Nowa fala cyberataków, nazwana „GlassWorm”, wykorzystuje podstawową słabość współczesnego oprogramowania: zależność od otwartego kodu źródłowego. Badacze odkryli, że napastnicy ukrywają kod wykonywalny w pozornie nieszkodliwych pakietach oprogramowania, używając niewidocznych znaków Unicode. Technika ta pozwala złośliwemu oprogramowaniu ominąć standardowe kontrole bezpieczeństwa, infekując setki projektów na platformach takich jak GitHub i npm.
Ciche zagrożenie: jak działa GlassWorm
Atak opiera się na wykorzystaniu sposobu, w jaki komputery interpretują tekst. Atakujący po cichu wprowadzają działający kod do projektów open source. Zmiany te wydają się nieszkodliwe dla ludzkiego oka, ale są przeprowadzane przez komputer. Justin Cappos, profesor informatyki na Uniwersytecie Nowojorskim, opisuje to jako ukrytą wiadomość na widoku — na przykład subtelną zmianę koloru atramentu w celu osadzenia dodatkowych danych.
Ta technika nie jest nowa; w 2021 r. badacze z Uniwersytetu w Cambridge zidentyfikowali podobne luki zwane „źródłem trojana”. Jednak GlassWorm wyróżnia się swoją skalą i złożonością. Atakujący wysyłają pozornie drobne poprawki do popularnego oprogramowania, osadzając złośliwe instrukcje, które pozostają niewykryte.
Ryzyko łańcucha dostaw
Prawdziwe zagrożenie GlassWorm polega na jego zdolności do wykorzystywania łańcucha dostaw oprogramowania. Nowoczesne aplikacje rzadko zaczynają od zera; zamiast tego polegają na wstępnie napisanych bibliotekach i zależnościach. Oznacza to, że jeden zainfekowany pakiet może zainfekować niezliczone projekty. Osoba atakująca nie musi bezpośrednio atakować aplikacji; może zatruć wspólny element konstrukcyjny, umożliwiając automatyczne rozprzestrzenianie się złośliwego oprogramowania.
Między 3 a 9 marca firmy zajmujące się cyberbezpieczeństwem wykryły aktywność GlassWorma w setkach repozytoriów, w tym tych napisanych w JavaScript, TypeScript i Python. Do 16 marca zainfekowane zostały dwa wcześniej czyste pakiety, z których miesięcznie pobierano ponad 135 000 plików. Cel atakujących jest czysto finansowy: ukryty kod ładuje dodatkowe skrypty zaprojektowane w celu kradzieży kryptowaluty, danych uwierzytelniających programistów i innych cennych danych.
Duży problem: niewystarczające finansowanie bezpieczeństwa
Sukces GlassWorma uwydatnia kluczowy problem. Bezpieczeństwo łańcucha dostaw oprogramowania było w przeszłości zaniedbywane. Choć podmioty państwowe wykorzystywały te luki od lat, obecnie cyberprzestępcy wykorzystują tę szansę. Kappos argumentuje, że obwinianie eskorty to błędne podejście; prawdziwym problemem jest niewystarczające narzędzia bezpieczeństwa.
„Najłatwiej jest zrzucić winę na eskortę, ale jest to trochę krótkowzroczne. Aby nas uratować, narzędzia i środki obronne muszą zostać ulepszone”.
Atak ten uwydatnia potrzebę ulepszonych technik wykrywania i solidniejszej infrastruktury bezpieczeństwa. Zaufanie, na którym opiera się ekosystem open source, jest testowane, a konsekwencje mogą być powszechne, dopóki nie zostaną wprowadzone lepsze zabezpieczenia.
