Северна Корея превръща отворения код в оръжие за кибератаки
Възможно е да получаваме комисионни от партньорски връзки или да публикуваме спонсорирано съдържание, което е ясно обозначено като такова. Тези партньорства не влияят на нашата редакционна независимост или на обективността на нашите ревюта. Като продължите да използвате сайта, вие се съгласявате с нашите общи условия и политика за поверителност.
Нов доклад на американската компания за киберсигурност Socket разкрива, че севернокорейски хакери са проникнали в една от най-важните екосистеми на интернет с отворен код, превръщайки я в средство за масова кражба на данни.
Атакуващите са качили над 300 зловредни пакета в Npm – най-голямата библиотека за JavaScript софтуер в света, използвана от милиони разработчици.
Тези компрометирани пакети на пръв поглед изглеждали напълно легитимни, но тайно инсталирали зловреден код, способен да краде потребителски имена, данни от браузъри и ключове за крипто портфейли веднага след изтегляне. Socket проследява кампанията, наречена “Contagious Interview”, до държавно спонсорирани групи от Северна Корея, които от години се представят за технически рекрутъри, насочени към разработчици в блокчейн и Web3 секторите.
Последиците за интернет сигурността са сериозни. Тъй като Npm стои в основата на голяма част от съвременната дигитална инфраструктура, подобен пробив може да се разпространи чрез стандартни софтуерни обновления и да засегне хиляди приложения. Експертите отдавна предупреждават, че подобни атаки по веригата на доставки са едни от най-трудните за откриване, защото злоупотребяват с доверието, което разработчиците имат към популярните зависимости.
Прочетете още:
Meta разширява присъствието си в Тексас с инвестиция от $1.5 милиарда в нов AI център
Изследователите на Socket откриват зловредна активност чрез фалшиви имена на пакети, имитиращи популярни библиотеки като express, dotenv и hardhat, както и код, свързан с известни севернокорейски кампании със зловреден софтуер като „BeaverTail“ и „InvisibleFerret“. Зловредният код работел изцяло в оперативната памет, което силно затруднявало проследяването му. Към момента на откриването му заразените пакети вече били изтеглени около 50 000 пъти.
Хакерите също използвали фалшиви профили на рекрутъри в LinkedIn – добре познат похват в севернокорейската кибертактика – за да разпространяват зловредния код и да получават достъп до системи, съдържащи крипто портфейли или корпоративни идентификационни данни.
Въпреки че GitHub (собственик на npm) е премахнал повечето идентифицирани заплахи и е засилил верификацията на акаунти, експерти по киберсигурност предупреждават, че нови зловредни пакети продължават да се появяват. Отвореният характер на npm, макар и източник на иновации, създава и възможности за злоупотреба.
За разработчиците този инцидент е ясно напомняне, че всяко изтегляне на зависимост носи риск. Специалистите препоръчват проверка на пакетите преди инсталиране, използване на автоматизирани инструменти за наблюдение и предпазливо отношение към всеки външен код. В свят, изграден върху отвореност, вниманието е първата линия на защита.
Коментари 
Попълнете необходимите полета и публикувайте