Nová vlna kybernetických útoků, nazvaná „GlassWorm“, využívá základní slabinu moderního vývoje softwaru: závislost na otevřeném zdrojovém kódu. Výzkumníci zjistili, že útočníci skrývají spustitelný kód ve zdánlivě neškodných softwarových balíčcích pomocí neviditelných znaků Unicode. Tato technika umožňuje malwaru obejít standardní bezpečnostní kontroly a infikovat stovky projektů na platformách jako GitHub a npm.
Tichá hrozba: Jak GlassWorm funguje
Útok je založen na zneužití způsobu, jakým počítače interpretují text. Útočníci tiše vkládají pracovní kód do projektů s otevřeným zdrojovým kódem. Tyto změny se zdají lidskému oku neškodné, ale provádí je počítač. Justin Cappos, profesor informatiky na New York University, to popisuje jako skrytou zprávu na očích – například jemnou změnu barvy inkoustu pro vložení dalších dat.
Tato technika není nová; v roce 2021 vědci z University of Cambridge identifikovali podobná zranitelnost nazvaná „Trojan Source“. GlassWorm však vyniká svým rozsahem a složitostí. Útočníci posílají zdánlivě drobné opravy oblíbeného softwaru a vkládají do něj škodlivé pokyny, které zůstávají neodhaleny.
Riziko dodavatelského řetězce
Skutečné nebezpečí GlassWormu spočívá v jeho schopnosti využívat dodavatelský řetězec softwaru. Moderní aplikace zřídka začínají od nuly; místo toho se spoléhají na předem napsané knihovny a závislosti. To znamená, že jeden kompromitovaný balíček může infikovat nespočet projektů. Útočník nemusí cílit přímo na aplikaci; může otrávit společný stavební blok a umožnit tak automatické šíření malwaru.
Mezi 3. březnem a 9. březnem společnosti zabývající se kybernetickou bezpečností detekovaly aktivitu GlassWorm ve stovkách úložišť, včetně těch napsaných v JavaScriptu, TypeScriptu a Pythonu. Do 16. března byly infikovány dva dříve čisté balíčky s více než 135 000 staženími měsíčně. Cíl útočníků je čistě finanční: skrytý kód načte sekundární skripty určené ke krádeži kryptoměny, přihlašovacích údajů vývojáře a dalších cenných dat.
Velký problém: Nedostatečné financování bezpečnosti
Úspěch GlassWormu poukazuje na zásadní problém. Zabezpečení softwarového dodavatelského řetězce bylo historicky zanedbáváno. Zatímco státní aktéři této zranitelnosti roky zneužívali, kyberzločinci nyní této příležitosti využívají. Kappos argumentuje, že obviňovat eskorty je červený sledě; skutečným problémem jsou nedostatečné bezpečnostní nástroje.
“Nejjednodušší je pokusit se obvinit eskortu, ale to je trochu krátkozraké. Je třeba zlepšit nástroje a obranu, abychom nás zachránili.”
Tento útok zdůrazňuje potřebu vylepšených detekčních technik a robustnější bezpečnostní infrastruktury. Důvěra, na které open source ekosystém spočívá, je testována a důsledky by mohly být rozšířené, dokud nebudou zavedeny lepší ochrany.
