Porast broja zlonamernih paketa koji ugrožavaju lance snabdevanja softverom

Kompanija Kaspersky izveštava da je do kraja 2024. godine u projektima otvorenog koda pronađeno ukupno 14.000 zlonamernih paketa, što predstavlja porast od 50% u poređenju sa krajem 2023. godine. Tokom 2024. godine, kompanija Kaspersky je ispitala 42 miliona verzija paketa otvorenog koda u potrazi za ranjivostima.

Softver otvorenog koda je softver čiji izvorni kod svako može da pregleda, izmeni i unapredi. Popularni paketi otvorenog koda uključuju GoMod, Maven, NuGet, npm, PyPI i dr. To su alati koji pokreću bezbroj aplikacija i pomažu programerima da lako pronađu, instaliraju i upravljaju već kreiranim bibliotekama koda, čime se pojednostavljuje razvoj softvera korišćenjem već napisanog koda. Napadači koriste popularnost ovih i drugih paketa kako bi ih zloupotrebili.

U martu 2025. godine, prijavljeno je da je grupa Lazarus postavila nekoliko zlonamernih npm paketa koji su više puta preuzeti pre nego što su uklonjeni. Ti paketi su sadržali malver za krađu akreditiva, podataka iz kripto novčanika i postavljanje bekdor pristupa, a ciljali su sisteme programera na Windows, macOS i Linux platformama. Napad je koristio GitHub repozitorijume radi dodatne legitimnosti, što ukazuje na sofisticirane taktike ove grupe u lancu snabdevanja softverom. GReAT tim kompanije Kaspersky takođe je otkrio druge npm pakete povezane sa ovim napadom. Zlonamerni npm paketi mogli su biti integrisani u veb razvoj, kripto platforme i korporativni softver, čime su stvoreni rizici od masovne krađe podataka i finansijskih gubitaka.

Tokom 2024. godine, otkrivena je sofisticirana bekdor ranjivost u verzijama 5.6.0 i 5.6.1 XZ Utils biblioteke za kompresiju, koja se široko koristi u Linux distribucijama. Zlonamerni kod je ubacio pouzdani saradnik, a cilj mu je bio SSH serveri, omogućavajući daljinsko izvršavanje komandi i ugrožavajući ogroman broj sistema širom sveta. Ranije otkrivanje zahvaljujući performansnim anomalijama sprečilo je širu zloupotrebu, a incident je ukazao na ozbiljne rizike napada na lanac snabdevanja softverom. XZ Utils je ključna komponenta operativnih sistema, serverskih rešenja u oblaku i IoT uređaja, što njegovu kompromitaciju čini pretnjom po kritičnu infrastrukturu i korporativne mreže.

GReAT tim kompanije Kaspersky je 2024. godine otkrio da su napadači postavili zlonamerne Python pakete poput chatgpt-python i chatgpt-wrapper na PyPI, kopirajući legitimne alate za interakciju sa ChatGPT API. Ovi paketi, osmišljeni da kradu akreditive i instaliraju bekdor, iskoristili su popularnost razvoja veštačke inteligencije kako bi prevarili programere da ih preuzmu. Ovi paketi mogli su biti korišćeni u razvoju veštačke inteligencije, integracijama čet botova i platformama za analizu podataka, ugrožavajući osetljive tokove rada veštačke inteligencije i korisničke podatke.

„Softver otvorenog koda je okosnica mnogih modernih rešenja, ali njegova otvorenost se zloupotrebljava. Porast zlonamernih paketa od 50% do kraja 2024. godine pokazuje da napadači aktivno ugrađuju sofisticirane bekdore i kradljivce podataka u popularne pakete od kojih zavise milioni ljudi. Bez rigorozne provere i praćenja u realnom vremenu, jedan kompromitovani paket može izazvati globalni problem. Organizacije moraju osigurati lanac snabdevanja pre nego što sledeći napad na nivou XZ Utils uspe“, rekao je Dmitrij Galov, šef Istraživačkog centra za Rusiju i ZND u GReAT timu kompanije Kaspersky.

Kako biste bili bezbedni, kompanija Kaspersky preporučuje da:

Koristite rešenje za praćenje korišćenih komponenti otvorenog koda kako bi se otkrile pretnje koje mogu biti skrivene unutar njih.

Ako sumnjate da je pretnja mogla da dobije pristup infrastrukturi vaše kompanije, preporučujemo korišćenje Kaspersky Compromise Assessment usluge za otkrivanje prošlih ili tekućih napada.

Proverite autore paketa: Proverite kredibilitet autora ili organizacije koja stoji iza paketa. Obratite pažnju na istoriju verzija, dokumentaciju i aktivan sistem za praćenje problema.

Informišite se o novim pretnjama: pretplatite se na bezbednosne biltene i upozorenja koja se odnose na ekosistem otvorenog koda. Što ranije saznate za pretnju, brže možete da reagujete.