Даследчыкі выявілі новую хвалю supply-chain атак: зламыснікі распаўсюджваюць шкоднасныя пакеты з «нябачным» кодам, які немагчыма заўважыць пры звычайным праглядзе. Кампанія ўжо закранула GitHub, npm і маркетплэйс пашырэнняў VS Code.
Даследчыкі выявілі новую хвалю supply-chain атак: зламыснікі распаўсюджваюць шкоднасныя пакеты з «нябачным» кодам, які немагчыма заўважыць пры звычайным праглядзе. Кампанія ўжо закранула GitHub, npm і маркетплэйс пашырэнняў VS Code.
Па дадзеных кампаніі Aikido Security, толькі ў перыяд з 3 па 9 сакавіка было выяўлена як мінімум 151 шкоднасны пакет, загружаны ў рэпазіторыі GitHub. Атака выкарыстоўвае абноўленую тэхніку маскіроўкі: шкоднасныя функцыі кадуюцца з дапамогай спецыяльных сімвалаў Unicode, якія не адлюстроўваюцца ў большасці рэдактараў, тэрміналаў і інтэрфейсаў код-рэв’ю.
Для распрацоўшчыкаў такі код выглядае як пустыя радкі ці прабелы, аднак пры запуску інтэрпрэтатар выконвае схаваны шкоднасны payload.
Даследчыкі адзначаюць, што такія пакеты складана выявіць не толькі з-за нябачнага кода, але і дзякуючы высокай якасці «бачнай» часткі змен. Каміты выглядаюць праўдападобна і ўключаюць тыповыя абнаўленні: выпраўленні багаў, змены дакументацыі або павышэнне версіі бібліятэк. Гэта робіць традыцыйныя метады праверкі залежнасцей менш эфектыўнымі.
Эксперты лічаць, што за атакай стаіць група, якая атрымала ўмоўную назву Glassworm. На іх думку, зламыснікі, верагодна, выкарыстоўваюць генератыўныя мадэлі ШІ для стварэння праўдападобных змен кода ў вялікім маштабе. «Пры цяперашнім аб’ёме кампаніі ўручную падрыхтаваць больш за 150 унікальных правак для розных праектаў практычна немагчыма», — адзначаюць даследчыкі.
Аналагічныя шкоднасныя пакеты выяўлены не толькі на GitHub, але і ў рэестры npm і краме пашырэнняў VS Code, што ўказвае на каардынаваную мультыплатформенную кампанію. Пры гэтым рэальны маштаб атакі можа быць значна вышэйшы, паколькі частка заражаных пакетаў ужо была выдалена.
Спецыялісты па бяспецы папярэджваюць, што падобныя атакі становяцца ўсё больш вытанчанымі. Распрацоўшчыкам рэкамендуюць старанна правяраць залежнасці, звяртаць увагу на падазрона падобныя назвы бібліятэк і выкарыстоўваць інструменты аўтаматычнага аналізу, здольныя выяўляць схаваныя Unicode-устаўкі.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.