Kompromitirani repozitoriji kôda naglašavaju rizik opskrbnog lanca
Prema izvještaju učesnika Black Hat USA 2022, očekivano najveća zabrinutost IT stručnjaka su phishing i ciljani napadi (obično s destruktivnim ransomwareom). Međutim, sve veći broj ispitanika sada vidi povećani rizik od napada na dobavljače, izvođače ili druge partnere.
Kompromitovanje dobavljača softvera je veoma vredno sa tačke gledišta napadača. Zamislite dobavljača aplikacija koji prodaje, recimo, ERP aplikaciju hiljadama kupaca. Umetanje zlonamjernog softvera u redovni paket ažuriranja takvog ERP-a omogućava napadaču trenutnu instalaciju zlonamjernog softvera u hiljadama mreža različitih organizacija. Napadači sve više istražuju ove takozvane napade na lanac snabdijevanja (supply chain attack).
Primjer uspješnog napada na lanac nabavke je Sunburst, počinjen protiv dobavljača softvera SolarWinds još 2020. godine. Krivci su uspjeli kompromitirati interne servere za razvoj softvera i umetnuti backdoor u Orion, popularni alat za praćenje mreže Solarwindsa. Ovo je zatim isporučeno kao ažurirani paket (digitalno potpisan!) za približno 18.000 korisnika softvera SolarWinds (uključujući najveće kompanije Fortune 500 širom svijeta).
Trenutno se čini da su napadači fokusirani na ubacivanje zlonamjernog softvera u javna spremišta koda koja sadrže biblioteke i komponente koje koriste hiljade programera.
Nedavno je Checkpoint identifikovao 10 zlonamernih paketa na PyPI, vodećem Python repozitorijumu.
Napadači će preuzeti ili čak imitirati spremišta koja sadrže popularne softverske pakete, kako bi prevarili programera da koristi lažnu, ali zlonamjernu komponentu u svom kodu. Zlonamjerna skripta ugrađena u paket će obično tražiti i prikupljati lozinke, ključeve i druge osjetljive podatke koji se nalaze na računaru programera, čime će omogućiti dalje širenje i dodatno kompromitiranje drugih sistema.
Održavači PyPi-a pokušali su riješiti zlonamjerno preuzimanje spremišta uvođenjem MFA autentifikacije. Međutim, to neće pomoći protiv lažnog predstavljanja: na primjer, Sonatype je otkrio da je oko 300 programera preuzelo zlonamjerni paket za isporuku Cobalt Strike alata pod nazivom "Pymafka" iz PyPI registra, misleći da je "PyKafka", legitimna i široko preuzimana softverska komponenta.
Rješavanje rizika dobavljača aplikacija zahtijevat će fokus i na strani dobavljača i na strani korisnika softvera.
Kompanije koje proizvode i prodaju softver će trebati pažljivije ispitivanje kada uključuju biblioteke trećih strana u proces proizvodnje softvera, posebno one koje potiču iz javnih spremišta. Korisnicima je, s druge strane, potrebno više uvida u realnom vremenu kada pokreću aplikacije na serverima i krajnjim uređajima. Rješenja koja predstavljaju prirodnu evoluciju antimalware softvera, Endpoint detection and Response, trebala bi ublažiti barem neke od ovih rizika.
