Atac cibernetic masiv asupra pachetelor open source: sute de versiuni compromise într-un atac de tip „lanț de aprovizionare”

Hackerii au reușit să compromită zeci de pachete open source populare, utilizate de dezvoltatori din întreaga lume, într-un atac cibernetic în desfășurare care vizează direct lanțul de aprovizionare software. Marți, firmele de securitate cibernetică StepSecurity și SafeDep au avertizat asupra celui mai recent val de atacuri de tip „supply chain”, prin care infractorii cibernetici preiau controlul asupra conturilor dezvoltatorilor de proiecte open source și folosesc acest acces pentru a injecta actualizări malițioase care ajung apoi la utilizatorii din aval.

Conform SafeDep, hackerii au preluat contul unui singur dezvoltator și au lansat peste 630 de versiuni malițioase distribuite în 317 pachete, totul în aproximativ 20 de minute. Scopul atacului este furtul de credențiale pentru diverse servicii, inclusiv manageri de parole, ca metodă de a fura date și de a continua răspândirea malware-ului. Printre pachetele compromise se numără Antv, o bibliotecă creată de Alibaba. În unele cazuri, hackerii au publicat actualizări malițioase direct pe GitHub, potrivit JFrog Security.

Acest nou val de atacuri face parte dintr-o campanie mai amplă care vizează proiectele open source și dezvoltatorii care folosesc codul respectiv pentru propriile aplicații. Cercetătorii au denumit aceste atacuri „Mini Shai-Hulud”, după ce campania a urmat unui val anterior și mai extins de atacuri. Săptămâna trecută, într-un alt val al atacurilor Mini Shai-Hulud, hackerii au compromis calculatoarele a doi angajați OpenAI după ce au spart biblioteca open source TanStack. OpenAI a fost doar una dintre numeroasele victime.

Ce înseamnă un atac de tip „lanț de aprovizionare” în context open source?

Atacurile asupra lanțului de aprovizionare software nu sunt o noutate, dar amploarea și viteza cu care se desfășoară acest incident sunt alarmante. În esență, hackerii nu atacă direct utilizatorii finali, ci se infiltrează în sursele de cod pe care aceștia le folosesc. Odată ce un pachet open source popular este compromis, orice aplicație care îl include devine vulnerabilă. De aceea, astfel de atacuri sunt considerate extrem de periculoase: un singur punct de eșec poate afecta mii de proiecte și milioane de utilizatori.

În cazul de față, atacatorii au reușit să obțină acces la contul unui dezvoltator cu drepturi de publicare pe platforme precum npm (Node Package Manager) și PyPI (Python Package Index). Odată ce au preluat controlul, au lansat un număr impresionant de versiuni infectate într-un interval foarte scurt, ceea ce sugerează că au folosit scripturi automate. Scopul principal, conform SafeDep, este furtul de credențiale – inclusiv parole salvate în manageri de parole, token-uri de acces la servicii cloud și chei API.

Impactul asupra comunității de dezvoltatori

Dezvoltatorii din întreaga lume se bazează pe pachete open source pentru a accelera dezvoltarea aplicațiilor. Biblioteci precum Antv (folosită pentru vizualizări de date) sau TanStack (folosită pentru interfețe web) sunt integrate în sute de mii de proiecte. Compromiterea lor înseamnă că orice actualizare automată sau manuală poate introduce malware în sistemele de producție.

Cercetătorii de la StepSecurity au observat că atacatorii au folosit tehnici de „typosquatting” (nume de pachete ușor greșite) și „dependency confusion” (confuzie de dependențe) pentru a păcăli dezvoltatorii să instaleze versiunile malițioase. De asemenea, au exploatat vulnerabilități în procesele de build și deploy, cum ar fi lipsa verificării semnăturilor digitale sau a hash-urilor.

Cazul OpenAI: un avertisment pentru marile companii

Săptămâna trecută, atacatorii au reușit să compromită calculatoarele a doi angajați OpenAI după ce au spart biblioteca TanStack. Deși OpenAI nu a confirmat public amploarea daunelor, incidentul arată că nici măcar companiile de top în domeniul inteligenței artificiale nu sunt imune. Hackerii au folosit accesul inițial pentru a fura token-uri de autentificare și a se deplasa lateral în rețea, ceea ce sugerează că urmăresc nu doar date, ci și capacitatea de a continua atacul.

Cum se pot proteja dezvoltatorii?

Specialiștii recomandă mai multe măsuri imediate:

Verificarea integrității pachetelor înainte de instalare (prin semnături digitale sau hash-uri cunoscute).

Utilizarea unor instrumente de scanare a dependențelor, cum ar fi Snyk sau Dependabot.

Limitarea permisiunilor conturilor de publicare pe platforme open source (de exemplu, autentificare cu doi factori, token-uri cu durată limitată).

Monitorizarea activității suspecte în rețea și a traficului către domenii necunoscute.

Actualizarea doar a pachetelor din surse de încredere și după o perioadă de observare a reacțiilor comunității.

Concluzii

Atacul „Mini Shai-Hulud” este un semnal de alarmă pentru întreaga industrie software. În timp ce open source rămâne un pilon al inovației, securitatea sa este fragilă. Fiecare dezvoltator, indiferent de dimensiunea proiectului, trebuie să fie conștient de riscuri și să adopte practici de securitate riguroase. Altfel, următorul val de atacuri ar putea fi și mai devastator.

De ce este important:

Acest atac demonstrează cât de vulnerabil este ecosistemul open source la atacuri de tip supply chain. O singură breșă poate afecta mii de proiecte și milioane de utilizatori, inclusiv companii mari precum OpenAI. Înțelegerea mecanismelor acestor atacuri și adoptarea măsurilor de protecție adecvate sunt esențiale pentru securitatea cibernetică globală.