Kompromitovana spremišta izvornog koda ističu rizik lanca snabdevanja
Prema izveštaju učesnika Black Hat USA 2022, očekivano najveća briga IT profesionalaca su phishing i ciljani napadi (obično sa destruktivnim ransomverom). Međutim, sve veći procenat ispitanika sada vidi povećan rizik od napada na dobavljače, izvođače ili druge partnere.
Kompromitovanje dobavljača softvera je veoma vredno sa tačke gledišta napadača. Zamislite prodavca aplikacija koji prodaje, recimo, ERP aplikaciju hiljadama kupaca. Umetanje zlonamernog softvera u redovni paket ažuriranja takvog ERP-a omogućava napadaču trenutnu instalaciju malvera u hiljadama mreža različitih organizacija. Napadači sve više istražuju ove takozvane napade na lanac snabdevanja (eng. supply chain attack).
Primer uspešnog napada na lanac snabdevanja je Sunburst, počinjen protiv dobavljača softvera SolarWinds još 2020. Krivci su uspeli da ugroze interne servere za pravljenje softvera i umetnu backdoor u Orion, popularni alat za praćenje mreže SolarWinds-a. Ovo je zatim isporučeno kao paket ažuriranja (digitalno potpisan!) na približno 18.000 korisnika softvera SolarWinds (uključujući najveće kompanije Fortune 500 širom sveta).
Trenutno se čini da su napadači fokusirani na ubacivanje zlonamernog softvera u javna spremišta kodova koja sadrže biblioteke i komponente koje koriste hiljade programera.
Tako je nedavno Checkpoint identifikovao 10 zlonamernih paketa na PyPI, vodećem Python repozitorijumu.
Napadači će preuzeti ili čak oponašati repozitorijume koje sadrže popularne softverske pakete, kako bi prevarili programera da koristi lažnu, ali zlonamernu komponentu u svom kodu. Zlonamerna skripta ugrađena u paket će obično tražiti i prikupljati lozinke, ključeve i druge osetljive podatke koji se nalaze na računaru programera, čime će omogućiti dalje širenje i dodatno kompromitovanje drugih sistema.
Održavači PyPi-ja pokušali su da reše zlonamerno preuzimanje spremišta uvođenjem MFA autentifikacije. Međutim, ovo neće pomoći protiv lažnog predstavljanja: na primer, Sonatype je otkrio da je oko 300 programera preuzelo zlonamerni paket sa Cobalt Strike alatom pod nazivom „Pymafka“ iz PyPI registra, misleći da je to „PyKafka“, legitimna i široko preuzimana softverska komponenta.
Rešavanje rizika dobavljača aplikacija zahtevaće fokus i na strani dobavljača i na strani korisnika softvera.
Kompanije koje proizvode i prodaju softver će trebati pažljivije ispitivanje kada uključuju biblioteke trećih strana u proces proizvodnje softvera, posebno one koje potiču iz javnih skladišta. Korisnicima je, s druge strane, potrebno više uvida u realnom vremenu kada pokreću aplikacije na serverima i krajnjim uređajima. Rešenja koja predstavljaju prirodnu evoluciju antimalver softvera, Endpoint detection and Response (EDR/XDR), trebalo bi da ublaže bar neke od ovih rizika.