Los ataques a la cadena de suministro de &#39próxima generación&#39 aumentan un 430%



Los atacantes están sembrando cada vez más proyectos de código abierto con componentes comprometidos.

A medida que los desarrolladores de computer software comercial y empresarial se vuelven más disciplinados a la hora de mantener actualizados sus componentes de software program de código abierto para reducir el riesgo de ataques a la cadena de suministro de computer software, los malos se están volviendo más astutos: los investigadores advierten que están superando los proyectos de código abierto para convertirlos en Canales de distribución de malware.

Solía ​​ser que los atacantes simplemente se aprovechaban de las vulnerabilidades existentes dentro de los componentes de código abierto bien utilizados, con el entendimiento de que podrían victimizar a las muchas organizaciones que dependen de dependencias obsoletas. Los atacantes ahora se están volviendo proactivos con mayor frecuencia al infiltrarse en proyectos de código abierto para sembrarlos con componentes comprometidos que pueden atacar una vez que son descargados y utilizados por organizaciones desprevenidas.

Según las últimas «2020 Estado de la cadena de suministro de software packageSegún el informe que acaba de publicar Sonatype, estos ataques de la cadena de suministro de la «próxima generación» están aumentando notablemente, un 430% más en el último año.

«Los adversarios están cambiando sus actividades &#39aguas arriba&#39, donde pueden infectar un solo componente de código abierto que tiene el potencial de ser distribuido &#39aguas abajo&#39, donde puede ser explotado de manera estratégica y encubierta», explica Wayne Jackson, director ejecutivo de Sonatype.

Como explica el informe, los atacantes están aprovechando la naturaleza misma del desarrollo de program de código abierto contra sí mismos con estos ataques de cadena de suministro de próxima generación. Los proyectos de código abierto se basan en las contribuciones de los voluntarios, y estos proyectos con frecuencia incorporan cientos o incluso miles de dependencias de otros proyectos. El espíritu de los proyectos de código abierto es uno que se basa en la confianza compartida, todo lo cual «crea un entorno fértil en el que los malos actores pueden aprovecharse de las buenas personas con una facilidad sorprendente», explica el informe.

De hecho, los atacantes ahora están comenzando a buscar formas de escalar sus esfuerzos para plantar componentes defectuosos a través de malware automatizado que va directamente tras las tuberías de desarrollo. El ejemplo sofisticado más reciente de un ataque a la cadena de suministro de software package de próxima generación se descubrió acechando en GitHub en mayo. Los investigadores encontraron una pieza de malware llamada Octopus Scanner que se dirigía a los usuarios de GitHub involucrados en el desarrollo de proyectos NetBeans. El software fue diseñado para servir código respaldado en componentes NetBeans en repositorios de GitHub sin que los propietarios legítimos del repositorio se dieran cuenta. Esto significa que cada vez que los desarrolladores de estos componentes lanzan un código al público, ya es propiedad del atacante.

«En un contexto de OSS, le da al malware un medio de transmisión efectivo ya que presumiblemente los proyectos afectados serán clonados, bifurcados y usados ​​en potencialmente muchos sistemas diferentes», explicó el investigador de seguridad de GitHub, Álvaro Muñoz, en un site sobre Octopus Scanner. «Los artefactos reales de estas construcciones pueden extenderse aún más de una manera desconectada del proceso de construcción first y más difícil de rastrear después del hecho».

Como muestra el informe de Sonatype, aunque Octopus Scanner puede ser uno de los ataques de cadena de suministro de próxima generación más sofisticados, está lejos de ser un incidente aislado. Siguió de cerca un ataque encontrado esta primavera por investigadores de ReversingLabs que utilizaron un enfoque de typosquatting para llevar a cabo sus actos maliciosos. Sembraron el repositorio de paquetes para Ruby Gems con 760 paquetes maliciosos que usaban ligeras variaciones de nombre de paquetes legítimos.

Mientras tanto, en Black Hat Usa a principios de este mes, los investigadores mostraron cómo un enfoque de próxima generación podría usarse para atacar las aplicaciones Node.js manipulando las propiedades ocultas utilizadas para rastrear los estados internos del programa.

El aumento de estos ataques a la cadena de suministro de program de próxima generación sigue una historia muy gastada en el mundo de la seguridad. Cualquiera que haya estado en el negocio el tiempo suficiente reconoce que ninguna buena acción queda impune cuando muchos equipos de seguridad comienzan a hacer un buen trabajo a raíz de un tipo de ataque, los malos pasan a otro. Como señala Sonatype, esta última tendencia es en parte una reacción al hecho de que muchas empresas han hecho un gran trabajo al reducir la exposición al riesgo de sus componentes de código abierto. Las organizaciones que utilizan prácticas de DevSecOps pueden actualizar las dependencias 530 veces más rápido que la organización promedio. Según la investigación del informe, el 49% de las organizaciones ahora pueden remediar las vulnerabilidades de código abierto dentro de una semana de detección.

Es una situación que está mejorando, pero los expertos advierten que incluso cuando aumenta la cantidad de ataques de próxima generación, las organizaciones aún deben seguir mejorando su postura contra los ataques heredados. La investigación del informe muestra que las nuevas vulnerabilidades de código abierto se explotan en la naturaleza dentro de los tres días posteriores a la exposición pública, y alrededor del 86% de las organizaciones todavía están abiertas a estas vulnerabilidades dentro de esa ventana.

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Dark Looking through. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique