Одной из наиболее тревожных тенденций последних лет стал рост атак на программные цепочки поставок, особенно тех, которые затрагивают репозитории кода. По данным отчёта Европейского агентства кибербезопасности (ENISA), от 39% до 62% организаций пострадали от киберинцидентов, связанных с третьими лицами. При этом только 40% опрошенных компаний заявили, что понимают риски кибербезопасности и конфиденциальности, связанные с третьими сторонами.
Ещё более тревожно, что 38% респондентов не могут определить, возник ли киберинцидент из-за проблемы в компоненте третьей стороны. Недавние громкие кибератаки, затронувшие цепочки поставок, включая уязвимости Log4j от Apache , Orion от SolarWinds и 3CXDesktopApp от 3CX , продемонстрировали, насколько дорого могут стоить подобные просчёты.
В современной разработке ПО разработчики полагаются на сторонние компоненты, чтобы упростить процессы разработки. Это позволяет создавать экономичные, эффективные и функциональные приложения. Однако что происходит, когда один из этих доверенных компонентов оказывается скомпрометирован?
Киберпреступники могут проникнуть в системы, атакуя менее защищённые элементы цепочки поставок организации, такие как поставщики третьих лиц или репозитории ПО. Это позволяет им скомпрометировать даже проверенные компоненты, получая опорную точку в более крупных и безопасных средах.
Вредоносный код часто встраивается, на первый взгляд, в законные репозитории. Когда разработчики интегрируют эти компоненты, считая их подлинными, они неосознанно внедряют уязвимости и другие киберриски в поддерживаемые ими системы.
В ходе недавнего анализа Trend Micro исследователями были обнаружены многочисленные случаи, когда хакеры клонировали законные репозитории GitHub, а затем внедряли в них вредоносный код, стратегически заполняя разделы описаний поддельных репозиториев ключевыми словами, чтобы как можно большее число разработчиков воспользовалось ими по ошибке.
Специалисты Trend Micro подробно рассмотрели одну из таких атак, чтобы разобраться, как действуют злоумышленники.
На первом этапе заражения используется новая техника, которую исследователи назвали “Exec Smuggling”. Этот метод помещает полезную нагрузку после длинной последовательности пробелов, тем самым удаляя вредоносный контент с видимой области экрана, в связи с чем разработчики могут не заметить подвоха.
Как только разработчик подключал заражённую библиотеку, срабатывала первая стадия вируса. Она декодировала и запускала на выполнение следующую часть вредоносной нагрузки, загружая её с сервера хакеров.
На втором этапе происходила подготовка среды с помощью скриптов на Python. Вирус устанавливал дополнительные вредоносные модули, такие как “requests”, “pyperclip”, “psutil”. Также взламывался кошелёк Exodus путём подмены его исполняемых файлов.
Затем запускался третий этап – собственно кража данных. Вирус похищал пароли, cookie-файлы из браузеров, адреса криптокошельков и другую конфиденциальную информацию. Всё это отправлялось на серверы злоумышленников. В атаке использовались такие хакерские инструменты как “BlackCap-Grabber”.
Используя подобные многоступенчатые техники и внедряя вредоносный код в популярные репозитории, киберпреступники зачастую успешно похищают ценные данные разработчиков.
Учитывая скрытность, мощь и риски таких атак, очевидно, что как организации, так и независимые разработчики, должны в приоритетном порядке внедрять комплексные меры безопасности, включая тщательную оценку всех сторонних компонентов и непрерывный мониторинг интегрированных систем.