Sonatype’in 2024 Açık Kaynaklı Kötü Amaçlı Yazılım Tehdit Raporu, izlemenin başladığı 2019 yılından bu yana kötü amaçlı paket sayısının 778.500’ü aştığını ortaya koyuyor. 2024’te araştırmacılar, özellikle işletmelerin açık kaynak araçlarını giderek daha fazla benimsediği bir dönemde, tehdit aktörlerinin geliştiricileri hedeflemek için kötü amaçlı açık kaynak paketlerinden nasıl yararlandığını inceledi. özel yapay zeka modelleri oluşturmak için.
Kaynak: Sonatip
Açık kaynaklı kötü amaçlı yazılımlar, giriş engellerinin düşük olduğu, yazar doğrulamasının olmadığı, kullanımın yüksek olduğu ve kullanıcı çeşitliliğinin olduğu ekosistemlerde gelişir. Her yıl trilyonlarca paket talebini karşılayan npm ve PyPI gibi platformlar, saldırganların yazılım tedarik zincirine sızması için önemli fırsatlar sunuyor. Kötü niyetli aktörler popüler paketleri hedef alır, meşru paketleri taklit eder veya kötü amaçlı yazılımları yeniden paketlemek için bakımcı hesaplarını ele geçirir. Derleme sistemlerini yanıltmak için genellikle daha yüksek sürüm numaraları yayınlayarak kusurlu bileşenlerin CI/CD hatlarına girmesine ve kötü amaçlı kod yaymasına izin verirler.
Popüler açık kaynak kod kayıt defteri npm’si, gözlemlenen kötü amaçlı paketlerin %98,5’ini temsil ediyor
JavaScript ekosisteminin, büyük oranda yapay zeka ve spam nedeniyle indirme isteklerindeki %70’lik büyüme ve yeni paketler için minimum doğrulama süreçleri, onu tehdit aktörleri için popüler bir hedef haline getiriyor.
PUA’lar (Potansiyel Olarak İstenmeyen Uygulamalar) açık kaynaklı kötü amaçlı yazılım etkinliğinin büyük kısmını (%64,75) temsil eder
Bunlar, son kullanıcıların güvenliğini ve gizliliğini tehlikeye atabilecek casus yazılım, reklam yazılımı veya izleme bileşenleri içerebilir. Diğer yaygın açık kaynaklı kötü amaçlı yazılım türleri arasında güvenlik muhafaza paketleri (%24,2) ve veri hırsızlığı (%7,86) yer alıyor.
Gölge indirmeler geçtiğimiz yıla göre %32,8 arttı
Açık kaynaklı kötü amaçlı yazılımlar, yazılım deposu politikalarını ve güvenlik kontrol noktalarını atlayan gölge indirmeler yoluyla giderek doğrudan geliştirici makinelere indiriliyor.
Sonatype CTO’su Brian Fox, “Yazılım geliştiricileri, yazılım tedarik zinciri saldırılarının bir sonraki evriminin ana hedefi haline geldi” dedi. “Açık kaynaklı kötü amaçlı yazılım benzersiz derecede haindir; bu dağıtım yöntemini tespit edemeyen uç nokta çözümleri ile geleneksel güvenlik açığı analizi arasında yer alır. Çok fazla kuruluş, açık kaynaklı kötü amaçlı yazılımları koddaki güvenlik açıkları gibi ele alıyor ve tarama sırasında hataları yakalamayı bekliyor, bu da çok geç. Kuruluşların proaktif bir yaklaşım benimsemesi ve açık kaynaklı kötü amaçlı yazılımların geliştirme kanallarına girmeden önce tüketilmesini önlemesi zorunludur.”