Zagrebačka tvrtka ReversingLabs, vodeća u sigurnosti opskrbnim lancima softvera, otkrila je u nekoliko desetaka softverskih paketa maliciozni kod koji prikuplja najosjetljivije podatke bez znanja korisnika. Riječ je o podacima za prijavu na aplikacije, mobile i desktop, te internetske stranice, iako maliciozni kod prisvaja i druge podatke.
Inženjeri ReversingLabsa otkrili su zlonamjerne pakete u nečemu što se zove 'NPM package manager', odnosno riječ je o instalacijskom paketu. Pri pokretanju zaraženog takvog paketa, programeri nehotično maliciozni kod ugrade u aplikacije i internetske stranice nakon čega on prikuplja najosjetljivije podatke, poput onih kojima se korisnik prijavljuje na aplikaciju ili stranicu.
Inače se NPM package managerom služi više od 11 milijuna programera koji rade u jeziku JavaScript, a do srijede je zabilježeno kako su maliciozni paketi preuzeti 17.000 puta. Ovi zlonamjerni paketi u opticaju su barem od prosinca 2021. godine, moglo bi njima biti zahvaćeno više stotina ili čak tisuća aplikacija i stranica. I nakon objave otkrića neki su od paketa bili i dalje dostupni pa su iz ReversingLabsa pozvali na pojačan oprez.
- Napadači su vješto izveli prijevaru pa je programerima bilo vrlo teško posumnjati u ispravnost paketa, i prepoznati da u svoj rad ugrađuju opasne komponente. A kako vidimo u našim sustavima, zlonamjerni paketi još uvijek se puštaju u NPM, rekao je suosnivač ReversingLabsa Tomislav Peričin na stručnom webinaru za američku sigurnosnu branšu, gdje je objašnjavao tehničku pozadinu najnovijeg napada, i kako se od njega zaštititi.
- Radi se o prvom napadu na softverski lanac opskrbe kojem su meta krajnji korisnici, a ne programeri, rekao je Peričin. Dodao je da NPM sam po sebi nije ni više ni manje izložen ovakvim napadima u odnosu na druge repozitorije otvorenog koda. Radi se tek o tome da je, kao najveći među njima, odlična platforma za napad. Peričin je rekao kako su organizacije počele sastavljati detaljne upitnike za kompanije od kojih nabavljaju softver, kako bi bolje razumjele rizike te se tako bolje zaštitile od ove vrste opasnosti. Drugi način zaštite su alati za analizu sastava softvera.
Napad koji su u ReversingLabsu nazvali IconBurst ovog je tjedna bio istaknuta vijest u američkoj sigurnosnoj zajednici, a na analizu ReversingLabsovog inženjera Karla Zankija se pozvalo više portala specijaliziranih za kibernetičku sigurnost. On je izjavio kako je tek nekoliko paketa maknuto, a većina je i dalje bila dostupna za download u vrijeme objave njegovog izvještaja.
– Tek rijetke razvojne tvrtke imaju mogućnost prepoznavanja malicioznog koda u opet source bibliotekama i modulima, napadi su trajali mjesecima prije no što smo ih primijetili, rekao je.
Tek treba procijeniti utjecaj ovih napada, a nema načina da se zna koliko podataka i loginova je ukradeno kroz zaražene aplikacije i stranice od prosinca 2021. Jedino je moguće znati koliko je puta zaraženi instalacijski paket preuzet, a to je spomenutih 17.000 puta. Zbog činjenice kako meta ovih napada nisu bili razvojni programeri koji su koristili paket sa zlonamjernim kodom nego su se mete nalazile dalje u opskrbnom softverskom lancu slični su napadima SolarWinds od prošlog prosinca. Primjerice, razvojni programeri navučeni su u korištenje, primjerice, paketa nazvanog 'icon-package' koji sadržava zlonamjerni kod, umjesto pravoga, 'ionicons' koji inače sadržava više od tisuću ikona za web, iOS, Android i desktop aplikacije. Autor je malicioznog paketa objavio čak 18 verzija 'icon-packagea'.
Usernamove?????? Jel vi to stvarno? Usernamove? Stvarno zvuči najstylish.