В 2021 году наблюдался массовый рост атак на цепочки поставок программного обеспечения. Согласно исследованию компании Argon Security, в 2021 году число атак увеличилось более чем на 300% по сравнению с 2020. Некоторые из наиболее заметных атак были связаны с эксплуатацией Log4J и инструмента VSA.
Помимо них, также наблюдался рост вредоносного использования репозиториев программного обеспечения с открытым исходным кодом, что позволило злоумышленникам проникнуть в сеть поставщика программного обеспечения и использовать вредоносный код для проведения дальнейших атак. Эта тенденция продолжает представлять серьезную угрозу, поскольку компания Sonatype выявила рост числа вредоносных пакетов, проникающих в различные репозитории с открытым исходным кодом с февраля 2022.
Атаки через репозитории с открытым исходным кодом.
- В начале марта исследователи из Sonatype выявили сотни поддельных пакетов в репозиториях npm и PyPI, которые использовались для внедрения троянов удаленного доступа.
- Более 130 вредоносных пакетов, названных аналогично популярным брендам, веб-сайтам и проектам, были вставлены в npm-репозиторий для организации утечки базовой информации, такой как имена пользователей, имена хостов, IP-адреса и информации об ОС.
- Кроме того, было обнаружено восемь вредоносных PyPI-пакетов, которые использовали атаки через путаницу зависимостей на разработчиков и окружение Azure.
Выявляется все больше атак.
- В еще одном инциденте была обнаружена группа из более чем 200 вредоносных npm-пакетов, нацеленных на разработчиков Microsoft Azure с целью кражи их персональных данных.
- Атака была направлена на весь диапазон @azure npm. Чтобы остаться незамеченными, злоумышленники создали учетные записи с помощью автоматического скрипта, который также использовался для загрузки вредоносных пакетов.
- Недавно исследователи Chechmarx также подняли тревогу по поводу полностью автоматизированных атак на цепочку поставок npm, в результате которых сотни вредоносных пакетов попадали в npm-системы.
- Это была работа хакера под ником RED-LILI. Злоумышленник полностью автоматизировал процесс создания учетных записей npm и сумел запустить трудно обнаруживаемые атаки с путаницей зависимостей.
- Checkmarx полагает, что злоумышленник все еще активен и продолжает публиковать вредоносные пакеты.
Заключение
Суровая реальность в том, что программное обеспечение с открытым исходным кодом становится все более желанной целью для атак на цепочки поставок, поэтому компаниям следует усилить безопасность процесса разработки, чтобы противостоять подобным комплексным атакам. Кроме того, очень важно, чтобы разработчики, использующие программное обеспечение с открытым исходным кодом, загружали код только из официальных репозиториев, чтобы предотвратить атаки через подмену исходников на вредоносные.
Источник: https://cyware.com
