ReversingLabs, 2023 yılında üç büyük açık kaynaklı yazılım platformunda 11.200’e yakın benzersiz kötü amaçlı paket tespit etti: npm, PyPI ve RubyGems.
Bu bulgular, kötü amaçlı paketlerde 2020’ye kıyasla %1.300 gibi şaşırtıcı bir artışa ve 8.700’den biraz fazla kötü amaçlı paketin tespit edildiği 2022’ye kıyasla %28’lik bir artışa işaret ediyor.
“Yıllar geçtikçe yazılım tedarik zincirine maruz kalma ve saldırılardaki artışı yakından takip ettik. Bu yeni rapor, kötü amaçlı yazılımların açık kaynaklı ve ticari platformlarda yaygınlaştığını yansıtıyor,” dedi ReversingLabs CEO’su Mario Vuksan. “Yalnızca eski uygulama güvenliğine güvenen işletmeler mağdur olmaya devam edecek. Aslına bakılırsa, yazılım geliştirme hattına yönelik maddi risklerin devam etmesini, bu risk ve üst kademeye yükseltme süreçlerinin düzenleyiciler için kritik bir odak noktası haline gelmesini bekliyoruz.”
Çok sayıda NPM paketinde önemli düşüş
2023’ün ilk üç çeyreğinde 7.000’den fazla kötü amaçlı PyPI paketi örneğinin keşfedilmesiyle PyPI platformundaki tehditlerde yıllık %400 artış. Bunların büyük çoğunluğu “bilgi hırsızlığı” olarak sınıflandırıldı. Büyük paket yöneticileri (npm, PyPI ve RubyGems) genelinde 40.000’den fazla sızdırılmış veya ifşa edilmiş geliştirme sırrı örneği.
2023’ün ilk üç çeyreğinde kötü amaçlı npm paketlerinin örnekleri, 2022’nin tamamında tanımlanan kötü amaçlı npm paketlerine kıyasla %43 azaldı.
Son 12 ayda ayrıca yazılım tedarik zinciri saldırılarının karmaşıklığı ortadan kaldırdığı ve erişilebilirliği artırdığı görüldü. ReversingLabs tarafından derlenen veriler, tedarik zinciri saldırılarına yönelik giriş engelinin geçen yıl istikrarlı bir şekilde azaldığını gösteriyor ve her şey, bunun 2024’te de devam edeceğini gösteriyor.
Yazılım tedarik zinciri saldırıları artık yalnızca ulus devlet aktörlerinin etki alanı değil, giderek daha fazla düşük vasıflı siber suçlular tarafından da gerçekleştiriliyor; bu durum, anahtar teslimi, otomatikleştirilmiş saldırılar sunan ve ürün hırsızlığını kolaylaştırmak için kullanılan emtia kimlik avı kampanyalarını desteklemek için açık kaynak paketlerinin kullanılmasıyla kanıtlanıyor. kurban verileri. Tehdit aktörleri, hem hedefli hem de ayrım gözetmeyen kampanyaları desteklemek için yazılım tedarik zincirindeki zayıf halkaların nasıl kötüye kullanılacağını fark etti.
Açığa çıkan sırlar en büyük zorluk olmaya devam ediyor
Oturum açma kimlik bilgileri, API belirteçleri ve şifreleme anahtarları gibi dijital kimlik doğrulama bilgilerinin (“sırlar”) açığa çıkması, kötü niyetli aktörler için önemli bir hedeftir ve 2023’te büyük bir zorluk teşkil etmiştir. Npm, PyPI, RubyGems gibi platformların düzenli olarak taranması yoluyla, ve NuGet tarafından yürütülen araştırmada ReversingLabs, gizli sızıntıların Slack, AWS, Google, Microsoft’un GitHub deposu ve Azure bulutu gibi popüler uygulamaları ve barındırma platformlarını rahatsız etmeye devam ettiğini tespit etti.
Npm, bu dört açık kaynak platformda tespit edilen 40.000’den fazla sırrın %77’sini veya 31.000’ini oluşturuyordu. Npm’de tespit edilen sırların %56’sı Google hizmetlerine erişim için kullanılırken, %9’u Amazon’un AWS bulut hizmetlerine atfedildi.
Araştırma, 2023’te gözlemlenen sızdırılan sırların %18’ini oluşturan PyPI’de de benzer bir model tespit etti. Bu örneklerde, Google hizmetlerine erişim için kullanılan tokenlar, tespit edilen sırların %24’ünden biraz fazlasını oluşturuyordu. AWS ile ilgili sırlar, PyPI’de keşfedilenlerin yaklaşık %14’ünü oluşturuyor.
Yazılım tedarik zinciri saldırılarında beklenen artış
ReversingLabs araştırması, 2023’ü karakterize eden yazılım tedarik zinciri riskinin değişen alanının 2024’te siber güvenlik manzarasını değiştirmeye devam edeceğini gösteriyor. Kötü niyetli tedarik zinciri aktörlerinin yöntemleri ve tercihleri değişse bile, açık kaynak ve ticari üçüncü taraf kodlarını hedef alan tehditler ve saldırılar artmaya devam edecek.
Hem siber suçluların hem de ulus devlet bilgisayar korsanlarının başarılı olma olasılığı en yüksek platformlara ve tekniklere yönelmeleri beklenebilir. Yüksek profilli saldırıların ardından, yazılım üreticileri ve son kullanıcı kuruluşları, yazılım tedarik zincirini güvence altına alırken SBOM’ların kullanımı da dahil olmak üzere federal hükümetten daha keskin yönlendirmelerin yanı sıra, yüksek düzeyde ifşa gereksinimlerinin devam etmesini beklemelidir.
“Yeterli görünürlükten yoksun olan yazılım üreticileri ve müşterileri, geliştirme hatları içindeki kod tahrifatı ve kötüye kullanım işaretlerini veya derlenmiş yazılım yapıtlarında saklanan tehditleri tespit etmekte başarısız oluyor. 2024 yılında kuruluşların tehdidi ele almaması halinde yazılım tedarik zinciri saldırılarının artmasını bekliyoruz” diye ekledi Vuksan.
“İşletmeler, yazılımın bütünlüğüne körü körüne güvenmekten, yazılımı doğrulayabilen ve onun maddi risklerden arınmış olmasını sağlayabilen kanıtlanmış araç ve süreçlere geçmelidir. Buna, kötü amaçlı yazılım ve kurcalama örneklerini gösterebilecek davranışlar ve açıklanamayan değişiklikler için oluşturdukları veya satın aldıkları herhangi bir yazılımdaki ham kodu ve derlenmiş ikili dosyaları tarama yeteneği de dahildir.”