Saldırı gruplarının, yazılım geliştiricileri kötü amaçlı açık kaynak bileşenlerini uygulamalarına entegre etmeleri için kandırdığı yazılım tedarik zinciri saldırıları artıyor. Checkmarx, geliştiricilerin kötü amaçlı paketleri belirlemesine yardımcı olmak için yüzbinlerce kötü amaçlı paket, katkıda bulunanların itibarı ve kötü niyetli davranışlar hakkında ayrıntılı tehdit istihbaratı sunan bir API olan Supply Chain Threat Intelligence’ı kullanıma sundu.
Checkmarx, bağımlılık karışıklığı, yazım hatası ve zincirleme saldırı gibi saldırı türüne göre kötü amaçlı paketleri tanımladığını söylüyor. Ve katkıda bulunan itibarı, paketler içindeki anormal aktivite analiz edilerek hesaplanır.
Şirket, Tedarik Zinciri Tehdit İstihbaratının Checkmarx Labs tarafından yapılan tehdit istihbaratı araştırmasına dayandığını ve grubun 2022’de keşfettiği 150.878 kötü amaçlı paketi içerdiğini söylüyor. Checkmarx daha sonra ortaya çıkan tehditleri belirlemek için makine öğrenimi, retro-avcılık ve diller arası avlamadan yararlanır. Şirket ayrıca paketteki kodun nasıl çalıştığını anlamak için statik ve dinamik analiz kullanıyor.
Güvenlik, geliştirici iş akışının bir parçası olduğunda en iyi şekilde çalışır. Checkmarx, Supply Chain Threat Intelligence’ın yaygın olarak kullanılan geliştirici araçları ve ortamlarıyla entegre olduğunu söylüyor. Geliştirici, Checkmarx’tan benzersiz bir belirteç alır, bir paket adı ve sürüm numarasını gönderir ve istenen paketle ilgili tehdit istihbaratını alır. Geliştirici daha sonra paketin ne yaptığı, paketin kötü amaçlı olarak kabul edilip edilmediği ve paketle ilişkili geliştiricinin itibarı hakkında bilgi sahibi olur.
Checkmarx, raporlama paketlerinin saldırı gruplarını durdurmadığını çünkü yeni kukla hesaplar oluşturup bunları yayınlamaya devam ettiklerini söylüyor. Şirket, taranan tüm paketlerin bir veri gölünü tuttuğunu, böylece ekibin paket yöneticilerinden silindikten sonra bile bunları analiz etmeye devam edebileceğini söylüyor. Bu, birden çok paketin aynı tehdit aktörüne bağlanmasına veya zaman içinde kalıpların ortaya çıkarılmasına yardımcı olabilir.