Dependency Combobulator: toolkit open-source contra los ataques
Dependency Combobulator es un conjunto de herramientas de código abierto para combatir los ataques de confusión/sustitución de dependencias. Es decir, aquellos ataques que aprovechan un repositorio público o privado de proyectos de software para confundir al gestor de paquetes y colar paquetes que serían supuestas dependencias pero que van dirigidos a realizar algún tipo de ataque.
Apiiro lanzó Dependency Combobulator precisamente para poder luchar contra esto. Un kit de herramientas capaz de detectar y prevenir estos ataques. Estos ataques han sido descubiertos recientemente, y han aumentado como vector de ataque en la actualidad. Es decir, con este kit podrás evitar este tipo de engaños de dependencias que terminan siendo paquetes maliciosos (en vez de instalar la dependencia correcta que se debería instalar para el software que el gestor de paquetes está instalando).
En estos casos, los usuarios no son conscientes, se fían del gestor de paquetes que es el que automatiza el trabajo de las dependencias. Sin embargo, estarían autorizando código malicioso sin saberlo. Ahí es donde Dependency Combobulator se vuelve interesante, para evaluar diferentes fuentes como GitHub, JFrog Artifactory, etc.
Esta herramienta está desarrollada en lenguaje de programación Python, y usa un motor heurístico que funciona en un modelo de paquete abstracto, lo que proporciona fácil extensibilidad. Además de la flexibilidad, también puede llevar a los profesionales de la seguridad a tomar mejores decisiones. Puede integrarse fácilmente, y se lanza de forma automática.
“A raíz de la decisión del investigador de seguridad Alex Birsan de comprometer los ecosistemas mantenidos por Apple, Microsoft y PayPal a principios de este año, la industria experimentó un brote de ataques similares a la cadena de suministro”, dijo Moshe Zioni , vicepresidente de investigación de seguridad de Apiiro . “Estábamos ansiosos por responder creando un conjunto de herramientas que puede mitigar amenazas similares y ser lo suficientemente flexible y extensible para combatir las futuras oleadas de ataques de confusión de dependencia. Abordar este vector de ataque es esencial para que las organizaciones aseguren con éxito sus cadenas de suministro de software «.