购顶起攻击。CTX包,通过密码重置对手一个帐户执行收购,由于过期domain-hosting邮件。袭击PhPass继承绕过GitHub的退休身份验证存储库。在这两种情况下,敏感数据的API密钥和密码,每个存储环境变量的形式,是接的。(ref - 732][ref - 733]

2021年10月,UAParser流行的JavaScript库。js是利用通过收购作者节点的包管理器(NPM)账户。adversary-provided恶意软件下载和执行的二进制文件从远程服务器进行crypto-mining和漏出敏感数据在Windows系统。这是一个大规模的攻击,因为包接收每周8到900万下载。(ref - 732]
+分类法映射
部分帮助CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
相关ATT&CK分类法映射(也看到)
条目ID 条目名称
1195.001 供应链妥协:妥协软件和开发工具的依赖性
+引用
(ref - 722)印第安纳州男人味儿。“顶回购:利用依赖供应链”。安全创新。2020-10-22。<https://www.concretecms.org/about/project-万博下载包news/security/supply-chain-hack-phpass-repo-jacking>。URL验证:2022-09-09
[ref - 732]西奥波顿。“顶CyRC脆弱性分析:回购软件供应链”。Synopsys对此。2022-08-02。<https://www.synopsys.com/blogs/software-security/cyrc-vulnerability-analysis-repo-jacking/>。URL验证:2022-09-09
内存泄漏问题[ref - 733] Harush。“攻击者被劫持包使用多种技术来偷AWS凭证”。Checkmarx。2022-05-25。<https://checkmarx.com/blog/attacker-caught-hijacking-packages-using-multiple-techniques-to-steal-aws-credentials/>。URL验证:2022-09-09
内存泄漏问题[ref - 734] Harush。“GitHub RepoJacking弱点在野外利用由攻击者”。Checkmarx。2022-05-27。<https://checkmarx.com/blog/github-repojacking-weakness-exploited-in-the-wild-by-attackers/>。URL验证:2022-09-09
+内容的历史
提交
提交日期 提交者 组织
2022-09-29
(版本3.8)
 CAPEC内容团队 manbetx客户端首页
修改
修改日期 修饰符 组织
2023-01-24
(版本3.9)
 CAPEC内容团队 manbetx客户端首页
更新Related_Weaknesses
更多的信息是可用的,请选择一个不同的过滤器。
页面最后更新或审查:2022年9月29日,

使用常见的攻击模式枚举和分类(CAPEC)和相关的引用从这个网站的使用条款。CAPEC赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2007 - 2023,斜方公司。manbetx客户端首页CAPEC和CAPEC标志是斜方公司的商标。manbetx客户端首页