Συναγερμό στην παγκόσμια κοινότητα της κυβερνοασφάλειας έχει σημάνει η ραγδαία αύξηση των κακόβουλων πακέτων, που στοχεύουν τις αλυσίδες εφοδιασμού λογισμικού. Σύμφωνα με στοιχεία της Kaspersky, μέχρι τα τέλη του 2024 εντοπίστηκαν 14.000 κακόβουλα πακέτα σε προγράμματα ανοιχτού κώδικα, σημειώνοντας αύξηση 50% σε σχέση με το τέλος του 2023.
Η ανάλυση αυτή προέκυψε από τον έλεγχο 42 εκατομμυρίων εκδόσεων πακέτων ανοιχτού κώδικα, με στόχο την ανίχνευση τρωτών σημείων.
Το λογισμικό ανοιχτού κώδικα, του οποίου ο πηγαίος κώδικας είναι διαθέσιμος σε όλους για εξέταση και βελτιστοποίηση, αποτελεί βασικό εργαλείο για εκατομμύρια προγραμματιστές.
Δημοφιλή πακέτα όπως GoMod, Maven, NuGet, npm, PyPI και άλλα, διευκολύνουν την ανάπτυξη λογισμικού μέσω της επαναχρησιμοποίησης έτοιμου κώδικα. Ωστόσο, η αυξανόμενη δημοτικότητα αυτών των εργαλείων τα καθιστά ελκυστικό στόχο για επιτιθέμενους.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας, τον Μάρτιο του 2025, η ομάδα Lazarus ανέπτυξε πολλά κακόβουλα πακέτα npm, τα οποία κατέβηκαν αρκετές φορές πριν αφαιρεθούν. Αυτά τα πακέτα περιείχαν λογισμικό για κλοπή διαπιστευτηρίων, δεδομένων πορτοφολιών κρυπτονομισμάτων και εγκατάσταση backdoors, στοχεύοντας συστήματα προγραμματιστών σε Windows, macOS και Linux.
Η επίθεση αξιοποίησε και αποθετήρια στο GitHub, γεγονός που υποδεικνύει εξελιγμένες τακτικές εφοδιαστικής αλυσίδας. Η ομάδα GReAT της Kaspersky εντόπισε και άλλα σχετικά κακόβουλα πακέτα npm, τα οποία θα μπορούσαν να ενσωματωθούν σε εφαρμογές web development, πλατφόρμες κρυπτονομισμάτων και επιχειρησιακό λογισμικό, προκαλώντας εκτεταμένη κλοπή δεδομένων και οικονομικές απώλειες.
Κακόβουλος κώδικας
Το 2024, ανακαλύφθηκε αδυναμία στις εκδόσεις XZ Utils 5.6.0 και 5.6.1, μιας ευρέως χρησιμοποιούμενης βιβλιοθήκης συμπίεσης δεδομένων στο Linux. Κακόβουλος κώδικας, που εισήχθη από έμπιστο συνεργάτη, στόχευε διακομιστές SSH, επιτρέποντας απομακρυσμένη εκτέλεση εντολών. Η απειλή εντοπίστηκε εγκαίρως χάρη σε αποκλίσεις στην απόδοση, αναδεικνύοντας τους κινδύνους επιθέσεων μέσω της εφοδιαστικής αλυσίδας. Το XZ Utils είναι κρίσιμο για λειτουργικά συστήματα, cloud servers και συσκευές IoT, και η παραβίασή του απειλεί κρίσιμες υποδομές και επιχειρησιακά δίκτυα.
Η GReAT της Kaspersky εντόπισε επίσης κακόβουλα πακέτα Python, όπως τα chatgpt-python και chatgpt-wrapper στο PyPI, που μιμούνταν νόμιμα εργαλεία για χρήση των API του ChatGPT. Τα πακέτα αυτά είχαν σκοπό την κλοπή διαπιστευτηρίων και την εγκατάσταση backdoors, εκμεταλλευόμενα τη δημοτικότητα της ανάπτυξης εφαρμογών τεχνητής νοημοσύνης, με κίνδυνο για ευαίσθητες ροές εργασίας και δεδομένα χρηστών.
«Το λογισμικό ανοιχτού κώδικα είναι η ραχοκοκαλιά πολλών σύγχρονων λύσεων, αλλά ο τρόπος λειτουργίας του μετατρέπεται σε όπλο. Η αύξηση 50% στα κακόβουλα πακέτα δείχνει ότι οι επιτιθέμενοι ενσωματώνουν ενεργά εξελιγμένα backdoors και εργαλεία υποκλοπής σε δημοφιλή πακέτα που χρησιμοποιούνται από εκατομμύρια. Χωρίς αυστηρή αξιολόγηση και παρακολούθηση, ένα μόνο παραβιασμένο πακέτο μπορεί να προκαλέσει παγκόσμια παραβίαση» σχολιάζει η Kaspersky.
Για την ασφάλεια των οργανισμών, η Kaspersky προτείνει:
- Παρακολούθηση των χρησιμοποιούμενων στοιχείων ανοιχτού κώδικα για εντοπισμό απειλών.
- Επαλήθευση της αξιοπιστίας των διαχειριστών των πακέτων.
- Ενημέρωση για νέες απειλές μέσω δελτίων ασφαλείας και ειδοποιήσεων.
