Нова хвиля кібератак, що отримала назву GlassWorm, використовує фундаментальну слабкість сучасної розробки програмного забезпечення: залежність від коду з відкритим вихідним кодом. Дослідники виявили, що зловмисники приховують код, що виконується в, здавалося б, нешкідливих програмних пакетах, використовуючи невидимі символи Unicode. Цей метод дозволяє шкідливому програмному забезпеченню обходити стандартні перевірки безпеки, заражаючи сотні проектів на платформах, таких як GitHub і npm.
Тиха загроза: Як працює GlassWorm
В основі атаки лежить експлуатація способу інтерпретації тексту комп’ютерами. Зловмисники непомітно впроваджують робочий код у проекти з відкритим кодом. Ці зміни здаються нешкідливими для ока, але виконуються комп’ютером. Джастін Каппос, професор комп’ютерних наук Нью-Йоркського університету, описує це як приховане повідомлення на увазі у всіх – наприклад, ледь помітна зміна кольору чорнила для впровадження додаткових даних.
Ця техніка не нова; 2021 року дослідники Кембриджського університету виявили аналогічні вразливості під назвою “Trojan Source”. Однак GlassWorm виділяється своїм масштабом та складністю. Зловмисники відправляють, здавалося б, незначні виправлення до популярного програмного забезпечення, вбудовуючи шкідливі інструкції, які залишаються невиявленими.
Ризик для ланцюжка поставок
Справжня небезпека GlassWorm полягає в його здатності експлуатувати ланцюжок постачання програмного забезпечення. Сучасні програми рідко починаються з нуля; натомість вони покладаються на попередньо написані бібліотеки та залежності. Це означає, що один компрометований пакет може заразити незліченну кількість проектів. Зловмисник не потрібно безпосередньо націлюватися на додаток; він може отруїти загальний будівельний блок, забезпечивши автоматичне розповсюдження шкідливого ПЗ.
У період з 3 по 9 березня компанії, що займаються кібербезпекою, виявили активність GlassWorm у сотнях репозиторіїв, включаючи ті, що написані на JavaScript, TypeScript та Python. До 16 березня два раніше чисті пакети з більш ніж 135 000 щомісячних завантажень були заражені. Ціль зловмисників суто фінансова: прихований код завантажує вторинні скрипти, призначені для крадіжки криптовалюти, облікових даних розробників та інших цінних даних.
Велика проблема: Недостатнє фінансування безпеки
Успіх GlassWorm підкреслює критичну проблему. Безпека ланцюжка постачання програмного забезпечення історично ігнорувалася. Хоча державні суб’єкти використовували ці вразливості протягом багатьох років, тепер кіберзлочинці отримують зиск із цієї можливості. Каппос стверджує, що звинувачувати супроводжуючих – це маневр, що відволікає; справжня проблема у недостатніх інструментах безпеки.
“Найпростіше – спробувати звинуватити супроводжуючих, але це трохи короткозоро. Інструменти та засоби захисту повинні стати кращими, щоб врятувати нас.”
Ця атака наголошує на необхідності покращення методів виявлення та більш надійної інфраструктури безпеки. Довіра, на якій тримається екосистема з відкритим вихідним кодом, піддається випробуванню, і наслідки можуть бути масштабними, доки не буде вжито кращих заходів захисту.
