Kaspersky: Creştere alarmantă a pachetelor maliţioase în open-source

Kaspersky raporteaza ca, pana la sfarsitul anului 2024, au fost identificate 14.000 de pachete malitioase in proiecte open-source - o crestere de 50% fata de finalul anului 2023, conform unui comunicat emis redacţiei. Pe parcursul anului 2024, Kaspersky a analizat 42 de milioane de versiuni ale pachetelor open-source pentru adepista vulnerabilitati.

Open-source se refera la software cu cod sursa accesibil public, pe care oricine il poate inspecta, modifica si imbunatati. Printre cele mai populare pachete open-source se numara GoMod, Maven, NuGet, npm, PyPI si altele. Acestea sunt instrumente esentiale in dezvoltarea software, permitand programatorilor sa gaseasca, instaleze si gestioneze cu usurinta biblioteci de cod deja create, accelerand procesul de dezvoltare. Tocmai aceasta popularitate este exploatata de atacatori.

Conform sursei, în martie 2025, s-a raportat ca gruparea Lazarus a lansat mai multe pachete npm malitioase, care au fost descarcate de numeroase ori inainte de a fi eliminate. Aceste pachete contineau malware pentru furt de acreditari, date din portofele crypto si pentru instalarea de backdoor-uri, vizand sistemele dezvoltatorilor pe Windows, macOS si Linux. Atacul a folosit repozitoare GitHub pentru a parea legitim, evidentiind tactici sofisticate de atac asupra lantului de aprovizionare. Echipa GReAT a Kaspersky a descoperit si alte pachete npm asociate acestui atac. Pachetele ar fi putut fi integrate in aplicatii web, platforme crypto sau software enterprise, expunandu-le la pierderi financiare si furt de date la scara larga.

In 2024, a fost identificat un backdoor sofisticat in versiunile 5.6.0 si 5.6.1 ale XZ Utils, o biblioteca de compresie folosita pe scara larga in distributiile Linux. Codul malware a fost introdus de un colaborator aparent de incredere si viza serverele SSH, permitand executarea de operatiuni comandate de la distanta, amenintand milioane de sisteme la nivel global. A fost detectat inainte de a fi exploatat pe scara larga, datorita unor anomalii de performanta, incidentul evidentiind riscurile majore generate de atacurile asupra furnizorilor de software. XZ Utils este o componenta esentiala pentru sisteme de operare, servere cloud si dispozitive IoT, iar compromiterea sa ar putea afecta infrastructuri critice si retele enterprise.

De asemenea, GReAT de la Kaspersky a descoperit in 2024 ca atacatorii au publicat pachete malitioase Python, precum chatgpt-python si chatgpt-wrapper, in cadrul PyPI, imitand unelte legitime pentru interactiunea cu API-urile ChatGPT. Aceste pachete erau proiectate sa fure date de autentificare si sa instaleze backdoor-uri, pentru a pacali programatorii, profitand de popularitatea AI. Ele ar fi putut fi folosite in proiecte de inteligenta artificiala, integrarea chatbot-urilor sau pe platformele de analize de date, compromitand fluxuri de lucru sensibile si expunand date ale utilizatorilor.

Pentru a ramane in siguranta, Kaspersky recomanda:

-Utilizati o solutie de monitorizare a componentelor open-source folosite, pentru a detecta eventualele amenintari ascunse in interiorul acestora.

-Daca suspectati ca un actor de amenintare a avut acces la infrastructura companiei, se

recomanda utilizarea serviciului Kaspersky Compromise Assessment, care ajuta la identificarea atacurilor trecute sau in desfasurare.

-Verificati integritatea dezvoltatorilor de pachete: analizati credibilitatea persoanei sau organizatiei din spatele pachetului. Cautati un istoric coerent al versiunilor, documentatie completa si un sistem activ de raportare a problemelor.

-Ramaneti informat cu privire la noile amenintari: abonati-va la buletine de securitate si alerte specifice ecosistemului open-source. Cu cat aflati mai devreme despre o amenintare, cu atat puteti reactiona mai rapid.