روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ جلوگیری از حملات زنجیره تأمین به شدت سخت است زیرا بخش قابلملاحظهای از حمله در زیرساختی رخ میدهد که تحت اختیار و کنترل تیم امنیتی نیست. این باعث شده حملات زنجیره تأمین خطرناکترین تهدیدها در سالهای اخیر باشند و امروز قرار است نگاهی داشته باشیم بر بزرگترین حملات زنجیره تأمین سال 2024.
ژانویه 2024: پکیجهای npm مخرب، کلیدهای SSH را از صدها توسعهدهنده در گیتهاب سرقت کردند
اولین حمله بزرگ زنجیره تأمین در سال 2024 شامل پکیجهای مخرب npm میشود که اوایل ماه ژانویه در گیتهاب آپلود شدند. هدف اصلی این ماژولها که warbeast2000 و kodiak2k نام دارند، جستجوی سیستمهای آلوده برای کلیدهای ssh و ارسال دوبارهشان به مجرمان سایبری بود. برخی نسخههای kodiak2k همچنین دارای اسکریپتی بود برای لانچ Mimikatz که ابزاری بود استفادهشده برای استخراج پسوردها از مموری. به طور کلی، مهاجمین تصمیم داشتند هشت نسخه ازwarbeast2000 و بیش از 30 نسخه از kodiak2k را نشر دهند. زمانیکه آنها کشف شدند و ازمخزن حذف شدند، پکیجهای آلوده از قبل (به ترتیب) 412 و 1281 بار دانلود شده بودند و این یعنی بالقوه صدها توسعهدهنده در معرض قرار گرفتند.
فوریه 2024: پکهای رهاشدهی PyPI استفادهشده برای توزیع سارق دادهی NovaSentinel
در فوریه سال 2024، آپدیت مخربی در پکیج django-log-tracker که روی PyPI[1] میزبانی میشد کشف شد. آخرین نسخهی قانونی این ماژول سال 2022 منتشر شد و از آن زمان به بعد، توسط سازندگان خود رها شد. اینطور که پیداست، مهاجمین تصمیم داشتند اکانت PyPI توسعهدهنده را سرقت کنند و نسخهی مخرب خود را از پکیج آپلود نمایند. این آپدیت مخرب فقط حاوی دو فایل با کد بسیار ساده و یکسان بود؛ همه محتواهای اورجینال ماژول پاک شد.
مارس 2024: بکدری ایمپلنتشده در توزیعهای محبوب لینوکس با استفاده از XZ Utils
اواخر مارس گزارشی داشتیم از یک رخداد که میتوانست بالقوه به خطرناکترین حمله زنجیره تأمین 2024 با پیامدهای مخرب تبدیل شود. به عنوان عملیات پیچیدهای که دو سال و نیم طول کشید، کاربر گیتهاب به نام ژیا تان تصمیم گرفت کنترل پروژهی XZ Utils را –مجموعهای از ابزارهای فشرده شاملشده در بسیاری از توزیعهای محبوب لینوکسی- دست گیرد. ژیا با کنترل کردن این پروژه دو نسخهی پکیج را (5.6.0 و 5.6.1) را که هر دو بکدر داشتند منتشر کرد. در نتیجه، آرشیو دستکاریشدهی liblzma در نسخههای تستی توزیعهای لینوکس شامل شد. طبق گفتههای ایگور کوزنتسوف، رئیس تیم GReAT کسپرسکی، آسیبپذیری CVE-2024-3094 میتوانست بزرگترین حمله به اکوسیستم لینوکس باشد. اگر این آسیبپذیری در توزیعهای پایدار معرفی میشد، ممکن بود شاهد آسیبهای گسترده سرور باشیم. خوشبختانه، CVE-2024-3094 در توزیعهای آزمایشی و انتشاری شناسایی شد، بنابراین اکثر کاربران لینوکس ایمن باقی ماندند.
آوریل 2024: پروژههای مخرب Visual Studio روی گیتهاب، بدافزار توزیع کردند
در ماه آوریل، حملهای که هدفش کاربران گیتهاب بود کشفشد. در این حمله مهاجمین پروژههای مخرب Visual Studio را منتشر کردند. برای کمک به حمله، مهاجمین با مهارت، الگوریتم سرچ گیتهاب را دستکاری کردند. ابتدا از نامها و موضوعات محبوب برای پروژههای خود استفاده کردند و بعد کلی اکانت فیک برای ستارهگذاریِ پروژههای مخرب خود ساختند که نوعی ایجاد توهمِ محبوبیت باشد! سوم اینکه به طور خودکار بهروزرسانیهای مکرر را منتشر و تغییرات بیمعنی در فایلی که صرفاً برای این منظور ارائه شده است، ایجاد میکنند. این کاری میکرد پروژههایشان در مقایسه با جایگزینهای موجود به نظر تازه و به روز بیاید. داخل این پروژهها، بدافزاری مشابه با Keyzetsu Clipper پنهان شده بود. این بدافزار آدرسهای کیف پول ارزهای دیجیتال کپیشده در کلیپ بورد را رهگیری کرده و جایگزین میکند. در نتیجه، تراکنشهای رمزنگاری شده در سیستم آلوده به جای گیرنده مورد نظر به مهاجمان هدایت میشود.
می 2024: بکدری در نرم افزار ضبط ویدیوی دادگاه JAVS کشف شد
در ماه می 2024، گزارشهایی در مورد تروجانیزهشدن نرم افزار ضبط دادگاه JAVS منتشر شد. این سیستم به طور گسترده در موسسات قضایی و سایر سازمانهای مرتبط با اجرای قانون استفاده میشود و حدود 10000 نصب در سراسر جهان دارد. یک دراپر در فایل ffmpeg.exe پیدا شد. این دراپر مجموعهای از اسکریپتهای مخرب را روی سیستمهای آلوده اجرا میکند که برای دور زدن مکانیسمهای امنیتی ویندوز، دانلود ماژولهای اضافی و جمعآوری اطلاعات لاگین طراحی شدهاند.
ژوئن 2024: دهها هزار وبسایت با استفاده ازPolyfill.io کد مخرب تحویل دادند
در اواخر ژوئن، دامنه cdn.polyfill.io شروع به توزیع کدهای مخرب برای بازدیدکنندگان وبسایتهای متکی به سرویس Polyfill.io کرد. کاربران از طریق یک دامنه جعلی جعل هویت گوگل آنالیتیکس www[.]googie-anaiytics[.]com) ) به یک سایت شرط بندی ورزشی به زبان ویتنامی هدایت شدند.
Polyfill.io در اصل توسط Financial Times ایجاد شد تا اطمینان حاصل شود که وبسایتها با مرورگرهای قدیمی یا کمتر رایج سازگار هستند. با این حال، در سال 2024، همراه با دامنه و حساب GitHub آن به ارائهدهنده CDN چینی Funnull فروخته شد - و مشکل از اینجا شروع شد. با گذشت سالها، Polyfill.io بسیار محبوب شد. حتی در زمان وقوع رخدادها، بیش از 100000 وبسایت در سراسر جهان - از جمله بسیاری از وبسایتهای پرمخاطب - همچنان از پلیفیلها استفاده میکردند، حتی اگر دیگر به آنها نیازی نباشد. پس از این حمله، خالق اصلی Polyfill.io به کاربران توصیه کرد استفاده از این سرویس را متوقف کنند. با این حال، اسکریپت در حال حاضر هنوز در دهها هزار وب سایت وجود دارد.
جولای 2024: نسخه jQuery تروجانزده در npm، GitHub و jsDelivr یافت شد
در ماه جولای، یک نسخه تروجانزده از jQuery- کتابخانه محبوب جاوا اسکریپت که برای ساده کردن تعامل با "مدل شی سند[2]" HTML (DOM) استفاده میشود - کشف شد. در طول چند ماه، مهاجمان موفق شدند دهها بسته آلوده را در رجیستری npm منتشر کنند. jQuery تروجانزده همچنین در پلتفرمهای دیگر، از جمله GitHub و حتی jsDelivr n یافت شد - یک سرویس CDN برای ارائه کد جاوا اسکریپت. با وجود به خطر افتادن، نسخههای تروجانزده jQuery کاملاً کاربردی باقی ماندند. تفاوت اصلی با کتابخانه اصلی گنجاندن کدهای مخرب طراحی شده برای جمعآوری تمام دادههای کاربر وارد شده در فرمهای صفحههای آلوده و ارسال آن به یک آدرس تحت کنترل مهاجم بود.
آگست 2024: پلاگین آلوده برای پیامرسان چندپروتکلیِ Pidgin
اواخر آگست، یکی از پلاگینهای منتشرشده روی صفحهی رسمی مسنجر Pidgin در حالیکه داشت بدافزار چندکاربرهی DarkGate را که به مهاجمین اجازهی دسترسی ریموت به سیستمهای آلوده میدهد (جایی که میتوانند بدافزارهای اضافی را نصب کنند) را توزیع میکرد یافت شد. Pidgin یک مسنجر منبع باز همهکاره است که به کاربران اجازه میدهد در سراسر سیستمهای چندگانه پیامرسان و پروتکلها بدون نصب اپهای جداگانه تعامل و ارتباطگیری کنند. گرچه از دوران اوج محبوبیت Pidgin گذشته اما هنوز توسط مشتاقان فناوری و طرفداران نرمافزارهای منبع باز هنوز به شدت استفاده میشود. افزونه ss-otr آلوده ScreenShareOTR) ) برای اشتراکگذاری صفحه از طریق پروتکل Off-The-Record (OTR) طراحی شده است - یک پروتکل رمزنگاری برای پیامرسانی فوری امن. این بدان معنی است که مهاجمین به طور خاص کاربرانی را هدف قرار دادهاند که حریم خصوصی و ارتباطات ایمن را در اولویت قرار میدهند.
سپتامبر 2024: سرقت پروژههای پاکشده روی PyPI
در ماه سپتامبر، محققین مطالعهای را منتشر کردند که در آن امکان تئوری ربودن پروژههای حذف شده PyPI - یا نام آنها را بررسی کرد. این موضوع به این دلیل است که پس از حذف یک بسته، هیچ چیز مانع از ایجاد یک پروژه جدید با همان نام نمیشود. در نتیجه، توسعه دهندگانی که درخواست به روز رسانی برای بسته حذف شده میکنند، در نهایت یک نسخه جعلی و مخرب را دانلود میکنند. بطور کلی محققین بیش از 22 هزار پروژهی PyPI را که به این حمله آسیبپذیر بودند پیدا کردند. افزون بر این آنها کشف کردند که این تهدید فقط در مرحلهی تئوری نیست: متود حمله در محیط بیرون از قبل مشاهده شده بود! برای محافظت از برخی از واضحترین اهداف پرخطر، محققین نام برخی از پروژههای محبوب حذف شده را در حساب امنی که ایجاد کردند، ثبت کردند.
اکتبر 2024: اسکریپت مخرب در LottieFiles Lottie-Player
در اواخر اکتبر، یک حمله زنجیره تأمین LottieFiles Lottie-Player، یک کتابخانه مبتنی بر JSON برای پخش انیمیشنهای سبک وزن مورد استفاده در برنامههای موبایل و وب را هدف قرار داد. مهاجمان به طور همزمان چندین نسخه از Lottie-Player ( 2.0.5، 2.0.6 و 2.0.7) حاوی کدهای مخرب را منتشر کردند. در نتیجه، یک cryptodrainer در سایتهایی که از این کتابخانه استفاده میکردند ظاهر شد. حداقل یک سرقت رمزنگاری بزرگ تایید شده که قربانی نزدیک به 10 بیت کوین (بیش از 700 000 دلار آمریکا در زمان وقوع رخداد) را از دست داده است.
نوامبر 2024: JarkaStealer در مخزن PyPI یافت شد
در ماه نوامبر، متخصصین ما از GReAT دو پکیج مخرب را در مخزن PyPI کشف کردند: claudeai-eng و gptplus. این پکیجها بیش از یک سال است روی PyPI موجود بودهاند- بیش از 1700 بار توسط کاربران بالای 30 کشور دانلود شدند. بستهها به عنوان کتابخانههایی برای تعامل با چترباتهای محبوب هوش مصنوعی قرار گرفتند. با این حال، در واقعیت، claudeai-eng و gptplus فقط توابع اعلام شده خود را با استفاده از نسخه آزمایشی ChatGPT تقلید کردند. هدف واقعی آنها نصب بدافزار JarkaStealer بود. همانطور که ممکن است از نام آن حدس بزنید، این یک infodealer است. رمزهای عبور را می دزدد و داده های مرورگر را ذخیره می کند، نشانه های جلسه را از برنامه های محبوب (تلگرام، دیسکورد، استیم) استخراج، اطلاعات سیستم را جمع آوری می کند و از صفحه نمایش عکس می گیرد.
دسامبر 2024: مدل Ultralytics YOLO11 AI در PyPI آلوده شده است
در ماه دسامبر، یک حمله زنجیره تأمین دیگر با موضوع هوش مصنوعی از طریق مخزن PyPI انجام شد. این بار، این حمله بسته محبوب Ultralytics [3]YOLO11 را هدف قرار داد - یک مدل هوش مصنوعی پیشرفته برای تشخیص در لحظهی اشیاء در جریانهای ویدیویی. کاربرانی که کتابخانه Ultralytics YOLO11 را، چه به صورت مستقیم و چه به صورت وابستگی، نصب کردهاند، ناآگاهانه cryptominer XMRig Miner را نیز نصب کردهاند.
راهکار امنیتی
برای توصیههای دقیق در مورد جلوگیری از حملات زنجیره تأمین، راهنمای اختصاصی ما را بررسی کنید. در اینجا نکات اصلی وجود دارد:
- همیشه کدهای مورد استفاده در پروژههای خود را با دقت بررسی کنید.
- برای ردیابی وابستگیها و مؤلفهها، لایحه مواد نرم افزاری SBOM) ) را حفظ کنید.
- با استفاده از راهکار امنیتی کلاس XDR، فعالیتهای مشکوک را در شبکه شرکتی خود نظارت کنید.
- اگر تیم امنیت داخلی شما فاقد منابع کافی است، از یک سرویس خارجی برای شناسایی و پاسخ به موقع تهدید استفاده کنید.
[1] Python Package Index
[2] Document Object Model
[3] You Only Look Once
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.