Supply Chain Compromise: Compromise Software Dependencies and Development Tools

ID Name
T1195.001 Compromise Software Dependencies and Development Tools
T1195.002 Compromise Software Supply Chain
T1195.003 Compromise Hardware Supply Chain

Adversaries may manipulate software dependencies and development tools prior to receipt by a final consumer for the purpose of data or system compromise. Applications often depend on external software to function properly. Popular open source projects that are used as dependencies in many applications may be targeted as a means to add malicious code to users of the dependency. [1]

Targeting may be specific to a desired victim set or may be distributed to a broad set of consumers but only move on to additional tactics on specific victims.

Angreifer können Software-Abhängigkeiten und Entwicklungstools manipulieren, bevor sie beim Endverbraucher ankommen, um Daten oder Systeme zu kompromittieren. Anwendungen sind oft von externer Software abhängig, um ordnungsgemäss zu funktionieren. Beliebte Open-Source-Projekte, die in vielen Anwendungen als Abhängigkeiten verwendet werden, können ins Visier genommen werden, um den Benutzern der Abhängigkeit bösartigen Code hinzuzufügen. (Zitat: Trendmicro NPM Compromise)

Das Targeting kann spezifisch auf eine gewünschte Opfergruppe ausgerichtet sein oder an eine breite Gruppe von Verbrauchern verteilt werden, aber nur bei bestimmten Opfern zu weiteren Taktiken übergehen.

Les adversaires peuvent manipuler les dépendances logicielles et les outils de développement avant leur réception par un consommateur final dans le but de compromettre les données ou le système. Les applications dépendent souvent de logiciels externes pour fonctionner correctement. Les projets open source populaires qui sont utilisés comme dépendances dans de nombreuses applications peuvent être ciblés comme moyen d'ajouter du code malveillant aux utilisateurs de la dépendance. (Citation : Trendmicro NPM Compromise)

Le ciblage peut être spécifique à un ensemble de victimes souhaité ou peut être distribué à un large ensemble de consommateurs mais ne passer à des tactiques supplémentaires que sur des victimes spécifiques.

Gli avversari possono manipolare le dipendenze del software e gli strumenti di sviluppo prima della ricezione da parte di un consumatore finale allo scopo di compromettere i dati o il sistema. Le applicazioni spesso dipendono da software esterno per funzionare correttamente. Progetti open source popolari che vengono usati come dipendenze in molte applicazioni possono essere presi di mira come mezzo per aggiungere codice malevolo agli utenti della dipendenza. (Citazione: Trendmicro NPM Compromise)

Il targeting può essere specifico per un set di vittime desiderato o può essere distribuito ad un ampio set di consumatori ma passare solo a tattiche aggiuntive su vittime specifiche.

Login
ID: T1195.001
Sub-technique of:  T1195
Tactic: Initial Access
Platforms: Linux, Windows, macOS
Version: 1.0
Created: 11 March 2020
Last Modified: 11 March 2020
Translations:  DE FR IT EN
Provided by LAYER 8

Procedure Examples

ID Name Description
S0658 XCSSET

XCSSET adds malicious code to a host's Xcode projects by enumerating CocoaPods target_integrator.rb files under the /Library/Ruby/Gems folder or enumerates all .xcodeproj folders under a given directory. XCSSET then downloads a script and Mach-O file into the Xcode project folder.[2]

Mitigations

ID Mitigation Description
M1051 Update Software

A patch management process should be implemented to check unused dependencies, unmaintained and/or previously vulnerable dependencies, unnecessary features, components, files, and documentation.

M1016 Vulnerability Scanning

Continuous monitoring of vulnerability sources and the use of automatic and manual code review tools should also be implemented as well.[3]

Detection

Use verification of distributed binaries through hash checking or other integrity checking mechanisms. Scan downloads for malicious signatures and attempt to test software and updates prior to deployment while taking note of potential suspicious activity.

Verwenden Sie die Überprüfung von verteilten Binärdateien durch Hash-Prüfung oder andere Mechanismen zur Integritätsprüfung. Scannen Sie Downloads auf bösartige Signaturen und versuchen Sie, Software und Updates vor der Bereitstellung zu testen, während Sie auf potenziell verdächtige Aktivitäten achten.

Utilisez la vérification des binaires distribués par le biais de la vérification du hachage ou d'autres mécanismes de vérification de l'intégrité. Analysez les téléchargements à la recherche de signatures malveillantes et essayez de tester les logiciels et les mises à jour avant leur déploiement tout en prenant note des activités suspectes potentielles.

Utilizzare la verifica dei binari distribuiti attraverso il controllo dell'hash o altri meccanismi di controllo dell'integrità. Esamini i download alla ricerca di firme dannose e cerchi di testare il software e gli aggiornamenti prima dello spiegamento, prendendo nota di potenziali attività sospette.

References