Kompanija Kaspersky izveštava da je do kraja 2024. godine u projektima otvorenog koda pronađeno ukupno 14.000 zlonamernih paketa. To predstavlja porast od 50% u poređenju sa krajem 2023. godine. Tokom prethodne, kompanija Kaspersky je ispitala 42 miliona verzija paketa otvorenog koda u potrazi za ranjivostima. Hajde da pogledamo kako su to lanci snabdevanja ugroženi zlonamernim softverom.
Softver otvorenog koda je softver čiji izvorni kod svako može da pregleda, izmeni i unapredi. Popularni paketi otvorenog koda uključuju GoMod, Maven, NuGet, npm, PyPI i druge. To su alati koji pokreću bezbroj aplikacija i pomažu programerima da lako pronađu, instaliraju i upravljaju već kreiranim bibliotekama koda. Time se uprošćava razvoj softvera korišćenjem već napisanog koda. Naravno, i napadači koriste popularnost ovih i drugih paketa kako bi ih zloupotrebili.
Novi napad čuvene grupe Lazarus
U martu 2025. godine, prijavljeno je da je grupa Lazarus postavila nekoliko zlonamernih npm paketa koji su više puta preuzeti pre nego što su uklonjeni. Ti paketi su sadržali malver za krađu akreditiva, podataka iz kripto novčanika i postavljanje bekdor pristupa. Ciljali su sisteme programera na Windows, macOS i Linux platformama. Napad je koristio GitHub repozitorijume radi dodatne legitimnosti, što ukazuje na sofisticirane taktike ove grupe u lancu snabdevanja softverom.
Kaspersky GReAT tim je otkrio i druge npm pakete povezane sa ovim napadom. Zlonamerni npm paketi mogli su biti integrisani u veb razvoj, kripto platforme i korporativni softver. Na taj način su stvoreni rizici od masovne krađe podataka i finansijskih gubitaka.
Pročitajte još:
Tokom 2024. godine, otkrivena je sofisticirana bekdor ranjivost u verzijama 5.6.0 i 5.6.1 XZ Utils biblioteke za kompresiju. Ona se široko koristi u Linux distribucijama. A znate li gde se Linux koristi? Tako je, među običnim korisnicima ne, ali u brojnim firmama, državnim institucijama, kompanijama – kao Windows alternativa – vrlo često.
Zlonameran kod je ubacio pouzdan saradnik. Cilj mu je bio SSH serveri, omogućavajući daljinsko izvršavanje komandi i ugrožavajući ogroman broj sistema širom sveta. Ranije otkrivanje zahvaljujući anomalijama performansi sprečilo je širu zloupotrebu, a incident ukazao na ozbiljne rizike napada na lanac snabdevanja softverom. XZ Utils je ključna komponenta operativnih sistema, serverskih rešenja u oblaku i IoT uređaja. Njegovo kompromitovanje je pretnja po kritičnu infrastrukturu i korporativne mreže globalno.
Ugrožen bio i ChatGPT API
GReAT tim kompanije Kaspersky je 2024. godine otkrio da su napadači postavili zlonamerne Python pakete poput chatgpt-python i chatgpt-wrapper na PyPI, kopirajući legitimne alate za interakciju sa ChatGPT API. Paketi su, osmišljeni da kradu akreditive i instaliraju bekdor, iskoristili popularnost veštačke inteligencije kako bi prevarili programere da ih preuzmu. Ovi paketi mogli su biti korišćeni u razvoju veštačke inteligencije, integracijama čet botova i platformama za analizu podataka. Tako su ugrozili ne samo osetljive tokove rada veštačke inteligencije, nego i korisničke podatke.
Pročitajte još:
„Softver otvorenog koda je okosnica mnogih modernih rešenja. Ipak, njegova otvorenost se zloupotrebljava. Porast zlonamernih paketa od 50% pokazuje da napadači aktivno ugrađuju sofisticirane bekdore i kradljivce podataka u popularne pakete od kojih zavise milioni ljudi. Bez rigorozne provere i praćenja u realnom vremenu, jedan kompromitovani paket može izazvati globalni problem. Organizacije moraju osigurati lanac snabdevanja. Moraju to učinite pre, nego što sledeći napad na XZ Utils uspe“, rekao je Dmitrij Galov iz Kaspersky GReAT tima.
Iako su lanci snabdevanja ugroženi, evo par saveta…
Kako biste bili bezbedni, kompanija Kaspersky preporučuje nekoliko stvari.
- Koristite rešenje za praćenje korišćenih komponenti otvorenog koda kako bi se otkrile pretnje koje mogu biti skrivene unutar njih
- Ako sumnjate da je pretnja dobila pristup infrastrukturi kompanije, uposlite Kaspersky Compromise Assessment za otkrivanje prošlih ili tekućih napada
- Proverite autore paketa; proverite kredibilitet autora ili organizacije koja stoji iza paketa; obratite pažnju na istoriju verzija, dokumentaciju i aktivan sistem za praćenje problema
- Informišite se o novim pretnjama; pretplatite se na bezbednosne biltene i upozorenja koja se odnose na ekosistem otvorenog koda; što ranije saznate za pretnju, brže možete da reagujete
Iako su lanci snabdevanja ugroženi – vi to ne morate biti, ako revnosno pazite na to šta koristite i iz kog izvora. Izvucite pouke iz ranijih propusta drugih korisnika i kompanija. Nemojte vi biti ti na čijim greškama drugi uče!
