Более 20% всех Java-библиотек с открытым исходным кодом уязвимы для перехвата злоумышленниками!
В начале года (17 января) исследователи из компании Oversecured выпустили отчет, содержащий детальную информацию о новом типе атак на цепочку поставок для Java и Android-проектов.
Главные цифры: из 33 938 проанализированных доменов 6 170 (18,18%) оказались уязвимыми для MavenGate, позволяя злоумышленникам перехватить зависимости с открытым исходном кодом и внедрить свой собственный код. Но это еще не предел, ведь скомпрометированные библиотеки могут входить в состав других библиотек, делая их также уязвимыми к этому типу атаки. И таким образом, через «транзитивные» зависимости может быть уязвимо еще большее количество библиотек и применяющих их конечных проектов.
Возможность атаки заключается в специфике подтверждения владением библиотеки для Java-проектов посредством DNS-записей. Владелец домена, например, stingraymobile.ru, имеет право загружать любые пакеты, которые начинаются с ru.stingraymobile.* (то есть перевернутый домен). Но если домен заброшен и свободен для покупки, любой желающий может его купить и выдать себя за владельца.
Простой пример для реализации атаки со стороны злоумышленника на примере библиотеки com.xmlmatchers:
- Покупает домен xmlmatchers.com за 10 долларов
- Регистрируется во всех публичных репозиториях, где первичная валидация происходит по домену
- Загружает в эти репозитории библиотеку, которая содержит полезную нагрузку в дополнение к основному функционалу с той же версией, что и в оригинальном репозитории
- Все проекты и пользователи, использующие эту зависимость (и у кого установлен первым не репозиторий, в которую библиотеку загружал автор), получат версию злоумышленника
Повторяем это действие для всех найденных библиотек со свободными доменами.
Вниманию всех, кто использует библиотеки с открытым исходным кодом! Специалисты Swordfish Security проверили возможность реализации атаки и обнаружили более 15 доменов, которые были перерегистрированы на новых владельцев. И сейчас неизвестно, сколько проектов уже скомпрометировано.
Исследователи отмечают, что потенциально все технологии на базе Maven, включая Gradle, уязвимы для атаки, в связи с чем отчеты по этому поводу были направлены Oversecured в более чем в 200 компаний, включая Google, Facebook, Signal, Amazon, Adobe, LinkedIn, Netflix и другие.
Специалисты Swordfish Security подчеркивают, что защититься от данного типа атаки можно, реализовав несколько непростых шагов. Необходимо проанализировать все библиотеки в проекте и исключить потенциально опасные, проверить хэш-суммы загружаемых файлов с оригиналами или проверить цифровую подпись при загрузке.
похожие материалы
Эксперт Станислав Ежов из «Группы Астра» рассказал, как решить проблему ошибок ИИ
Искусственный интеллект пока не приносит ожидаемого роста производительности труда.
Новый сложный Linux-вредонос VoidLink нацелен на облачные среды и контейнеры
Исследователи по кибербезопасности из Check Point Research обнаружили ранее неизвестный и высокотехнологичный вредоносный фреймворк для Linux под названием VoidLink, ориентированный на облачные и контейнерные среды.
Хакеры взломали Европейское космическое агентство и выставили на продажу сотни гигабайт данных
Европейское космическое агентство сообщило о крупном инциденте, в ходе которого злоумышленники получили доступ к части его внешних серверов и похитили большие массивы данных.
Мошенники устроили «распродажу» невостребованных новогодних подарков в мессенджерах
Киберполиция Санкт-Петербурга предупредила о новой волне мошенничества, в рамках которой злоумышленники предлагают пользователям купить электронику и бытовую технику по бросовым ценам под предлогом распродажи «зависших» новогодних подарков.
Уязвимость WhisperPair ставит под угрозу миллионы Bluetooth-устройств по всему миру
Исследователи из группы Computer Security and Industrial Cryptography при Католическом университете Лёвена выявили критическую уязвимость в протоколе Google Fast Pair, получившую обозначение CVE-2025-36911 и прозванную WhisperPair.
Microsoft и правоохранители вывели из строя крупный сервис киберпреступников RedVDS
Microsoft объявила о совместной с международными правоохранительными органами операции по нейтрализации глобального сервиса RedVDS, который предоставлял киберпреступникам доступ к виртуальным рабочим столам за подписку и использовался для реализации масштабных мошеннических схем.
Logitech признала проблему с сертификатами на macOS, мешающую запуску G-Hub
Пользователи оборудования Logitech на macOS столкнулись с проблемой, из-за которой фирменное программное обеспечение G-Hub не запускается или работает некорректно.
Исследователи предупреждают о новой волне атак, связанных с цифровым обслуживанием управляющих компаний
Специалисты по кибербезопасности из сервиса Angara MTDR зафиксировали активизацию атак, связанных с изменениями в жилищном законодательстве.
Телекоммуникации стали главной целью кибератак в России
Центр мониторинга и реагирования на кибератаки RED Security SOC зафиксировал резкий сдвиг в приоритетах киберпреступников.
В Max опровергли информацию о взломе мессенджера
В пресс-службе национального мессенджера Max заявили, что информация о якобы взломанной платформе и утечке данных более 15 млн пользователей является недостоверной.