ZDNET’i takip edin: Bizi tercih edilen bir kaynak olarak ekleyin Google’da.
ZDNet’in temel paketleri
- Shai-hulud, şimdiye kadarki en kötü NPM JavaScript saldırısıdır.
- Bu yazılım tedarik zinciri solucan saldırısı hala devam ediyor.
- İşte bu tür saldırıları önlemenin bazı yolları.
Olmayanlar için Kum tepesi Hayranlar, Shai-hulud, çöl gezegeni Arrakis’in dev kum kurdu. Onların yoluna girmek istemiyorsun. Şimdi, aynı zamanda bir En az 180 npm paketten ödün veren kendi kendini kopyalayan solucanve belki de 500 kadar.
Bu, JavaScript ve JavaScript Çalışma Zamanı Ortamı’ndaki programlar için önemli bir güvenlik krizidir Node.js. JavaScript, bu arada, en popüler programlama dillerinden biridir. Bu tedarik zinciri saldırısı hemen hemen tüm JavaScript geliştiricilerine ulaşır.
Ayrıca: Bu 2FA kimlik avı dolandırıcılığı bir geliştirici – ve nesli tükenmekte olan milyarlarca npm indirme
Çünkü Düğüm Paket Yöneticisi (NPM) JavaScript’in varsayılan paket yöneticisi ve yazılım kayıt defteridir. Geliştiricilerin, JavaScript veya Node.js projelerinin bağlı olduğu paketleri – modül adı verilen yeniden kullanılabilir kod parçaları – yüklemelerini, yönetmesini ve paylaşmasını sağlar. NPM, en büyük açık kaynaklı paket kütüphanesidir. Esasen, JavaScript kullanan herkes bunu kullanır.
NPM’nin de korkunç bir güvenlik sicili var. Her ay, her yıl, bilgisayar korsanları NPM modüllerine başarılı bir şekilde kötü amaçlı kod ekledi. Bu da, bozuk kodun son kullanıcılar tarafından kullanılan JavaScript tabanlı programlara otomatik olarak tanıtıldığı anlamına gelir.
Bunun en son örneği, bir kimlik avı saldırısının haftada iki milyar kez indirilen 18 paketi tehlikeye attığı bir hafta önce idi. Bu haftanın Saldırı çok daha kötü. Ne kadar kötü? Tam olarak bilmiyoruz. Güvenlik uzmanları hala çalışıyor ve solucan yavaşlarken henüz durmadı.
Bir Yazılım Tedarik Zinciri Saldırısı Nasıl Çalışır?
Bir yazılım tedarik zinciri saldırısı, bir saldırgan, son kullanıcılara ulaşmadan önce bileşenlerine kötü amaçlı kod ekleyerek geliştirme sırasında yazılımı tehlikeye attığında gerçekleşir. Programcılara veya kullanıcılara doğrudan saldırmak yerine, saldırganlar güvenilir üçüncü taraf satıcılar, kütüphaneler veya geliştiricilerin güvendiği geliştirme araçlarındaki güvenlik açıklarını kullanırlar. Meydan okumalı yazılım veya güncellemeler genellikle otomatik olarak müşterilere teslim edildiğinde, kötü amaçlı yük yükü birçok kurbanı aynı anda etkileyebilir.
Ayrıca: Şifre Yöneticiniz Saldırı Altında: Kendinizi Yeni Bir Tehdidi Nasıl Savunursunuz?
Bu saldırılar tehlikeli çünkü:
- Güvenilir ilişkilerden yararlanırlar ve saldırganların doğrudan güvenlik kontrollerini atlamalarını sağlarlar.
- Başarılı bir uzlaşma, yazılımları lekeli bağımlılıklar veya kod içerdiğinden binlerce veya milyonlarca kullanıcıyı etkileyebilir.
- Fashionable organizasyonlar genellikle yüzlerce üçüncü taraf kütüphanesi veya hizmet kullanır, yani zincirdeki tek bir ihlalin üstel etkileri olabilir.
Son kullanıcı olarak, her gün kullandığınız bir programı veya hizmeti güncellediğinizde yüzünüze patlayana kadar bunu görmezsiniz ve aniden yanlış gider. Veya, daha muhtemel olduğu gibi, sunucunuzda Bitcoin madenciliğine başlar, şirketinizin müşteri verilerini çalmaya başlar veya fidye yazılımı yükler.
Shai-hulud saldırıları
Örneğin, bu durumda paket tinycolor tespit edilecek ilk uzlaşmış programlardan biriydi. Tek yaptığı bir programın renklerini değiştirmek. İşte bu. On binlerce programa kullanılmak üzere haftada ortalama 2,2 milyon kez indirilir.
Tinycolor’un enfekte olmuş versiyonu ve diğer tüm paketler otomatik olarak çekildi – kaç program hakkında hiçbir fikrimiz yok -. Bir kez orada, solucan ile kötü niyetli bir paket kullandılar. Kurulurken, Komut dosyası çevreyi sırlar için taradı AWS ve Google Cloud için olanlar gibi NPM jetonları, GitHub Kimlik Bilgileri ve Bulut Hizmeti Uygulama Programlama Arayüzü (API) anahtarları gibi.
Ayrıca: 2025’te işletmeler için en iyi şifre yöneticileri: Uzman Check Edildi
Daha sonra bu sırları saldırgan kontrollü uç noktalara aktarmak için kullandı. Daha sonra, hepsi “Shai-hulud” etiketli çalınan verileri içeren kamu Github depoları oluşturdular.
Bu sırları, özellikle çalıntı NPM jetonlarını kullanarak, solucan daha sonra her tehlikeye atılan geliştirici olarak kimliği doğruladı, korudukları diğer NPM paketleri için tarandı, kodunu enjekte etti ve yeni, kötü niyetli sürümler yayınladı. Bu şekilde, solucan yayılmaya ve yayılmaya devam etti ve … iyi, fikri anlıyorsunuz.
Bu, milyarlarca haftalık indirme ile son derece popüler kütüphaneleri etkileyen ve güvenlik şirketi gibi şirketlere ait projeleri vurarak üstel yayılmaya yol açtı. Crowdstrike.
Şirket oyununun adının şirketleri bu tür ihlallerden korumak olduğunu unutmayın. Ayrıca, bir Crowdstrike güncellemesinin on milyonlarca Home windows PC’yi rezil bir şekilde çarpmasından sadece bir yıl sonra geliyor ve şimdiye kadarki en büyük mavi ölüm ekranlarına yol açıyor.
Bununla birlikte, bir Crowdstrike sözcüsüne göre, “Kamu NPM kayıt defterinde birkaç kötü amaçlı NPM paketini tespit ettikten sonra, üçüncü taraf bir açık kaynak deposunda, kamu kayıtlarındaki anahtarlarımızı hızla kaldırdık ve proaktif bir şekilde döndürdü. Bu paketler, şahin sensöründe kullanılmayan ve platformun hızlı bir şekilde etkilenmediğini belirten herhangi bir eylemde bulunmadık.”
Ayrıca: 7 Şifre Kuralları Güvenlik Uzmanları 2025’te Yaşıyor – Sonuncusu sizi şaşırtabilir
Yaralanmaya hakaret ekleyerek, kötü amaçlı yazılım genellikle açık kaynakları kurdu Trüf aracı Daha fazla sır ve özel avlamak Gitithub Depolar. Bu özel depoları bulduktan sonra, kamu klonlarını yarattı. Sonra bir güvenlik şirketi olarak, Tersine dönme koy “Yeni oluşturulan her paket, bir sonrası işlemle değiştirilir Bu, şüphesiz bir kullanıcı tehlikeye atılan paketi indirdiğinde kötü amaçlı Bundle.js’yi yürütür. Solucan yeni geliştiricileri enfekte etmek için yeni geliştiriciler bulduğundan ve daha sonra daha da yayılmak için kullandığından bu süreklilik içinde tekrarlanır. “Ve üzerinde gitti.
Salgının toplam kapsamı hala bilinmiyor. Solucanın eylemleri en az 700 GitHub deposunda sırlar ortaya koydu.
Ayrıca: Android telefonunuzun en güçlü güvenlik özelliği gizli ve kapalıdır – şimdi açın
Gerçekten ne kadar kötü? Geliştirici Güvenlik Şirketi Şemsiye CEO Dan Lorenc LinkedIn üzerine yazdı “Bu NPM saldırıları dalgası farklı hissettiriyor… Bu sıralanana kadar geliştirme/yutma dondurucu birkaç şirketten duyuyorum. “Bu her zamanki gibi iş değil.
NPM koruyucular ve etkilenen şirketler kötü niyetli paketleri kaldırmak, kimlik bilgilerini döndürmek ve geliştirici topluluğunu uyarmak için uğraşıyorlar. Güvenlik satıcıları gibi Palo Alto Networks– Trend Microve Crowdstrike, son günlerde NPM paketleri yüklemiş olabilecek herhangi bir sistem için güçlü kimlik bilgisi güvenliği, acil jeton rotasyonları ve kötü amaçlı yazılım taramaları önererek acil durum rehberliği yayınladı.
Yazılım tedarik zinciri saldırıları nasıl önlenir
Yazılım tedarik zinciri saldırıları yaygınlaşmıştır. Yeni değiller. Bu saldırıların ne kadar tehlikeli olduğunu tanımakta yavaştık. Rusça bağlantılı saldırganların Solarwinds’i ihlal ettiğini ve şirketin ağ izleme yazılımına enjekte edilen kötü amaçlı kod aracılığıyla binlerce SolarWinds müşterisine nüfuz ettiğini keşfettiğimiz 2020’de dersimizi öğrenmeliydik.
Yapmadık. Yani, tedarik zinciri saldırılarını tamamen önlemezse nasıl yavaşlatabilirsiniz.
Ayrıca: VPN kullanımının dünya çapında patlaması için ayarlanmasının 3 nedeni – ve bu sizin için geçerli olabilir
Yeni başlayanlar için, işte soğuk, sert gerçek. Bir geliştiriciyseniz, artık bağımlılıklarınıza körü körüne güvenemezsiniz. Dönem. İfadenin sonu. Evet biliyorum Linus’un Yasası“Yeterli göz küresi göz önüne alındığında, tüm böcekler sığdır” ve sizsiniz. Ama sadece yeterli göz küresi varsa işe yarar. Açık kaynak güvenli yazılım anlamına geldiği saf fikrini bırakabilirsiniz. En iyi durumda, bu doğrudur, ancak NPM veya başka bir kamu yazılım deposundaki programlara körü körüne güvenmek sadece sorun istiyor.
Bu nedenle, açık kaynaklı bağımlılıkların artık threat profilinizin temel bir parçası olduğunu kabul edin. Yazılım tüketimini ciddiye almaya başlayın: Politikayı ayarlayın, kullandığınız her şeyi canlı bir yazılım malzeme faturası (SBOM) ile izleyin ve bu bileşenleri kısa bir tasma üzerinde tutun.
Ayrıca: 2025’te AI ile çalışan siber tehditlerde gezinme: 4 işletmeler için uzman güvenlik ipuçları
Ayrıca bileşenlerinizi en yeni sürüme otomatik olarak güncellemeyi durdurmalısınız. Bunun yerine, yalnızca güncel, desteklenen sürümleri güncelleyin. Gibi Openssf koy Açık Kaynak Tüketim Manifestosuaçık kaynaklı kod kullanmanın gerçek risklerini körü körüne anlamalısınız.
Pratik ve spesifik olalım.
1. Gelişim ve oluşturma ortamları
2. Tüm bağımlılıkları haritalayın ve yönetin
- Her proje için bir SBOM sürdürün; Tüm bağımlılıkları izleyin. Evet, hepsi – evet, doğrudan ve geçişli.
- Sadece bakımlı, güvenilir açık kaynaklı paketler kullanın. Yeni bileşenler eklemeden önce provenans ve satıcı itibarını kontrol edin.
- Güvenlik açıkları için periyodik taramayı otomatikleştirin Yazılım Kompozisyon Analizi (SCA) aletler. Bayraklı bağımlılıkları derhal kaldırın veya yama.
3. CI/CD boru hattını sabitleyin
- Statik, dinamik ve etkileşimli güvenlik taramalarını CI/CD boru hatlarına entegre edin, böylece her taahhüt ve çekme isteği otomatik olarak güvenlik açıkları için take a look at edilir.
- Kullanmak Rol Tabanlı Erişim Kontrolü (RBAC) Yapı ve dağıtım kaynakları için. İzinleri en az ayrıcalığa göre düzenli olarak denetleyin.
- Güncellemelerin güvenilir kaynaklardan gelmesini ve tekrarlanabilirlik oluşturulmasını sağlayarak tüm yazılım eserlerini imzalayın, doğrulayın ve periyodik olarak gözden geçirin.
4. Monitör, eğitin ve yanıt verin
- Yapı boru hatları, depolar ve uygulama davranışlarındaki anomalileri gerçek zamanlı tehdit besleme ve izleyin.
- Geliştiriciler için güvenli kodlama, sosyal mühendislik ve tedarik zinciri saldırısı farkındalığı konusunda sürekli eğitim verin.
- Tehditler ortaya çıktığında hızla tepki vermeye hazır olduğunuzu sağlayarak, ihlalleri simüle ederek ve olay tatbikatlarını çalıştırarak yanıt planınızı take a look at edin. (Not: “Ne zaman” değil “dedim.)
- Her şeyi denetleyin. Ortak bir güvenlik açıkları ve maruziyetleri (CVE) tespit ederseniz, yanıt vermek için beklemeyin. Gerekirse etkilenen kodu take a look at edin, yama ve karantinaya alın.
5. Yukarı ve aşağı yönde işbirliği yapın
- Hızlı düzeltmeler için yukarı akış bakımcıları ve satıcı desteği ile etkileşime geçin. Halkın istismarlarının ortaya çıkmasını beklemeyin. Açık kaynak yalnızca hepimiz üzerinde çalıştığımızda iyi çalışır. Her şeyin iyi yukarı akış olduğunu varsayamazsınız.
- Tedarik zinciri güvenliği en iyi uygulamalarına uymak için tedarikçileri, ortakları ve kritik üçüncü taraf araçlarını değerlendirin. SBOM’lar ve düzenli güvenlik incelemeleri gerektirir.
Bu adımları izleyerek ve güvenliği yazılım geliştirmenizin her aşamasına yerleştirerek, yazılım tedarik zinciri saldırılarına maruz kalmanızı önemli ölçüde düşüreceksiniz. Çok hızlı ve sık sık geldikleri şekilde, yine de onlarla yüzleşebilirsiniz, ancak en azından maruz kalmanızı azaltmış olacaksınız. İyi şanlar. Hepimiz buna ihtiyacımız olacak.
