Новая кибератака затронула популярное ПО: что это значит для вашего ММБ?

Обнаружена крупная уязвимость в популярном ПО

Недавно была раскрыта новая, тревожная кибератака. Уязвимости были обнаружены в нескольких пакетах программного обеспечения, широко используемых разработчиками по всему миру. Эта атака нацелена на так называемую «цепочку поставок программного обеспечения».

Это означает, что злоумышленники получают доступ к коду, который уже был написан другими, а затем используется в новом программном обеспечении.

Атака использует метод под названием «Mini Shai-Hulud». При этом заражаются популярные пакеты программного обеспечения, доступные через сеть npm. npm — это большая онлайн-библиотека многоразовых фрагментов кода, которые разработчики по всему миру используют для более быстрой и эффективной работы.

Заражая эти пакеты, атакующие могут распространять свое вредоносное программное обеспечение среди всех, кто использует соответствующие пакеты.

В частности, были затронуты несколько пакетов, связанных с экосистемой @antv. Это набор инструментов и библиотек для визуализации данных. Примером затронутого пакета является 'echarts-for-react'.

Этот пакет используется для создания интерактивных графиков в веб-приложениях, построенных с использованием React, широко используемого фреймворка. Этот пакет еженедельно используется более чем миллионом разработчиков, что указывает на потенциальную распространенность проблемы.

Атакующим удалось добиться этого, скомпрометировав учетную запись администратора («maintainer») этих пакетов программного обеспечения. Администратор имеет право добавлять и удалять код в пакеты. Когда такая учетная запись взломана, атакующие могут добавлять вредоносный код, не будучи немедленно замеченными другими.

Код выглядит легитимным и без подозрений интегрируется в другие программные проекты.

Как именно работает эта атака?

Эта конкретная техника атаки, «Mini Shai-Hulud», является продолжением ранее обнаруженных векторов атак. Она нацелена на проникновение в «цепочку поставок программного обеспечения». Представьте, что программное обеспечение, которое вы используете, построено из небольших готовых строительных блоков.

Эта атака пытается заразить производство этих строительных блоков. Как только строительный блок заражен, любое приложение, использующее этот блок, также будет косвенно заражено.

Атакующие конкретно заразили учетную запись «atool» в npm. Эта учетная запись управляет несколькими пакетами. Одним из самых известных является «echarts-for-react».

По сути, это «обертка» — фрагмент программного обеспечения, который упрощает использование другой мощной графической библиотеки под названием Apache ECharts в приложении React. Успех и широкое распространение «echarts-for-react» делают его идеальной целью для атакующих, желающих охватить большое количество систем.

Компрометация учетной записи «atool» означает, что атакующие получили контроль над новыми версиями этих пакетов. Таким образом, они могли внедрять вредоносный код в обновления, которые затем загружались другими разработчиками. Этот код мог выполнять различные действия, такие как кража данных, установка другого вредоносного программного обеспечения или открытие бэкдора для будущих атак.

Скрытный характер делает эту атаку особенно опасной, поскольку заражение может оставаться незамеченным в течение длительного времени.

Поскольку атака нацелена на широко используемое программное обеспечение с открытым исходным кодом, это имеет потенциально далеко идущие последствия. Затронут не столько конкретный поставщик программного обеспечения, сколько фундаментальный аспект того, как создается современное программное обеспечение. Эксперты по безопасности предупреждают, что подобные атаки используют тенденцию к растущей взаимозависимости программных компонентов.

Именно эффективность этого метода делает его привлекательным для киберпреступников.

Что это значит для ММБ?

Для малого и среднего бизнеса (ММБ) последствия таких атак могут быть значительными, даже если вы сами напрямую не используете конкретно затронутые пакеты. Во-первых, если ваш ИТ-отдел или привлеченная внешняя сторона использует скомпрометированные пакеты @antv, вы подвергаетесь прямому риску. Это может привести к утечке данных, сбоям в ваших бизнес-процессах или даже к атакам программ-вымогателей, если внедренный код это предусматривает.

Но даже если вы не используете конкретные пакеты, существует косвенная опасность. Многие ММБ используют программное обеспечение, разработанное более крупными компаниями. Эти более крупные компании, в свою очередь, используют компоненты с открытым исходным кодом, такие как пакеты npm.

Если в ключевом компоненте цепочки поставок есть уязвимость, она в конечном итоге может проникнуть в программные продукты, которые ММБ использует ежедневно. Поэтому крайне важно знать, какое программное обеспечение вы используете и какие основные компоненты в него встроены.

Кроме того, этот инцидент подчеркивает важность надежной политики кибербезопасности. Для ММБ это конкретно означает:

• Поддерживайте программное обеспечение в актуальном состоянии: Убедитесь, что все используемое программное обеспечение, включая операционные системы, приложения и инструменты разработки, регулярно обновляется. Обновления часто содержат критически важные исправления безопасности.
• Критически относитесь к внешним источникам: Будьте осторожны при внедрении новых программных компонентов, особенно из неизвестных или менее доверенных источников. Проверяйте репутацию и поддержку компонентов, которые используют ваши ИТ-поставщики.
• Внедряйте меры безопасности: Рассмотрите межсетевые экраны, антивирусное программное обеспечение и контроль доступа. Регулярное резервное копирование является неотъемлемой частью восстановления после инцидента.
• Обучайте сотрудников: Повышение осведомленности сотрудников о фишинге и других методах социальной инженерии является важной линией обороны. Скомпрометированная учетная запись сотрудника также может быть воротами для атаки.
• Спросите своего ИТ-поставщика: Узнайте у своего ИТ-поставщика, осведомлены ли они о недавних уязвимостях и какие меры они принимают для защиты ваших систем. Прозрачность здесь является ключевым фактором.

Заключение

Обнаружение атаки Mini Shai-Hulud на пакеты npm, такие как echarts-for-react, является еще одним сигналом о том, что цифровой мир становится все более сложным и уязвимым. Цепочка поставок программного обеспечения стала важным вектором атак. Для ММБ сейчас, как никогда, важно проактивно действовать в области кибербезопасности.

Будучи в курсе событий, поддерживая программное обеспечение в актуальном состоянии и инвестируя в базовую безопасность, можно значительно повысить устойчивость вашей организации. Не стесняйтесь обращаться за помощью к экспертам по кибербезопасности для оценки и укрепления ваших систем.

**Хотите узнать больше? ** Ознакомьтесь также с тем, как Assist2go может помочь с подходящей ИТ-услугой для вашего бизнеса.