top of page

Kompromitirani repozitoriji kôda naglašavaju rizik opskrbnog lanca

Prema izvješću sudionika Black Hat USA 2022, najveće brige IT stručnjaka su očekivano phishing i ciljani napadi (obično s destruktivnim ransomwareom). Međutim, sve veći udio ispitanih sada vidi povećani rizik od napada na dobavljače, izvođače ili druge partnere.


Ugrožavanje pružatelja softvera vrlo je vrijedno s gledišta napadača. Razmotrite dobavljača aplikacija koji prodaje, recimo, ERP aplikaciju tisućama kupaca. Ubacivanje zlonamjernog softvera u redoviti update paket takvog ERP-a osigurava napadaču trenutačnu instalaciju malware-a u tisućama mreža različitih organizacija. Te takozvane napade na lanac opskrbe (eng. supply chain attack) napadači sve više istražuju.


Primjer uspješnog napada na lanac opskrbe je Sunburst, počinjen protiv dobavljača softvera SolarWinds još 2020. godine. Krivci su uspjeli kompromitirati interne poslužitelje za izgradnju softvera i umetnuti backdoor u Orion, Solarwindsov popularni alat za nadzor mreže. Ovo je zatim isporučeno kao update paket (digitalno potpisan!) na otprilike 18.000 korisnika SolarWinds softvera (uključujući i najveće Fortune 500 kompanije širom svijeta).


Čini se da su trenutno napadači usredotočen na ubacivanje zlonamjernog softvera u javne repozitorije koda koji sadrže biblioteke i komponente koje koriste tisuće programera.

Nedavno je Checkpoint identificirao 10 zlonamjernih paketa na PyPI-ju, vodećem Python repozitoriju.

Napadači će preuzeti ili čak oponašati repozitorije koji sadrže popularne softverske pakete, kako bi naveli programera da koristi lažnu, ali zlonamjernu komponentu u svom kodu. Zlonamjerna skripta ugrađena u paket obično će pretraživati ​​i sakupljati lozinke, ključeve i druge osjetljive podatke koji se nalaze na računalu programera, te time omogućiti daljnje širenje i dodatne kompromitacije drugih sustava.


Održavatelji PyPi-ja pokušali su riješiti zlonamjerno preuzimanje repozitorija uvođenjem MFA-a. Međutim, to neće pomoći protiv lažnog predstavljanja: npr. Sonatype je otkrio da je oko 300 programera preuzelo zlonamjerni paket za distribuciju Cobalt Strikea pod nazivom "Pymafka" iz PyPI registra, misleći da je to "PyKafka", legitimna i široko preuzimana softverska komponenta.


Rješavanje rizika dobavljača aplikacije zahtijevat će fokus i na strani dobavljača i na strani korisnika softvera.

Tvrtke koje proizvode i prodaju softver trebat će pažljiviju provjeru kada uključuju biblioteke trećih strana u proces proizvodnje softvera, posebno one koje potječu iz javnih repozitorija. Korisnici s druge strane, moraju imati više uvida u stvarnom vremenu kada pokreću aplikacije na poslužiteljima i krajnjim uređajima. Rješenja koja predstavljaju prirodnu evoluciju antimalware softvera, Endpoint detection and Response, trebala bi umanjiti barem neke od ovih rizika.

Comments


Latest news

bottom of page