Новая волна кибератак, получившая название «GlassWorm», использует фундаментальную слабость современной разработки программного обеспечения: зависимость от кода с открытым исходным кодом. Исследователи обнаружили, что злоумышленники скрывают исполняемый код в, казалось бы, безобидных программных пакетах, используя невидимые символы Unicode. Этот метод позволяет вредоносному ПО обходить стандартные проверки безопасности, заражая сотни проектов на платформах, таких как GitHub и npm.
Тихая угроза: Как работает GlassWorm
В основе атаки лежит эксплуатация способа интерпретации текста компьютерами. Злоумышленники незаметно внедряют рабочий код в проекты с открытым исходным кодом. Эти изменения кажутся безвредными для человеческого глаза, но исполняются компьютером. Джастин Каппос, профессор компьютерных наук Нью-Йоркского университета, описывает это как скрытое сообщение на виду у всех – например, едва заметное изменение цвета чернил для внедрения дополнительных данных.
Эта техника не нова; в 2021 году исследователи Кембриджского университета выявили аналогичные уязвимости под названием «Trojan Source». Однако GlassWorm выделяется своим масштабом и сложностью. Злоумышленники отправляют, казалось бы, незначительные исправления в популярное программное обеспечение, встраивая вредоносные инструкции, которые остаются необнаруженными.
Риск для цепочки поставок
Настоящая опасность GlassWorm заключается в его способности эксплуатировать цепочку поставок программного обеспечения. Современные приложения редко начинаются с нуля; вместо этого они полагаются на предварительно написанные библиотеки и зависимости. Это означает, что один скомпрометированный пакет может заразить бесчисленное количество проектов. Злоумышленнику не нужно напрямую нацеливаться на приложение; он может отравить общий строительный блок, обеспечив автоматическое распространение вредоносного ПО.
В период с 3 по 9 марта компании, занимающиеся кибербезопасностью, обнаружили активность GlassWorm в сотнях репозиториев, включая те, которые написаны на JavaScript, TypeScript и Python. К 16 марта два ранее чистых пакета с более чем 135 000 ежемесячных загрузок были заражены. Цель злоумышленников чисто финансовая: скрытый код загружает вторичные скрипты, предназначенные для кражи криптовалюты, учетных данных разработчиков и других ценных данных.
Большая проблема: Недостаточное финансирование безопасности
Успех GlassWorm подчеркивает критическую проблему. Безопасность цепочки поставок программного обеспечения исторически игнорировалась. Хотя государственные субъекты использовали эти уязвимости в течение многих лет, теперь киберпреступники извлекают выгоду из этой возможности. Каппос утверждает, что обвинять сопровождающих – это отвлекающий маневр; настоящая проблема в недостаточных инструментах безопасности.
«Самое простое – попытаться обвинить сопровождающих, но это немного близоруко. Инструменты и средства защиты должны стать лучше, чтобы спасти нас.»
Эта атака подчеркивает необходимость улучшения методов обнаружения и более надежной инфраструктуры безопасности. Доверие, на котором держится экосистема с открытым исходным кодом, подвергается испытанию, и последствия могут быть масштабными, пока не будут приняты лучшие меры защиты.
