0
0
Um ataque automatizado dentro do ecossistema de código aberto NuGet para desenvolvedores .NET resultou em uma enxurrada de pacotes maliciosos contendo links para campanhas de phishing.
Isso está de acordo com um relatório conjunto na quarta-feira da Checkmarx e da Illustria, que, ao se aprofundar, descobriu que os ataques automatizados estão mirando em um nível amplo, contra usuários dos ecossistemas de desenvolvedores de software npm, NuGet e PyPI .
O vetor de ataque no ecossistema NuGet envolve o uso de processos automatizados para criar um grande número de pacotes com nomes e descrições projetados para atrair os interessados em hacking, cheats e recursos gratuitos. Eles contêm links para campanhas de phishing criadas para roubar informações pessoais ou outros dados confidenciais.
A escala desse ataque é única, de acordo com o relatório, porque envolve a criação de mais de 144.000 pacotes pelo mesmo ator de ameaça – um número significativamente maior de pacotes do que o normalmente visto em tais ataques, tornando-o um evento especialmente grande e significativo. .
“O uso de processos automatizados para criar os pacotes e contas de usuário torna difícil para as equipes de segurança identificar e derrubar os pacotes”, disse Jossef Harush, chefe de engenharia de segurança da cadeia de suprimentos da Checkmarx, ao Dark Reading.
Harush acrescenta: “Isso torna o ataque mais perigoso e mais difícil de se defender. Também destaca a necessidade de as organizações estarem vigilantes e tomarem medidas para se proteger contra esses tipos de ataques.”
Automação: melhorando a eficiência, reduzindo o risco para hackers
Harush explica que os invasores provavelmente investiram em automação para envenenar os ecossistemas NuGet, PyPI e npm porque isso permite que eles criem um grande volume de pacotes e contas de usuário em um curto período de tempo.
“Isso permite que eles enviem spam para o ecossistema de código aberto com muitos pacotes, atingindo potencialmente um número significativo de usuários e aumentando a probabilidade de serem vítimas de campanhas de phishing”, diz ele.
Além disso, como o uso da automação dificulta a identificação e remoção dos pacotes pelas equipes de segurança, os invasores podem continuar sua campanha por um período mais longo.
“A automação também reduz o risco de os invasores serem pegos e permite que eles operem com mais eficiência e menos riscos”, observa Harush.
Pacotes maliciosos: principais medidas preventivas
Além de monitorar as redes em busca de sinais de campanhas de phishing e outras atividades suspeitas e educar os funcionários sobre a importância de serem cautelosos ao baixar pacotes de ecossistemas de código aberto, as empresas devem considerar ferramentas e serviços de segurança para ajudar a identificar e proteger contra essas ameaças aos seus cadeias de suprimentos de software.
“Posturas de segurança contra invasores da cadeia de suprimentos de software precisam evoluir de várias maneiras para melhor se defender contra essas ameaças”, diz Harush. “Primeiro, os gerenciadores de pacotes precisam melhorar sua capacidade de detectar e impedir a publicação de pacotes maliciosos em ecossistemas de código aberto como NuGet, PyPI e npm”.
Ele explica que isso pode envolver o uso de tecnologia para monitorar esses ecossistemas e identificar atividades suspeitas, bem como o desenvolvimento de melhores práticas e processos de segurança para identificar e responder a ameaças.
Harush aponta que as posturas gerais de segurança contra invasores da cadeia de suprimentos de software precisam ser mais proativas, adaptáveis e colaborativas para se defender com eficácia contra essas ameaças.
“Isso pode envolver uma combinação de tecnologia, processos e pessoas trabalhando juntas para identificar e responder a essas ameaças de maneira oportuna e eficaz”, diz ele.
Um relatório recente do Google também observou que os líderes de segurança devem adotar uma abordagem mais holística para lidar com os riscos da cadeia de suprimentos e devem trabalhar para implementar a estrutura Níveis da Cadeia de Suprimentos para Artefatos de Software (SLSA) ao criar software para garantir melhor segurança e integridade do software.
FONTE: DARK READING