U prvoj polovini 2025. godine, stručnjaci za sajber sigurnost primijetili su značajan porast broja prijetnji koje ciljaju lanac snabdijevanja softverom putem naoružanih paketa otvorenog koda.
Ovi napadi iskorištavaju implicitno povjerenje koje programeri imaju u zavisnosti trećih strana, transformirajući naizgled benigne biblioteke u sredstva za isporuku sofisticiranog malicioznog softvera poput kradljivaca informacija i iscrpljivača kriptovaluta.
Moderne prakse razvoja softvera stvorile su široku površinu za napad, pri čemu 70-90% tipičnih kodnih baza čine paketi trećih strana.
S milijardama preuzimanja koja se vrše sedmično iz registara poput npm-a i PyPI-ja, napadači su identifikovali plodno tlo za distribuciju malicioznog softvera, iskorištavajući složenost gdje jedan paket može povući desetine ugniježđenih zavisnosti.
Istraživači Socket.dev-a su identifikovali više kampanja u kojima su hakeri koristili maliciozni kod u glavnim ekosistemima paketa, uključujući npm, PyPI i Go Module.
Njihova analiza je otkrila kako napadači iskorištavaju međusobnu povezanost modernih ekosistema paketa, gdje programeri gotovo nikada ne provjeravaju svaku tranzitivnu zavisnost, a automatizirani CI cjevovodi mogu slijepo instalirati najnovije verzije.
Utjecaj ovih napada na lanac snabdijevanja proteže se daleko izvan pojedinačnih programera, utičući na organizacije širom svijeta koje nesvjesno uključuju kompromitovane pakete u svoje proizvode.
Kako razvoj uz pomoć vještačke inteligencije ubrzava integraciju koda bez temeljite inspekcije, rizik nastavlja rasti, a napadači prilagođavaju svoje tehnike kako bi zaobišli tradicionalne sigurnosne mjere .
.webp)
Među raznim tehnikama koje koriste hakeri – uključujući typosquatting, zloupotrebu repozitorija, obfuscation i korištenje legitimnih servisa kao oružja – višefazno postavljanje malicioznog softvera ističe se svojom efikasnošću u izbjegavanju otkrivanja uz maksimiziranje utjecaja.
Višestepeni maliciozni softver
Višestepeni maliciozni softver segmentira funkcionalnost u nekoliko korisnih sadržaja, počevši od laganog koda koji izgleda bezopasno tokom početnog skeniranja.
U jednoj kampanji povezanoj sa sjevernokorejskim prijetnjama, istraživači Socket.dev-a otkrili su paket koji isporučuje program za učitavanje podataka pod nazivom “BeaverTail” koji krade podatke pretraživača i kredencijale za kriptovalutni novčanik prije nego što dohvate napredniji backdoor pod nazivom “InvisibleFerret”.
Kod prve faze demonstrira korišteni prikriveni pristup: –
async function uploadFiles(basePath, prefix, includeSolana, timestamp) {
if (!testPath(basePath)) return;
for (let i = 0; i {
if (!error) {
// Extract and execute
}
});
}Ova strategija odgođenog izvršavanja održava početni kod malim i manje sumnjivim, dok istovremeno omogućava akterima prijetnji da održe upornost i kasnije izvrše štetnije korisne podatke.
Skriveni na vidljivom mjestu unutar pouzdanih razvojnih tokova rada, ovi napadi na lanac snabdijevanja predstavljaju rastuću prijetnju koja zahtijeva specijalizirane tehnike detekcije usmjerene na bihevioralne signale, a ne na statičke potpise.
Izvor: CyberSecurityNews
