Bir ReversingLabs raporuna göre, yazılım tedarik zinciri saldırılarının artan karmaşıklığı, açık kaynaklı ve üçüncü taraf ticari yazılımlardaki yaygın kusurlar ve özellikle AI ve kripto para geliştirme boru hatlarını hedefleyen kötü amaçlı kampanyalar tarafından yönlendiriliyor.
ReversingLabs verilerine göre, açık kaynaklı yazılım, 2024’te tedarik zinciri riskinin önemli bir unsuru olarak kaldı. Örneğin, açık kaynaklı paketler yoluyla açıkta kalan kalkınma sırlarının olayları 2023’e kıyasla% 12 arttı ve kritik ve sömürülebilir yazılım kusurları en yaygın kullanılan açık kaynak paketlerinde bile gizlenmeye devam etti. Üç önde gelen açık kaynak paket yöneticisinde toplam 650 milyondan fazla indirmeyi oluşturan 30 açık kaynak paketinin taranması, paket başına ortalama 6 kritik sayım ve 33 yüksek şiddetli kusur buldu.
Ancak açık kaynaklı yazılım sadece bir yazılım tedarik zinciri riski kaynağıdır. Ticari ve açık kaynaklı işletim sistemleri, şifre yöneticileri, web tarayıcıları ve sanal özel ağ (VPN) yazılımı dahil olmak üzere iki düzineden fazla yaygın olarak kullanılan ticari yazılım ikili dosyalarının tersine çevrilen bir tarama, üçüncü taraf ticari ikili olarak gizlenen yazılım risklerinin kanıtını buldu.
Taranan paketlerin çoğu, maruz kalan sırların keşfi, aktif olarak sömürülen yazılım güvenlik açıkları, olası kod kurcalama kanıtı ve yetersiz uygulama sertleşmesi nedeniyle başarısız bir güvenlik notu aldı.
ReversingLabs CEO’su Mario Vuksan, “2025 raporu, yazılım satıcılarının ve kurumsal alıcıların karşılaştığı zorlukları vurguluyor” dedi. “Birincisi, saldırganların artan sofistike olması ve saldırılarını planlamak için istekli olması, bu, özellikle yazılım tedarik zincirinde daha iyi kontroller oluşturma ihtiyacını güçlendiriyor.
Gartner, “yazılım tedarik zincirinin güvenliği artık yazılımın güvenliği kadar kritik” olduğunu söyleyerek bu odaklanma ihtiyacının altını çizdi.
Saldırı Altında Üçüncü Taraf Ticari Yazılımı
Yazılım tedarik zinciri güvenliği hakkındaki konuşmanın çoğu açık kaynaklı yazılım paketlerine odaklanırken, en önemli riskler kapalı kaynaklı, ticari yazılımlarda yer almaktadır. Bu sorunun altını çizmek için, tersine dönen altı VPN istemcisinin 20 farklı versiyonunu altı tanınmış satıcıdan taradı ve aşağıdakiler de dahil olmak üzere endişe verici eğilimler buldu.
- 20 VPN paketinden yedisi bir veya daha fazla yama zorunlu ve/veya sömürülen yazılım güvenlik açıkları içeriyordu.
- Taranan 20 VPN paketinden dördü açıkta kalan geliştirici sırları içeriyordu
Üçüncü taraf ticari yazılımlarda öne çıkan riskler, açık kaynaklı yazılım modülleri ve kod depoları, 2024’te tedarik zinciri risklerinin büyük çoğunluğunu hala açıklamış olsa da, tersine dönen yazılım kusurları, konfigürasyon hataları ve yaygın olarak kullanılan açık kaynak modüllerinde önemli bir risk ortaya koyan diğer problemler belirledi.
Açık kaynaklı risklerin ek örnekleri şunlardır:
- Popüler NPM, PYPI ve Rubygems paketlerinin yaygın “kod çürümesi” analizi, yaygın olarak kullanılan birçok açık kaynak modülünün eski ve modası geçmiş açık kaynaklı ve üçüncü taraf yazılım modülleri içerdiğini buldu.
- ReversingLabs’ın haftalık 3.000’e yakın indirme ve 16 bağımlı uygulamaya sahip bir NPM paketi taraması, tanımlanmıştır:
- 7 yıldan fazla bir süredir kod güncellemesi yok
- 164 43 dereceli “kritik” şiddet ve 81 dereceli “yüksek” şiddete sahip farklı kod güvenlik açıkları.
- Kötü amaçlı yazılımlar tarafından aktif olarak kullanıldığı bilinen yedi yazılım güvenlik açığı
Yazılım üreticileri, kripto uygulamalarına yükselen saldırılarla uyardı
2024, kripto para birimi borsalarını, cüzdanları ve son kullanıcı uygulamalarını hedefleyen sofistike yazılım tedarik zinciri saldırılarının geçit törenini gördü. Kripto odaklı saldırganlar, hassas kripto para birimi uygulamalarına ve altyapısına erişmek için sofistike ve yüksek dokunuşlu teknikler kullandılar. Raporda, yerleşik bir Python paketinde tespit edilen kötü amaçlı kod üzerine yapılan araştırmaları özetliyor, Aococp.
Rapor ayrıca, AI geliştiricileri ve büyük dil modeli makine öğrenme uygulamaları tarafından kullanılan geliştirme altyapısını ve kodu hedefleyen bir dizi kötü amaçlı yazılım tedarik zinciri kampanyasını belgelemektedir.
Araştırmacılar, turşu serileştirme dosyalarına kötü amaçlı kodun yerleştirildiği “nullifai” olarak adlandırılan kötü niyetli bir teknik keşfederken, Hugging Face açık kaynak platformunda yerleşik korumalar olan AI ve ML geliştiricileri için ana kaynak.