開源依賴項管理器 CocoaPods 中的安全漏洞暴露了數千個軟件包，爲針對數百萬 iOS 和 macOS 應用程序的供應鏈攻擊創造了機會。

CocoaPods（Objective-C 和 Swift 的著名依賴管理器）被曝出存在嚴重漏洞，凸顯出 macOS 和 iOS 設備上的應用程序面臨巨大風險。這些漏洞使數百萬個應用程序面臨供應鏈攻擊，可能會損害許多 Apple 用戶。

問題出現在 CocoaPods 遷移到 Trunk 服務器時，導致數千個軟件包無人認領。攻擊者使用公共 API 在 CocoaPods 源代碼中認領 pod 和電子郵件地址。

CocoaPods 被廣泛用于管理 macOS 和 iOS 開發中的第三方庫。由于它可以自動集成和解析，因此它是一種流行的省時工具。然而，這些無人認領的軟件包暴露了近十年。

Trunk 服務器是 CocoaPods 基礎架構的關鍵部分。它管理 CocoaPods 庫文件的分發和托管。它對于庫版本控制、用戶身份驗證和發布流程至關重要。相關的安全問題可能會損害庫的完整性，使攻擊者能夠將有害代碼注入流行的數據包中。

發現的嚴重漏洞包括 CVE-2024-38366 (CVSS 10.0)、CVE-2024-38368 (CVSS 9.3) 和 CVE-2024-38367 (CVSS 8.2)。第一個漏洞影響電子郵件驗證工作流程，允許在 Trunk 服務器上執行任意代碼。漏洞可能導致合法軟件包被更改或替換，對用戶構成重大風險。

第二個漏洞利用了 Claim Your Pods 功能，該功能允許攻擊者控制未認領的軟件包。這反過來又允許攻擊者操縱源代碼，對流行的應用程序進行未經批准的更改。

最後一個缺陷還涉及電子郵件驗證，其中一個潛在的良性鏈接會將攻擊者重定向到惡意域，從而導致帳戶接管或令牌盜竊的風險。

由于許多流行應用都依賴于 CocoaPods，此類漏洞威脅到整個 iOS 和 macOS 生態系統。利用這些漏洞的攻擊者可以將惡意代碼注入合法應用，通過受信任的渠道傳播惡意軟件，並竊取用戶數據。

盡管 CocoaPods 已修補了每個漏洞，但有關這些漏洞如何被利用的細節尚未明確。

這並不是 CocoaPods 第一次面臨審查。2023 年初，安全研究人員發現了一個漏洞，允許攻擊者劫持子域。最近的發現強調了依賴管理和軟件開發中安全性的重要性，需要采取主動措施來應對可能影響用戶數據和應用程序的潛在漏洞。

參考鏈接：

https://www.spiceworks.com/it-security/endpoint-security/news/critical-cocoapods-vulnerability-macos-ios-apps-supply-chain-attacks/