Исследователи Trend Micro подробно рассказали о методах компрометации доверенных репозиториев.
Одной из наиболее тревожных тенденций последних лет стал рост атак на программные цепочки поставок, особенно тех, которые затрагивают репозитории кода. По данным Для просмотра ссылки Войдиили Зарегистрируйся Европейского агентства кибербезопасности ( ENISA ), от 39% до 62% организаций пострадали от киберинцидентов, связанных с третьими лицами. При этом только 40% опрошенных компаний заявили, что понимают риски кибербезопасности и конфиденциальности, связанные с третьими сторонами.
Ещё более тревожно, что 38% респондентов не могут определить, возник ли киберинцидент из-за проблемы в компоненте третьей стороны. Недавние громкие кибератаки, затронувшие цепочки поставок, включая уязвимости Для просмотра ссылки Войдиили Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , продемонстрировали, насколько дорого могут стоить подобные просчёты.
В современной разработке ПО разработчики полагаются на сторонние компоненты, чтобы упростить процессы разработки. Это позволяет создавать экономичные, эффективные и функциональные приложения. Однако что происходит, когда один из этих доверенных компонентов оказывается скомпрометирован?
Киберпреступники могут проникнуть в системы, атакуя менее защищённые элементы цепочки поставок организации, такие как поставщики третьих лиц или репозитории ПО. Это позволяет им скомпрометировать даже проверенные компоненты, получая опорную точку в более крупных и безопасных средах.
Вредоносный код часто встраивается, на первый взгляд, в законные репозитории. Когда разработчики интегрируют эти компоненты, считая их подлинными, они неосознанно внедряют уязвимости и другие киберриски в поддерживаемые ими системы.
В ходе Для просмотра ссылки Войдиили Зарегистрируйся Trend Micro исследователями были обнаружены многочисленные случаи, когда хакеры клонировали законные репозитории GitHub , а затем внедряли в них вредоносный код, стратегически заполняя разделы описаний поддельных репозиториев ключевыми словами, чтобы как можно большее число разработчиков воспользовалось ими по ошибке.
Специалисты Trend Micro подробно рассмотрели одну из таких атак, чтобы разобраться, как действуют злоумышленники.
На первом этапе заражения используется новая техника, которую исследователи назвали «Exec Smuggling». Этот метод помещает полезную нагрузку после длинной последовательности пробелов, тем самым удаляя вредоносный контент с видимой области экрана, в связи с чем разработчики могут не заметить подвоха.
Как только разработчик подключал заражённую библиотеку, срабатывала первая стадия вируса. Она декодировала и запускала на выполнение следующую часть вредоносной нагрузки, загружая её с сервера хакеров.
На втором этапе происходила подготовка среды с помощью скриптов на Python. Вирус устанавливал дополнительные вредоносные модули, такие как «requests», «pyperclip», «psutil». Также взламывался кошелёк Exodus путём подмены его исполняемых файлов.
Затем запускался третий этап — собственно кража данных. Вирус похищал пароли, cookie-файлы из браузеров, адреса криптокошельков и другую конфиденциальную информацию. Всё это отправлялось на серверы злоумышленников. В атаке использовались такие хакерские инструменты как «BlackCap-Grabber».
Используя подобные многоступенчатые техники и внедряя вредоносный код в популярные репозитории, киберпреступники зачастую успешно похищают ценные данные разработчиков.
Учитывая скрытность, мощь и риски таких атак, очевидно, что как организации, так и независимые разработчики, должны в приоритетном порядке внедрять комплексные меры безопасности, включая тщательную оценку всех сторонних компонентов и непрерывный мониторинг интегрированных систем.
Одной из наиболее тревожных тенденций последних лет стал рост атак на программные цепочки поставок, особенно тех, которые затрагивают репозитории кода. По данным Для просмотра ссылки Войди
Ещё более тревожно, что 38% респондентов не могут определить, возник ли киберинцидент из-за проблемы в компоненте третьей стороны. Недавние громкие кибератаки, затронувшие цепочки поставок, включая уязвимости Для просмотра ссылки Войди
В современной разработке ПО разработчики полагаются на сторонние компоненты, чтобы упростить процессы разработки. Это позволяет создавать экономичные, эффективные и функциональные приложения. Однако что происходит, когда один из этих доверенных компонентов оказывается скомпрометирован?
Киберпреступники могут проникнуть в системы, атакуя менее защищённые элементы цепочки поставок организации, такие как поставщики третьих лиц или репозитории ПО. Это позволяет им скомпрометировать даже проверенные компоненты, получая опорную точку в более крупных и безопасных средах.
Вредоносный код часто встраивается, на первый взгляд, в законные репозитории. Когда разработчики интегрируют эти компоненты, считая их подлинными, они неосознанно внедряют уязвимости и другие киберриски в поддерживаемые ими системы.
В ходе Для просмотра ссылки Войди
Специалисты Trend Micro подробно рассмотрели одну из таких атак, чтобы разобраться, как действуют злоумышленники.
На первом этапе заражения используется новая техника, которую исследователи назвали «Exec Smuggling». Этот метод помещает полезную нагрузку после длинной последовательности пробелов, тем самым удаляя вредоносный контент с видимой области экрана, в связи с чем разработчики могут не заметить подвоха.
Как только разработчик подключал заражённую библиотеку, срабатывала первая стадия вируса. Она декодировала и запускала на выполнение следующую часть вредоносной нагрузки, загружая её с сервера хакеров.
На втором этапе происходила подготовка среды с помощью скриптов на Python. Вирус устанавливал дополнительные вредоносные модули, такие как «requests», «pyperclip», «psutil». Также взламывался кошелёк Exodus путём подмены его исполняемых файлов.
Затем запускался третий этап — собственно кража данных. Вирус похищал пароли, cookie-файлы из браузеров, адреса криптокошельков и другую конфиденциальную информацию. Всё это отправлялось на серверы злоумышленников. В атаке использовались такие хакерские инструменты как «BlackCap-Grabber».
Используя подобные многоступенчатые техники и внедряя вредоносный код в популярные репозитории, киберпреступники зачастую успешно похищают ценные данные разработчиков.
Учитывая скрытность, мощь и риски таких атак, очевидно, что как организации, так и независимые разработчики, должны в приоритетном порядке внедрять комплексные меры безопасности, включая тщательную оценку всех сторонних компонентов и непрерывный мониторинг интегрированных систем.
- Источник новости
- www.securitylab.ru