2023 年,ReversingLabs 在三个主要开源软件平台(npm、PyPI 和 RubyGems)中发现了近 11,200 个独特的恶意软件包。
软件供应链滥用
这些调查结果表明,恶意软件包数量较 2020 年增加了 1,300%,较 2022 年增加了 28%,当时检测到的恶意软件包略高于 8,700 个。
“多年来,我们密切监控软件供应链暴露和攻击的增加。这份新报告反映了恶意软件在开源和商业平台上的扩散。” ReversingLabs 首席执行官Mario Vuksan说道。“仅依赖遗留应用程序安全性的企业将继续成为受害者。事实上,我们预计软件开发流程将持续面临重大风险,风险和升级流程将成为监管机构的重点关注点。”
mlicious npm 包显著下降
PyPI 平台上的威胁每年增加 400%,2023 年前三个季度发现了 7,000 多个恶意 PyPI 软件包实例。其中绝大多数被归类为“信息窃取者”。主要包管理器(npm、PyPI 和 RubyGems)中存在超过 40,000 个泄露或暴露开发秘密的实例。
与 2022 年全年发现的恶意 npm 软件包相比,2023 年前三个季度的恶意 npm 软件包实例减少了 43%。
过去 12 个月里,软件供应链攻击也降低了复杂性并提高了可访问性。ReversingLabs 编制的数据显示,供应链攻击的进入门槛在去年稳步降低,一切都表明这种情况将在 2024 年继续下去。
软件供应链攻击不再只是民族国家行为者的领域,越来越多地由低技能的网络犯罪分子实施,使用开源软件包支持商品网络钓鱼活动就证明了这一点,这些网络钓鱼活动提供统包式自动化攻击,用于促进盗窃受害者数据。威胁行为者已经认识到如何滥用软件供应链中的薄弱环节来支持有针对性和不加区别的活动。
暴露的身份验证凭证仍然是首要挑战
登录凭证、API 令牌和加密密钥等数字身份验证凭证的暴露是恶意行为者的重要目标,也是 2023 年的一项重大挑战。通过定期扫描 npm、PyPI、RubyGems 等平台, ReversingLabs 发现,身份泄露继续困扰着流行的应用程序和托管平台,例如 Slack、AWS、Google、微软的 GitHub 存储库和 Azure 云。
在这四个开源平台上检测到的 40,000 多个身份验证凭证中,Npm 占 77%,即 31,000 个。在 npm 上检测到的身份验证凭证中,56% 用于访问 Google 服务,而 9% 则用于访问亚马逊的 AWS 云服务。
该研究在 PyPI 上发现了类似的模式,占 2023 年观察到的泄露身份验证凭证的 18%。在这些情况下,用于访问 Google 服务的令牌仅占检测到的身份验证凭证的 24% 以上。与 AWS 相关的身份验证凭证约占 PyPI 上发现的身份验证凭证总数的 14%。
软件供应链攻击预计将激增
ReversingLabs 研究表明,2023 年软件供应链风险的变化格局将继续改变 2024 年的网络安全格局。即使恶意供应链参与者的方法和偏好不断变化,针对开源和商业第三方代码的威胁和攻击也将继续增长。
预计网络犯罪分子和黑客都会倾向于最有可能成功的平台和技术。在备受瞩目的攻击之后,软件生产商和最终用户组织应该会看到持续的高标准披露要求以及来自联邦政府的更有针对性的指导,包括在保护软件供应链时使用 SBOM。
“由于缺乏足够的可见性,软件生产商及其客户无法发现开发管道中代码篡改和滥用的迹象或隐藏在编译的软件工件中的威胁。到 2024 年,如果组织不解决威胁,我们预计软件供应链攻击将会升级。”Vuksan 补充道。
“企业必须从对软件完整性的盲目信任转向能够验证软件并确保其不存在重大风险的经过验证的工具和流程。这包括扫描他们构建或购买的任何软件中的原始代码和编译的二进制文件的能力,以查找可能表明恶意软件和篡改实例的行为和无法解释的更改。”
转自安全客,原文链接:https://www.anquanke.com/post/id/292865
封面来源于网络,如有侵权请联系删除