🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Vulnerability Intelligence

Hackers podem atingir usuários do Mailchimp explorando um bug de confusão de dependências

Hackers podem atingir usuários do Mailchimp explorando um bug de confusão de dependências
October 20, 2022
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Autor: Vishal Singh
Co-autores e colaboradores: Afilhado Bastin
Editor: Deepanjli Paulraj

O BeVigil, o primeiro mecanismo de busca de segurança do mundo, identificou vários aplicativos vazando chaves da API do Mailchimp. Com base nessas descobertas, os pesquisadores do CloudSEK identificaram dois pacotes não reclamados, no código do Mailchimp, que criam confusão de dependências. Isso pode ser aproveitado para injetar código malicioso no código do Mailchimp.

Com aproximadamente 800.000 clientes pagantes e ~ 13 milhões de usuários, o Mailchimp é uma das maiores plataformas de automação de marketing do mundo que permite que as empresas interajam com clientes e públicos.

Neste blog, reivindicamos um dos pacotes não reivindicados no código do Mailchimp para ilustrar como a confusão de dependência pode ser explorada por agentes de ameaças e por que é uma vulnerabilidade que as organizações devem estar atentas.

Confusão de dependências no Mailchimp

A confusão de dependência é uma vulnerabilidade da cadeia de suprimentos de software que pode ser explorada para induzir um instalador de software a chamar um arquivo de código malicioso de um repositório de código público em vez de chamar um arquivo com o mesmo nome do repositório interno autorizado.

O Mailchimp tem 2 pacotes não reclamados:

Documentação da API do Mailchimp mostra que o exigir () as funções nos pacotes acima não estão configuradas corretamente. Portanto, quando um usuário tenta instalá-los, isso faz com que o pacote do invasor seja instalado em seu lugar. Para ilustrar como um invasor pode fazer isso, assumimos o controle do marketing do Mailchimp pacote. *

Como a confusão de dependências do Mailchimp pode ser explorada

Instalamos o pacote mailchimp-marketing, a partir do repositório Mailchimp, seguindo as instruções na guia de instalação.

Install the mailchimp_marketing package
Instale o pacote mailchimp_marketing

 

Import mailchimp_marketing
Importar mailchimp_marketing

 

Para importar o pacote autorizado, faça o seguinte exigir () a função deve ser usada: exigir (“@mailchimp /mailchimp_marketing”). No entanto, o Documentação da API orienta os usuários a usar o exigir () função exigir (“mailchimp-marketing”).

Quando essa função é usada, npmjs.org/mailchimp-marketing responde com um código de status 404. Isso mostra que um pacote chamado mailchimp-maketing não está disponível no repositório. Portanto, poderíamos publicar uma biblioteca chamada mailchimp-marketing em npmjs.

Clonamos o repositório original do Mailchimp e publicamos um projeto chamado mailchimp-marketing, com um webhook inofensivo no código. Nós baixamos o pacote mailchimp_marketing original do Github e adicionou o webhook no ApiClient.js arquivo.

Sempre que um usuário baixa esse repositório, que assumimos, o webhook será acionado e receberemos uma notificação.

O repositório que reivindicamos e o código hospedado podem ser encontrados aqui.

Os downloads e o webhook acionados 500-1000 visitas por semana desde Usuários do MailChimp.

Webhook added in the ApiClient.js file
Webhook adicionado no arquivo ApiClient.js

 

Em seguida, usamos o NPM CLI para fazer o upload desse pacote com mailchimp-marketing como nome do pacote.

Até agora, obtivemos 72.389 acessos (código usado pelos usuários repetidamente) para um único pacote e outro repositório disponível para aquisição.

Hits for the package
Sucessos para o pacote

 

O pacote não reclamado

O pacote mailchimp_transacional também retorna uma mensagem 404 não encontrada no npm, mostrando que ela também não foi reivindicada. Os agentes de ameaças reivindicam esse pacote e podem hospedar códigos maliciosos nele.

Impacto

Os agentes de ameaças podem assumir o controle dos pacotes não reivindicados para atingir os sistemas públicos dos usuários do Mailchimp da seguinte forma:

  • Iniciando a execução remota de código
  • Instalando malware
  • Implementação de keyloggers e mineradores de bitcoin
  • Lançamento de ataques de ransomware

Mitigação

O Mainchimp deve atualizar a documentação da API dos pacotes não reivindicados.

  • exigir (“mailchimp-marketing”) deve ser atualizado para exigir (“@mailchimp /mailchimp_marketing”)
  • exigir (“mailchimp_transactional”) deve ser atualizado para exigir (“@mailchimp /mailchimp_transactional”)

Referências

*Observação: o Mailchimp foi notificado sobre isso, mas não respondeu às nossas divulgações nem corrigiu o problema.

Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Vulnerability Intelligence
July 4, 2025
3
min
Vulnerabilidade do Cisco Unified Communications Manager CVSS 10: mais de mil ativos expostos à Internet
Leia mais
Este é um texto dentro de um bloco div.
Vulnerability Intelligence
May 30, 2025
4
min
Mais de 50.000 usuários do Azure AD expostos por meio de API insegura: BeVigil descobre uma falha crítica
Leia mais
Este é um texto dentro de um bloco div.
Vulnerability Intelligence
May 23, 2025
5
min
Exposto e explorável: como uma falha de LFI deixou os arquivos do servidor de um gigante de viagens abertos para hackers
Leia mais