Tag: Tiekimo grandinės atakos

  • Tyrėjai įspėja apie „TrapDoor“: kenkėjiški paketai taikosi į kripto kūrėjus ir pinigines

    Tyrėjai įspėja apie „TrapDoor“: kenkėjiški paketai taikosi į kripto kūrėjus ir pinigines

    Kibernetinio saugumo bendrovės „Socket“ tyrėjai pranešė aptikę naują kenkėjiškų programų platinimo kampaniją „TrapDoor“, nukreiptą į kriptovaliutų kūrėjų aplinkas. Pasak jų, atakos taikiniais tapo ekosistemos, susijusios su Aptos, Sui ir Solana, o platinimui pasitelkti populiarūs programavimo paketų katalogai.

    Tyrimo duomenimis, identifikuota daugiau nei 34 kenkėjiški paketai, išplatinti per tris registrus: „npm“, „PyPI“ ir „Crates.io“. Iš viso suskaičiuota daugiau nei 384 šių paketų versijos, o dalis pavadinimų buvo parinkti taip, kad primintų įprastus kūrėjų įrankius ir bibliotekas.

    Kaip veikia ataka?

    Tyrėjų teigimu, „TrapDoor“ sukurta vogti jautrius duomenis iš programuotojų kompiuterių ir darbo aplinkų. Tarp taikinių įvardijami SSH raktai, kriptovaliutų piniginių saugyklos, „AWS“ prisijungimai, „GitHub“ prieigos raktai ir naršyklių prisijungimų duomenų bazės.

    Kenksmingas kodas aktyvuojamas skirtingais būdais, priklausomai nuo ekosistemos. „npm“ atveju tai gali būti automatiniai diegimo scenarijai, „Python“ paketuose vykdymas inicijuojamas importavimo metu, o „Rust“ aplinkoje pasitelkiami projekto surinkimo scenarijai, kurie startuoja kompiliavimo metu.

    Kodėl taikomi būtent kūrėjai?

    Kripto projektų kūrėjų kompiuteriuose ir CI aplinkose dažnai laikomi raktai, žetonai bei prieigos prie infrastruktūros duomenys, todėl vienas sėkmingas užkratas gali atverti kelią daug platesnei kompromitacijai. Nutekinti prisijungimai gali būti panaudoti tiek lėšoms iš piniginių, tiek prieigai prie kodų saugyklų, debesijos resursų ar projektų tiekimo grandinės.

    „Socket“ tyrėjai atkreipė dėmesį, kad paketų pavadinimai buvo kuriami taip, jog atrodytų susiję su kripto, DeFi, saugumo ar net DI darbo srautais. Tokia taktika didina tikimybę, kad kūrėjai atsisiųs paketą manydami, jog tai pagalbinis įrankis ar populiarios bibliotekos priedas.

    Ką verta daryti dabar?

    Praktikoje svarbiausia peržiūrėti, kokie paketai pastaruoju metu buvo įtraukti į projektus, ir įsitikinti jų kilme bei reputacija. Taip pat verta apriboti, kokius slaptus raktus kūrimo aplinka gali pasiekti pagal nutylėjimą, ir atskirti darbo stotis nuo kritinių raktų saugyklų.

    Ekspertai primena, kad tokio tipo kampanijos rodo augančią programinės įrangos tiekimo grandinės riziką: užtenka vieno „patogaus“ paketo, kad užkratas patektų į organizacijos vidų. Dėl to vis dažniau rekomenduojama taikyti griežtesnę priklausomybių kontrolę, registrų leidimų ribojimą ir nuolatinę saugumo stebėseną.

    „Matome mažos apimties, bet didelės žalos kampaniją: paketų nėra daug, tačiau taikomasi į aplinkas, kuriose saugomi itin vertingi autentifikavimo ir finansiniai duomenys“, – sakė „Socket“ tyrėjai.

  • „Aikido Security“ pristatė Endpoint: kaip agentas stabdo kenkėjus DI įrankiuose ir IDE plėtiniuose

    „Aikido Security“ pristatė Endpoint: kaip agentas stabdo kenkėjus DI įrankiuose ir IDE plėtiniuose

    „Aikido Security“ pristatė „Aikido Endpoint“ – lengvą galinių įrenginių saugumo agentą, skirtą programuotojų darbo stotims apsaugoti. Sprendimas orientuotas į augančias programinės įrangos tiekimo grandinės atakas, kurios taikosi į atvirojo kodo paketus, IDE plėtinius ir naršyklių priedus.

    Įmonė pabrėžia, kad rizika didėja dėl spartaus DI įrankių įsitvirtinimo programuotojų kasdienybėje. Kodo generavimo ir pagalbinės aplinkos plečia atakos paviršių: atsiranda daugiau kanalų, per kuriuos į darbo kompiuterį gali patekti kenkėjiški papildiniai, o jautrūs duomenys gali būti išsiunčiami į išorines paslaugas.

    „Aikido Endpoint“ veikia kaip foninis patikros sluoksnis prieš diegimą. Agentas tikrina paketus ir plėtinius pagal įmonės grėsmių žvalgybos srautą „Aikido Intel“ ir, aptikęs žinomą kenkėjišką turinį, jį blokuoja dar iki failams patenkant į įrenginį.

    Vienas iš sprendimo principų – papildoma atsarga naujiems paketams: įmonė teigia automatiškai sulaikanti neseniai paskelbtus paketus, kad būtų sumažinta rizika pačiame pavojingiausiame laikotarpyje, kai kenkėjai bando išnaudoti trumpą „langą“ iki aptikimo. Toks modelis taikomas ten, kur kodo priklausomybės diegiamos dažnai ir dideliais kiekiais.

    Produktas apima kelias sritis: paketų registrus, IDE plėtinius, naršyklės priedus ir DI įrankių naudojimo matomumą organizacijoje. Įmonės vertinimu, organizacijoms tampa vis svarbiau ne tik blokuoti grėsmes, bet ir suprasti, kokie įrankiai realiai veikia programuotojų įrenginiuose, ypač kai kalbama apie prieigą prie kodo, raktų ir vidinių dokumentų.

    „Jie juda visu greičiu, įsidiegia tai, ko reikia, ir apie tiekimo grandinės atakas nepagalvoja – iki tos dienos, kai Endpoint užblokuoja rimtą grėsmę ir tampa aišku, kaip arti buvo incidentas“, – sakė „Aikido Security“ augimo vadovė Madeline Lawrence.

    Pasak jos, pastaraisiais metais pasikeitė ir atakų „įėjimo kaina“: įrankiai, kurie automatizuoja kodo rašymą ir analizę, sumažino slenkstį kurti žalingus paketus ar obfuskaciją. Dėl to tiekimo grandinės grėsmės dažniau kyla ne tik iš aukšto lygio grupuočių, bet ir iš mažiau patyrusių veikėjų.

    „Aikido Security“ teigia, kad tradicinės galinių įrenginių apsaugos priemonės dažnai kuriamos tipiniams biuro scenarijams, todėl programuotojų aplinkose jos pritrūksta konteksto. Įmonės logika – saugumo kontrolę perkelti į vietą, kur į įrenginį patenka naujas kodas ir įrankiai, taip sumažinant riziką dar prieš jai persikeliant į saugyklas, CI procesus ar debesijos infrastruktūrą.

    „Aikido Endpoint“ vystomas remiantis anksčiau sukurtu atvirojo kodo įrankiu „Aikido Safe Chain“, skirtu saugesniam paketų diegimui per komandų eilutę. Naujas agentas, įmonės teigimu, pritaikytas diegti centralizuotai, pasitelkiant organizacijų įrenginių valdymo priemones, kad apsauga veiktų nuosekliai ir nepriklausytų nuo kiekvieno programuotojo rankinio nustatymo.

    Įmonė taip pat akcentuoja skaidrumo kryptį: kartu su apsauga ji viešina tiekimo grandinės tyrimus ir grėsmių signalus per „Aikido Intel“, o papildomi įrankiai turėtų padėti vertinti paketų „sveikatą“ pagal tokius požymius kaip projekto branda ar prižiūrėtojų stabilumas. „Aikido Security“ tikisi, kad matomumo ir prevencijos derinys taps vienu svarbiausių atsakų į tiekimo grandinės atakų augimą DI spartinamoje programavimo eroje.