5 načina za uočavanje napada softverskih lanaca i zaustavljanja crva – prije nego što bude prekasno

Slijedite ZDNET: Dodajte nas kao preferirani izvor na Googleu.

ZDNET -ovi ključni poduhvat

• Shai-Hulud je najgori napad NPM JavaScript.
• Ovaj napad softverskog lanca opskrbe još uvijek traje.
• Evo nekoliko načina na koje možete spriječiti takve napade.

Za one od vas koji nisu Dina Obožavatelji, Shai-Hulud su divovski pješčanici pustinjskog planeta Arrakis. Ne želite im se spustiti. Sada je to i ime a samoreplicirajući crv koji je ugrozio najmanje 180 NPM paketaa možda čak 500 njih.

Ovo je glavna sigurnosna kriza za sve koji programiraju JavaScript i JavaScript Runtime Environment Node.js. JavaScript je, usput, jedan od najpopularnijih programskih jezika. Ovaj napad lanca opskrbe pogađa gotovo sve programere JavaScript.

Također: Ovaj 2FA Phishing prevarant probijao je programera – i ugrožene milijarde preuzimanja NPM -a

To je zato što Upravitelj paketa čvora (NPM) Je li JavaScript -ov zadani upravitelj paketa i registar softvera. Omogućuje programerima da instaliraju, upravljaju i dijele pakete – unaprijed upletene dijelove koda za višekratnu upotrebu nazvane moduli – ovise o njihovim projektima JavaScript ili Node.js. NPM je najveća biblioteka paketa otvorenog koda. U osnovi, svi koji ga koriste JavaScript ga koriste.

NPM također ima strašnu sigurnosnu zapis. Iz godine u mjesec, iz godine u godinu, hakeri su uspješno umetnuli zlonamjerni kod u NPM module. To, zauzvrat, znači da se oštećeni kod automatski unosi u programe temeljene na JavaScriptu koje koriste krajnji korisnici.

Najnoviji primjer toga bio je prije tjedan dana, kada je napad krađe identiteta kompromitirao 18 paketa koji su preuzeli dva milijardu puta tjedno. Ovaj tjedan Napad je mnogo gore. Koliko loše? Ne znamo točno. Stručnjaci za sigurnost još uvijek to rade, a dok je crv usporio, još nije prestao.

Kako funkcionira napad softverskog lanca opskrbe

Napad softverskog lanca opskrbe događa se kada napadač ugrožava softver tijekom razvoja umetanjem zlonamjernog koda u svoje komponente prije nego što dosegne krajnje korisnike. Umjesto da izravno napadaju programere ili korisnike, napadači iskorištavaju ranjivosti u pouzdanim dobavljačima trećih strana, knjižnicama ili razvojnim alatima na koje se programeri oslanjaju. Kad se kompromitira softver ili ažuriranja, često automatski, kupcima, zlonamjerni teret može istovremeno utjecati na mnoge žrtve.

Također: Vaš upravitelj lozinke je napadnut: Kako se obraniti od nove prijetnje

Ti su napadi opasni jer:

• Oni koriste pouzdane odnose, omogućujući napadačima da zaobiđu izravne sigurnosne kontrole.
• Jedan uspješan kompromis može utjecati na tisuće ili milijune korisnika, jer njihov softver uključuje iscrpljene ovisnosti ili kod.
• Suvremene organizacije često koriste stotine knjižnica ili usluga trećih strana, što znači da jedno kršenje u lancu može imati eksponencijalne učinke.

Kao krajnji korisnik, to ne vidite dok vam ne puše u lice kada ažurirate program ili uslugu koju koristite svaki dan, a odjednom pođe po zlu. Ili, kao što je daleko vjerojatnije, započinje rudarstvo bitcoina na vašem poslužitelju, počinje krasti podatke o kupcima vaše tvrtke ili instalirati ransomware.

Šai-hulud napadi

Na primjer, u ovom slučaju paket sitnokolor bio je jedan od prvih kompromitiranih programa koji su primijećeni. Sve što radi je promjena boja programa. To je to. U prosjeku se preuzima 2,2 milijuna puta tjedno da bi se koristio u desecima tisuća programa.

Zaražena verzija Tinycolor -a i svi ostali paketi automatski su uvučeni u – nemamo pojma koliko – programa. Jednom su tamo rasporedili zlonamjerni paket s crvom. Dok su se instalirali, a Skripta je skenirala okoliš za tajne kao što su NPM tokeni, GitHub vjerodajnice i ključevi za programiranje aplikacija za aplikaciju za usluge u oblaku (API), poput onih za AWS i Google Cloud.

Također: Najbolji upravitelji lozinki za tvrtke 2025. godine: Stručni testirani

Zatim je koristio ove tajne kako bi ih prenio na krajnje točke pod kontrolom napadača. Zatim su stvorili javna spremišta GitHub koja sadrže ukradene podatke, a svi su označeni “Shai-Hulud”.

Koristeći ove tajne, posebno ukradene NPM tokene, crv je zatim ovjeren kao svaki kompromitirani programer, skenirao za ostale NPM pakete koje su održavali, ubrizgali njegov kod i objavili nove, zlonamjerne verzije. Na taj se način crv nastavio širiti i širiti i … pa, dobivate ideju.

To je dovelo do eksponencijalnog širenja, što je utjecalo na neizmjerno popularne knjižnice s milijardama tjednih preuzimanja i udarajući projekte koji pripadaju tvrtkama poput sigurnosne tvrtke Gužva.

Imajte na umu da ime igre tvrtke štiti tvrtke od takvih kršenja. Također dolazi samo godinu dana nakon što je ažuriranje Crowdstrikea sramotno srušilo desetke milijuna Windows PC -a, što je dovelo do najvećeg vala plavih ekrana smrti ikad.

To je rečeno, prema glasnogovorniku gurnu, “Nakon što je otkrio nekoliko zlonamjernih NPM paketa u javnom registru NPM-a, spremištu otvorenog koda treće strane, brzo smo ih uklonili i proaktivno rotirali naše ključeve u javnim registrima. Ovi paketi ne trebaju biti zastrašeni, a na to se ne može utjecati na sokolo.

Također: 7 Pravila lozinke Sigurnosni stručnjaci žive do 2025. godine – Posljednji bi vas mogao iznenaditi

Dodajući uvredu ozljedama, zlonamjerni softver često je instalirao otvoreni kos Alat za tartuf loviti daljnje tajne i privatne Ždrijeb spremišta. Jednom kada je pronašla ova privatna spremišta, stvorila je javne klonove. Zatim, kao sigurnosna tvrtka, ReversinLabs Stavite, “Svaki novoizrađeni paket modificiran je s postinstall akcijom koji će izvršiti zlonamjerni paket.js kada ne sumnja korisnik preuzme kompromitirani paket. To se ponavlja u vječnoj, jer crv pronalazi nove programere za inficiranje, a zatim ih koristi za širenje još dalje. “I na njega i na to.

Ukupni opseg epidemije još uvijek nije poznat. Akcije crva otkrivale su tajne u najmanje 700 GitHub spremišta.

Također: Najmoćnija sigurnosna značajka vašeg Android telefona skrivena je i isključena prema zadanim postavkama – uključite ga sada

Koliko je zapravo loše? Tvrtka za sigurnost programera Chainguard Izvršni direktor Dan Lorenc napisao je na LinkedInu, “Ovaj val NPM napada osjeća se drugačije… Čujem od više od nekoliko tvrtki koje zamrzavaju razvoj/gutanje dok se ovo razvrstaju. “To nije posao kao i obično.

NPM održavači i pogođene tvrtke pokušavaju ukloniti zlonamjerne pakete, rotirati vjerodajnice i upozoravati zajednicu programera. Prodavači sigurnosti poput Mreže palo alto,, Trend Microi Crowdstrike su izdali hitne smjernice, preporučujući snažnu vjerodostojnu sigurnost, neposredne rotacije tokena i skeniranje zlonamjernog softvera za sve sustave koji su posljednjih dana instalirali NPM pakete.

Kako spriječiti napade lanca softvera

Napadi lanca softvera postali su uobičajena. Nisu novi. Polako smo prepoznali koliko su ovi napadi opasni. Trebali smo naučiti našu lekciju 2020. godine, kada smo otkrili da su napadači povezani s ruskom prekršili solarwinds i prodrli u tisuće kupaca solarwinds putem zlonamjernog koda ubrizganog u softver za nadzor mreže tvrtke.

Nismo. Dakle, evo kako možete usporiti napade lanca opskrbe, ako ih ne spriječite u potpunosti.

Također: 3 razloga zbog kojih je korištenje VPN postavljeno da eksplodira širom svijeta – i to bi se moglo odnositi na vas

Za početak, evo hladne, teške istine. Ako ste programer, više ne možete slijepo vjerovati svojim ovisnostima. Razdoblje. Kraj izjave. Da, znam Linusov zakon“S obzirom na dovoljno očnih jabučica, sve su bube plitke”, a vi. Ali djeluje samo ako ima dovoljno očnih jabučica. Možete spustiti naivnu predodžbu da otvoreni izvor znači siguran softver. U najboljem slučaju, to je istina, ali slijepo povjerenje u programe iz NPM -a ili bilo kojeg drugog spremišta javnog softvera samo traži probleme.

Dakle, prihvatite da su ovisnosti otvorenog koda sada osnovni dio vašeg profila rizika. Započnite s potrošnjom softvera ozbiljno: Postavite politiku, pratite sve što koristite s životnim softverskim računom materijala (SBOM), a te komponente držite na kratkom povodcu.

Također: Kretanje cyber prijetnji s pogonom na AI 2025: 4 Stručni sigurnosni savjeti za tvrtke

Također morate prestati automatski ažurirati svoje komponente na najnoviju verziju. Umjesto toga, ažurirajte samo ažurirane, podržane verzije. Kao OpenSSF Stavite ga u Manifest potrošnje otvorenog kodaMorate razumjeti prave rizike slijepog korištenja koda otvorenog koda.

Neka bude praktičan i specifičan.

1. stvrdnjavanje razvoja i izgradnja okruženja

2. Mapi i upravljaju svim ovisnostima

• Održavajte SBOM za svaki projekt; Pratite sve ovisnosti. Da, svi oni – da, izravni i tranzitivni.
• Koristite samo dobro održane, pouzdane pakete otvorenog koda. Provjerite reputaciju provenacije i dobavljača prije dodavanja novih komponenti.
• Automatizirati periodično skeniranje za ranjivosti s Analiza sastava softvera (SCA) alati. Odmah uklonite ili zakrpate označene ovisnosti.

3. Osigurajte CI/CD cjevovod

• Integrirajte statičko, dinamično i interaktivno sigurnosno skeniranje u CI/CD cjevovode, tako da se svaki zahtjev za sklapanje i povlačenje automatski testira na ranjivosti.
• Koristiti Kontrola pristupa utemeljena na ulogama (RBAC) Za resurse za izgradnju i implementaciju. Redovito revizijska dozvola prema najmanje privilegija.
• Potpisati, provjeriti i povremeno pregledavati sve softverske artefakte, osiguravajući da ažuriranja dolaze iz pouzdanih izvora i stvaraju obnovljivost.

4. Nadgledajte, educirajte i odgovorite

• Uspostavite feedove inteligencije u stvarnom vremenu i pratite anomalije u cjevovodima za izgradnju, spremištima i ponašanju aplikacija.
• Omogućite stalnu obuku za programere o sigurnom kodiranju, socijalnom inženjerstvu i svijesti o napadu na opskrbu.
• Ispitajte svoj plan odgovora simuliranjem kršenja i trčanja bušilica za incident, osiguravajući da ste spremni brzo reagirati kada se pojave prijetnje. (Napomena: Rekao sam “kada”, a ne “ako.”)
• Revidirati sve. Ako otkrijete uobičajene ranjivosti i izloženosti (CVE), ne čekajte da odgovorite. Ispitivanje, zakrpa i karanteni pogođeni kod ako je potrebno.

5. surađivati ​​uzvodno i nizvodno

• Angažirajte se s uzvodnim održavačima i podrškom dobavljača za brze popravke. Ne čekajte da se pojave javni podvizi. Otvoreni izvor djeluje samo kad svi radimo na njemu. Ne možete samo pretpostaviti da je sve dobro uzvodno.
• Procijenite dobavljače, partnere i kritične alate treće strane za usklađenost s najboljim praksama sigurnosti opskrbe. Zahtijevaju SBOM -ove i redovne sigurnosne preglede.

Slijedeći ove korake i ugrađujući sigurnost u svaku fazu razvoja softvera, dramatično ćete smanjiti izloženost napadima lanca softvera. Način na koji dolaze tako brzo i često, možda ćete se suočiti s njima, ali barem ćete smanjiti izloženost. Sretno. Svi će nam trebati.