По мере того как разработчики коммерческого и корпоративного программного обеспечения стали более ответственно подходить к обновлению компонентов своего ПО с открытым исходным кодом, чтобы снизить риск атак на каналы поставок ПО, злоумышленники стали ещё более изощрёнными. Исследователи предупреждают, что они всё более активно используют проекты с открытым исходным кодом с целью превращения их в каналы распространения собственного вредоносного ПО.
Раньше злоумышленники просто паразитировали на существующих багах в широко используемых компонентах с открытым исходным кодом, понимая, что они могут сделать жертвами многие организации, полагающиеся на устаревшие программы. Но теперь злоумышленники всё чаще проявляют активность, внедряясь в проекты с открытым исходным кодом, чтобы засорить их вредоносными компонентами, которые можно запустить в действие сразу после загрузки и использовать против ничего не подозревающих организаций.
Согласно недавно опубликованному отчёту Sonatype «Состояние цепочки поставок программного обеспечения в 2020 году» (2020 State of the Software Supply Chain), количество так называемых атак «следующего поколения» на сеть поставок ПО заметно выросло — на 430 % за последний год.
Как поясняется в отчёте, злоумышленники используют природу разработки программного обеспечения с открытым исходным кодом против неё же с помощью атак следующего поколения. Проекты с открытым исходным кодом полагаются на вклад добровольцев, и сами эти проекты часто включают сотни или даже тысячи зависимостей от других проектов. Идея таких проектов основана на всеобщем доверии, и всё это «создает плодородную среду, в которой злоумышленники могут охотиться на хороших людей с удивительной лёгкостью», отмечено в отчёте.
Самый последний пример изощрённой атаки нового поколения был обнаружен на GitHub в мае. Исследователи выявили вредоносное ПО под названием Octopus Scanner, предназначенное для пользователей GitHub, участвующих в разработке проектов NetBeans. Код бэкдора был выявлен в компонентах для NetBeans, хотя законные владельцы репозиториев на GitHub даже не подозревали об этом.
И это не единичный случай. Весной исследователи из ReversingLabs зафиксировали атаку хакеров, которые использовали метод тайпсквоттинга (регистрация доменных имён, близких по написанию с адресами популярных сайтов, в расчёте на ошибку части пользователей). Они заполнили репозиторий пакетов для Ruby Gems 760 вредоносными пакетами, имена которых слегка отличались от названий легитимных пакетов.
Между тем ранее в этом месяце на мероприятии Black Hat USA исследователи продемонстрировали, как можно использовать новый подход для атаки на приложения Node.js, манипулируя скрытыми свойствами, используемыми для мониторинга внутреннего состояния программы.
Как отмечают эксперты, ситуация в сфере обеспечения безопасности, в целом, улучшилась. Согласно отчёту, 49 % организаций теперь могут исправлять уязвимости с открытым исходным кодом в течение недели с момента обнаружения. Однако исследователи предупреждают, что даже несмотря на рост числа атак следующего поколения, организациям всё ещё необходимо укреплять свои позиции в отношении атак «старого образца».
Исследование показало, что новые уязвимости в программных компонентах с открытым исходным кодом используются в течение трёх дней после публичного обнаружения, и в течение этого периода около 86 % организаций остаются открыты для эксплойтов.