Согласно ежегодному отчету “State of the Software Supply Chain” от компании Sonatype, в период с июля 2019 года по май 2020 года было зарегистрировано 929 атак. Исследование было составлено на основе анализа 24 000 проектов с открытым исходным кодом и 15 000 организаций-разработчиков, а также на основе интервью с 5600 разработчиками программного обеспечения.
Согласно отчету, в 2020 году прогнозируется 1,5 триллиона запросов на загрузку компонентов со всех основных экосистем с открытым исходным кодом.
Репозитории Node.js (npm) и Python (PyPI) считаются одними из наиболее часто используемых злоумышленниками, поскольку вредоносный код может быть легко запущен во время установки пакета.
Данный тип атак возможен, потому что в мире с открытым исходным кодом труднее различать участвующих разработчиков от злоумышленников, а также из-за взаимосвязанного характера проектов, утверждает Sonatype.
В последнем случае проекты с открытым исходным кодом могут иметь сотни или тысячи зависимостей от других проектов, которые могут содержать известные уязвимости, которые, в свою очередь, можно эксплуатировать.
В отчете говорится, что в 2019 году более 10% мировых загрузок Java OSS содержали по крайней мере одну уязвимость с открытым исходным кодом, при этом в течение трех дней после публичного раскрытия уязвимости использовались уже новые уязвимости.
Сегодня 90% компонентов в приложении имеют открытый исходный код, и известно, что 11% из них содержат уязвимости.
«Наше исследование показывает, что группы коммерческих инженеров быстрее реагируют на новые уязвимости нулевого дня», – сообщает Уэйн Джексон - генеральный директор Sonatype.
«Поэтому неудивительно, что количество атак нового поколения увеличилось на 430%, поскольку злоумышленники переносят свою деятельность «вверх по течению», где они могут заразить один компонент с открытым исходным кодом, который может быть распределен «вниз по течению», где он может подвергаться стратегической и тайной эксплуатации».
В отчете утверждается, что группы разработчиков могут снизить эти риски, если будут использовать инструменты автоматического анализа состава программного обеспечения (SCA) на протяжении всего жизненного цикла разработки и централизованно вести ведомость материалов (SBOM) для приложений .
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов