Deweloperzy używają wtedy do importowania bibliotek menedżerów pakietów, składując je następnie w środowisku, w którym projektują aplikacje. Wykorzystują też wtedy często prywatne biblioteki, które przechowują w wewnętrznych repozytoriach hostowanych przez firmowe serwery.

Już podczas tworzenia aplikacji deweloperzy często mieszają biblioteki prywatne z bibliotekami publicznymi, które pobierają z publicznych portali pakietów, takich jak npm, PyPI, NuGet lub inne. Atak typu „dependency confusion" wybiera sobie na ofiarę takie właśnie środowiska deweloperskie.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Były programista Microsoftu: wydajność Windows 11 jest "komicznie zła" nawet na potężnym PC
• Apple ostrzega przed szpiegowskim oprogramowaniem działającym podobnie jak Pegasus

Gdy haker pozna nazwę prywatnej biblioteki, używanej przez projektowaną w firmie aplikację, może ją wykorzystać do zarejestrowania własnej biblioteki zawierającej szkodliwy kod, składując ją w publicznym repozytorium pakietów. Na tym właśnie polega atak „substitution”, czyli przez „podstawienie”.

Informatycy Microsoftu odkryli to badając sytuacje, w których niektóre firmy przypadkowo ujawniły nazwy swoich wewnętrznych bibliotek, a następnie zarejestrowały je w publicznych repozytoriach pakietów, takich jak npm, RubyGems czy PyPI. Okazała się wtedy, że w repozytoriach takich nie znajdują się wcale oryginalne biblioteki, a spreparowane przez hakerów, zawierające oczywiście różnego rodzaju malware.