Товарищи, а вот есть допустим dependency confusion, и сборка

совершается либо на серверах облачных провайдеров, либо у кого-то на своей рабочей тачке, но вне офиса компании, как в таком случае определить что атака стриггерилась успешно, а не просто npm свои тесты гоняет на твой пакет?
То есть я получаю имя пользователя, путь до домашней диры, путь до пакета, но этого недостаточно чтобы точно определить что триггернулось именно на тачке, принадлежащей тестируемой компании
при этом понятно что прокидывать бэкшелл как-то не этично, как и качать всякие внутренние файлы
есть у кого мысли, как можно ещё определять что тачка это тачка компании?

Ну вообще, у компании должен быть скоуп описан. Сотрудника ломать из его дома кстати тоже не оч круто. У крупняка есть свои AS выходные, как правило легко понять, что они.

Я вытаскивал process.env, там обычно есть всякие штуки, которые, указывают на компанию. Например почта, локальные домены, пути.

Смотря где сборка

Все dependencies confusion, которые у меня были, как раз срабатывали только на тачках сотрудников.

И такое принимают?

А как дошло у тебя висит пакет? У меня через пару часов удаляют из npm.

ну у меня пока висит, уже часов 10 как

Да

Я понимаю что as свои, но мне кажется что это не отменяет того, что где-то в порядке бреда может стрельнуть на ip амазона

Ага

о, попробую

Но там и айпишники были компании

а пробовал несколько версий пакетов пуллить?

Сутки максимум висит

Мб на process.env тригерит. Попробую как нибудь обфусцировать

Там ведь и пароли всякие могут храниться.

Да. Такое только 1 раз было. Там токенов штук 50 было

кстати, интересно как оно должно выглядеть с обратной стороны. Ведь по идее нужно провести расследование какие креды/токены могли потенциально утечь и все их обновить. Насколько это нормальная практика со стороны компании?

по идее - да, конечно. На практике это очень сложно. Я очень много раз получал доступ ко всем репам в корп гитлабах или подобному, например. Там тысячи секретов. Уверен, что все никто не обновлял

а ещё сложнее с клиентскими кредами/токенами. Если я получил доступ к хосту с ними, никто же клиентов не заставит их обновлять

Ну, в теории можно сбросить всем принудительно и разослать сообщение об этом. Даже пару раз видел такое

в ряде кейсов-практически никак. Тот же самый вектор может выстрелить и когда разработчик захотел поднять локально тестовый стенд у себя дома, так и на прод сервере. В нашей практике был как раз такой кейс, когда выстрелило сначала на проде, а потом еще раз, когда разработчик с целью проверки присланной баги, запустил сборку у себя. Адекватные багбаунти программы проверят саму возможность того что данный пакет мог попасть на прод, и заплатят по максимуму, если такая возможность есть. Если нет, в ряде случаев в программе МРГ(VK) будет использоваться пункт правил: RCE in dev. infrastructure / isolated or virtualized single-purpose process (e.g. image conversion) Баунти конечно пониже, но будет.