Checkmarx, постачальник інструментів тестування безпеки програм, повідомив, що зловмисники скомпрометували безкоштовний автоматизований інструмент керування залежностями для проєктів програмного забезпечення, відомий як Dependabot, який надає GitHub.
Як повідомляє DevOps.com, атака включає токени, які GitHub надає для доступу до Dependabot.
Коли кіберзлочинці отримують доступ до сховища, вони додають до облікового запису додаткові електронні адреси, які після авторизації використовуються для введення шкідливого коду у сховище, яке передає визначені секрети на зовнішній сервер.
Потім кіберзлочинці можуть змінювати будь-які наявні файли JavaScript за допомогою викрадача паролів, щоб викрасти облікові дані будь-якого кінцевого користувача, який надсилає свій пароль у вебформі.
Гай Нахшон, дослідник безпеки Checkmarx, сказав, що Checkmarx вдалося виявити загрозу лише тому, що один із кібератакувальників припустився помилки. Командам DevOps рекомендовано підтвердити особу кожного користувача, який має доступ як до загальнодоступних, так і до приватних сховищ GitHub, щоб переконатися, що ланцюжок постачання програмного забезпечення не було скомпрометовано, додав він.
Загалом атаки на ланцюжки постачання програмного забезпечення стають все більш витонченими, зазначив Нахшон.
Окрім здійснення фішингових атак з метою викрадення облікових даних окремих членів команди розробників застосунків, кіберзлочинці використовують таку тактику та методи, що дозволяють їм викрасти облікові дані всієї команди, яка працює над сховищем.
Ці атаки стали питанням національної безпеки. Уряди в усьому світі розробляють законодавство, яке посилить відповідальність організацій за безпеку програм, які вони створюють і розгортають.
Можливо, мине деякий час, перш ніж ці пропозиції стануть законом, але очевидно, що тиск на організації з метою захисту своїх ланцюжків постачання програмного забезпечення зростає. Як наслідок, все більше організацій використовують найкращі практики DevSecOps для кращого захисту своїх ланцюжків постачання програмного забезпечення.
Проблема полягає у тому, що багато компонентів, які використовуються в цих ланцюжках постачання, є проєктами з відкритим кодом, які організації не мають змоги виправити, якщо буде виявлено вразливе місце.
Ще більше занепокоєння викликає те, що навіть за наявності виправлення багато організацій не бажають оновлюватися через страх зламу програми.
Вони роблять ставку на те, що кіберзлочинці не виявлять потенційний експлойт, який існує у портфоліо їхніх застосунків, або що завдана шкода буде меншою, ніж у тому випадку, якщо програма зламається після оновлення критичного компонента.
Командам DevSecOps потрібно не лише усунути вразливості у застосунках під час їх створення, але й величезну суму технічної заборгованості, пов’язаної з відомими вразливими місцями, які накопичувалися протягом багатьох років.
Раніше ProIT повідомляв, що командам DevOps варто знати про фішинг і ланцюжок постачання.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!