Bu, Çarşamba günü Checkmarx ve Illustria’nın ortak raporuna göre, daha derine indikten sonra otomatik saldırıların npm, NuGet ve PyPI yazılım geliştirici ekosistemlerinin kullanıcılarına geniş bir düzeyde hedef aldığını ortaya çıkardı.
NuGet ekosistemindeki saldırı vektörü, bilgisayar korsanlığı, hileler ve ücretsiz kaynaklarla ilgilenenleri cezbetmek için tasarlanmış adlara ve açıklamalara sahip çok sayıda paket oluşturmak için otomatikleştirilmiş süreçlerin kullanılmasını içerir. Bunlar, kişisel bilgileri veya diğer hassas verileri çalmak için oluşturulmuş kimlik avı kampanyalarına bağlantılar içerir.
Rapora göre bu saldırının ölçeği benzersiz çünkü aynı tehdit aktörü tarafından 144.000’den fazla paketin oluşturulmasını içeriyor – bu tür saldırılarda tipik olarak görülenden çok daha fazla sayıda paket, bu da onu özellikle büyük ve önemli bir olay yapıyor. .
Checkmarx tedarik zinciri güvenlik mühendisliği başkanı Jossef Harush, Dark Reading’e “Paketleri ve kullanıcı hesaplarını oluşturmak için otomatik süreçlerin kullanılması, güvenlik ekiplerinin paketleri tanımlamasını ve kaldırmasını zorlaştırıyor” dedi.
Harush, “Bu, saldırıyı daha tehlikeli ve savunması daha zor hale getiriyor. Ayrıca, kuruluşların bu tür saldırılara karşı tetikte olması ve kendilerini korumak için adımlar atması gerektiğinin altını çiziyor.”
Otomasyon: Verimliliği Arttırma, Bilgisayar Korsanlarına Karşı Riski Azaltma
Harush, saldırganların NuGet, PyPI ve npm ekosistemlerini zehirlemek için büyük olasılıkla otomasyona yatırım yaptıklarını, çünkü bunun kısa sürede yüksek hacimli paketler ve kullanıcı hesapları oluşturmalarına izin verdiğini açıklıyor.
“Bu, açık kaynak ekosistemini birçok paketle spam yapmalarına, potansiyel olarak önemli sayıda kullanıcıya ulaşmalarına ve kimlik avı kampanyalarının kurbanı olma ihtimallerini artırmalarına olanak tanıyor” diyor.
Ek olarak, otomasyon kullanımı güvenlik ekiplerinin paketleri tespit etmesini ve indirmesini zorlaştırdığından, saldırganlar saldırılarına daha uzun süre devam edebilmektedir.
Harush, “Otomasyon, saldırganların yakalanma riskini de azaltır ve daha verimli ve daha az riskle çalışmalarını sağlar” diyor.
Kötü Amaçlı Paketler: Temel Önleyici Tedbirler
Ağları, kimlik avı kampanyalarının ve diğer şüpheli etkinliklerin belirtilerine karşı izlemeye ve çalışanları açık kaynak ekosistemlerinden paket indirirken dikkatli olmanın önemi konusunda eğitmeye ek olarak, işletmeler, kendilerine yönelik bu tür tehditleri belirlemeye ve bunlara karşı korunmaya yardımcı olacak güvenlik araçlarını ve hizmetlerini dikkate almalıdır. yazılım tedarik zincirleri.
Harush, “Yazılım tedarik zinciri saldırganlarına karşı güvenlik duruşlarının, bu tehditlere karşı daha iyi savunma sağlamak için çeşitli şekillerde gelişmesi gerekiyor” diyor. “İlk olarak, paket yöneticilerinin NuGet, PyPI ve npm gibi açık kaynak ekosistemlerinde kötü amaçlı paketlerin yayınlanmasını tespit etme ve engelleme yeteneklerini geliştirmeleri gerekiyor.”
Bunun, bu ekosistemleri izlemek ve şüpheli faaliyetleri belirlemek için teknolojinin kullanımını ve ayrıca tehditleri belirlemek ve bunlara yanıt vermek için daha iyi güvenlik uygulamalarının ve süreçlerinin geliştirilmesini içerebileceğini açıklıyor.
Harush, yazılım tedarik zinciri saldırganlarına karşı genel güvenlik duruşlarının, bu tehditlere karşı etkili bir şekilde savunma yapmak için daha proaktif, uyarlanabilir ve işbirliğine dayalı olması gerektiğine dikkat çekiyor.
“Bu, bu tehditleri zamanında ve etkili bir şekilde belirlemek ve bunlara yanıt vermek için birlikte çalışan teknoloji, süreçler ve insanların bir kombinasyonunu içerebilir” diyor.
Google’ın yakın tarihli bir raporu, güvenlik liderlerinin tedarik zinciri risklerini ele alırken daha bütünsel bir yaklaşım benimsemeleri ve daha iyi yazılım güvenliği ve bütünlüğü sağlamak için yazılım oluştururken Yazılım Eserleri için Tedarik Zinciri Düzeyleri (SLSA) çerçevesini uygulamaya çalışmaları gerektiğini de belirtiyor.