Next-gen: Atacantes estão inundando projetos open-source com publicações maliciosas

À medida que os desenvolvedores de software comercial e empresarial se tornam mais disciplinados em manter seus componentes de software de código aberto atualizados para reduzir o risco de ataques à cadeia de suprimentos de software.

Antigamente, os invasores simplesmente atacavam as vulnerabilidades existentes em componentes de código aberto bem usados, com o entendimento de que poderiam vitimar as muitas organizações que dependem de dependências desatualizadas. Os invasores agora estão se tornando proativos com mais frequência, infiltrando-se em projetos de código aberto para semeá-los com componentes comprometidos que eles podem atacar depois de baixados e usados ​​por organizações desavisadas.

De acordo com o último relatório ” 2020 Estado da Cadeia de Fornecimento de Software ” recém-lançado pela Sonatype, esses chamados ataques à cadeia de fornecimento de “próxima geração” estão aumentando significativamente, 430% no ano passado.

“Os adversários estão mudando suas atividades ‘upstream’, onde podem infectar um único componente de código aberto que tem o potencial de ser distribuído ‘downstream’, onde pode ser estrategicamente e secretamente explorado”, explica Wayne Jackson, CEO da Sonatype.

Como o relatório explica, os invasores estão aproveitando a própria natureza do desenvolvimento de software de código aberto contra si mesmo com esses ataques à cadeia de suprimentos de próxima geração. Projetos de código aberto contam com contribuições de voluntários, e esses próprios projetos frequentemente incorporam centenas ou mesmo milhares de dependências de outros projetos. O ethos dos projetos de código aberto é aquele que depende da confiança compartilhada, tudo isso “o que cria um ambiente fértil no qual maus atores podem atacar pessoas boas com surpreendente facilidade”, explica o relatório. 

Na verdade, os invasores agora estão começando a procurar maneiras de aumentar seus esforços para plantar componentes ruins por meio de malware automatizado que vai diretamente após os pipelines de desenvolvimento. O exemplo sofisticado mais recente de um ataque à cadeia de suprimentos de software de próxima geração foi descoberto escondido no GitHub em maio. Os pesquisadores encontraram um malware chamado Octopus Scanner, que tinha como alvo os usuários do GitHub envolvidos no desenvolvimento de projetos NetBeans. O software foi projetado para servir código de backdoor em componentes do NetBeans em repositórios GitHub sem que os proprietários legítimos do repositório percebam. Isso significa que sempre que os desenvolvedores desses componentes lançam código ao público, ele já pertence ao invasor.

“Em um contexto de OSS, isso dá ao malware um meio eficaz de transmissão, já que os projetos afetados provavelmente serão clonados, bifurcados e usados ​​em muitos sistemas diferentes”, explicou o pesquisador de segurança do GitHub, Alvaro Muñoz, em um  blog  sobre Octopus Scanner. “Os artefatos reais dessas construções podem se espalhar ainda mais de uma forma que está desconectada do processo de construção original e mais difícil de rastrear após o fato.”

Como mostra o relatório Sonatype, embora o Octopus Scanner possa ser um dos ataques mais sofisticados da próxima geração à cadeia de suprimentos, está longe de ser um incidente isolado. Ele seguiu de perto um ataque encontrado nesta primavera por pesquisadores do ReversingLabs, que usaram uma  abordagem de typosquatting  para realizar seus atos maliciosos. Eles semearam o repositório de pacotes para Ruby Gems com 760 pacotes maliciosos que usavam pequenas variações de nomes de pacotes legítimos.

Enquanto isso, na Black Hat USA no início deste mês, os  pesquisadores mostraram  como uma abordagem de próxima geração poderia ser usada para atacar os aplicativos Node.js, manipulando as propriedades ocultas usadas para rastrear estados internos do programa.

O aumento desses ataques à cadeia de suprimentos de software de próxima geração segue uma história bem conhecida no mundo da segurança. Qualquer pessoa que já esteja no negócio há tempo suficiente reconhece que nenhuma boa ação fica impune; quando muitas equipes de segurança começam a fazer um bom trabalho evitando um tipo de ataque, os bandidos mudam para outro. Como a Sonatype aponta, essa tendência mais recente é parcialmente uma reação ao fato de que muitas empresas fizeram um ótimo trabalho na redução da exposição ao risco do componente de código aberto. As organizações que utilizam práticas DevSecOps são capazes de atualizar dependências 530 vezes mais rápido do que a organização média. De acordo com a pesquisa do relatório, 49% das organizações agora são capazes de remediar vulnerabilidades de código aberto em uma semana após a detecção. 

É uma situação que está melhorando, mas os especialistas alertam que, mesmo com o aumento do número de ataques de última geração, as organizações ainda precisam continuar melhorando sua postura contra ataques legados. A pesquisa do relatório mostra que novas vulnerabilidades de código aberto são exploradas em liberdade dentro de três dias de exposição pública, e cerca de 86% das organizações ainda estão abertas a essas explorações dentro dessa janela. 

Fonte: https://www.darkreading.com/application-security/next-gen-supply-chain-attacks-surge-430-/d/d-id/1338717
Imagem: https://blogs.correiobraziliense.com.br/tecnoveste/o-que-e-open-source/