روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ جلوگیری از حملات زنجیره تأمین به شدت سخت است زیرا بخش قابل‌ملاحظه‌ای از حمله در زیرساختی رخ می‌دهد که تحت اختیار و کنترل تیم امنیتی نیست. این باعث شده حملات زنجیره تأمین خطرناک‌ترین تهدیدها در سال‌های اخیر باشند و امروز قرار است نگاهی داشته باشیم بر بزرگ‌ترین حملات زنجیره تأمین سال 2024.

ژانویه 2024: پکیج‌های npm مخرب، کلیدهای SSH را از صدها توسعه‌دهنده در گیت‌هاب سرقت کردند

اولین حمله بزرگ زنجیره تأمین در سال 2024 شامل پکیج‌های مخرب npm می‌شود که اوایل ماه ژانویه در گیت‌هاب آپلود شدند. هدف اصلی این ماژول‌ها که warbeast2000 و kodiak2k نام دارند، جستجوی سیستم‌های آلوده برای کلیدهای ssh و ارسال دوباره‌شان به مجرمان سایبری بود. برخی نسخه‌های kodiak2k همچنین دارای اسکریپتی بود برای لانچ Mimikatz که ابزاری بود استفاده‌شده برای استخراج پسوردها از مموری. به طور کلی، مهاجمین تصمیم داشتند هشت نسخه ازwarbeast2000  و بیش از 30 نسخه از kodiak2k را نشر دهند. زمانیکه آن‌ها کشف شدند و ازمخزن حذف شدند، پکیج‌های آلوده از قبل (به ترتیب) 412 و 1281 بار دانلود شده بودند و این یعنی بالقوه صدها توسعه‌دهنده در معرض قرار گرفتند.

فوریه 2024: پک‌های رهاشده‌ی PyPI استفاده‌شده برای توزیع سارق داده‌ی NovaSentinel

 در فوریه سال 2024، آپدیت مخربی در پکیج django-log-tracker که روی PyPI[1] میزبانی می‌شد کشف شد. آخرین نسخه‌ی قانونی این ماژول سال 2022 منتشر شد و از آن زمان به بعد، توسط سازندگان خود رها شد. اینطور که پیداست، مهاجمین تصمیم داشتند اکانت PyPI توسعه‌دهنده را سرقت کنند و نسخه‌ی مخرب خود را از پکیج آپلود نمایند. این آپدیت مخرب فقط حاوی دو فایل با کد بسیار ساده و یکسان بود؛ همه محتواهای اورجینال ماژول پاک شد.

مارس 2024: بک‌دری ایمپلنت‌شده در توزیع‌های محبوب لینوکس با استفاده از XZ Utils

اواخر مارس گزارشی داشتیم از یک رخداد که می‌توانست بالقوه به خطرناک‌ترین حمله زنجیره تأمین 2024 با پیامدهای مخرب تبدیل شود. به عنوان عملیات پیچیده‌ای که دو سال و نیم طول کشید، کاربر گیت‌هاب به نام ژیا تان تصمیم گرفت کنترل پروژه‌ی XZ Utils را –مجموعه‌ای از ابزارهای فشرده شامل‌شده در بسیاری از توزیع‌های محبوب لینوکسی- دست گیرد. ژیا با کنترل کردن این پروژه دو نسخه‌ی پکیج را (5.6.0 و 5.6.1) را که هر دو بک‌در داشتند منتشر کرد. در نتیجه، آرشیو دستکاری‌شده‌ی liblzma در نسخه‌های تستی توزیع‌های لینوکس شامل شد. طبق گفته‌های ایگور کوزنتسوف، رئیس تیم GReAT کسپرسکی، آسیب‌پذیری CVE-2024-3094 می‌توانست بزرگ‌ترین حمله به اکوسیستم لینوکس باشد. اگر این آسیب‌پذیری در توزیع‌های پایدار معرفی می‌شد، ممکن بود شاهد آسیب‌های گسترده سرور باشیم.  خوشبختانه، CVE-2024-3094 در توزیع‌های آزمایشی و انتشاری شناسایی شد، بنابراین اکثر کاربران لینوکس ایمن باقی ماندند.

آوریل 2024: پروژه‌های مخرب Visual Studio روی گیت‌هاب، بدافزار توزیع کردند

در ماه آوریل، حمله‌ای که هدفش کاربران گیت‌هاب بود کشف‌شد. در این حمله مهاجمین پروژه‌های مخرب Visual Studio را منتشر کردند. برای کمک به حمله، مهاجمین با مهارت، الگوریتم سرچ گیت‌هاب را دستکاری کردند. ابتدا از نام‌ها و موضوعات محبوب برای پروژه‌های خود استفاده کردند و بعد کلی اکانت فیک برای ستاره‌گذاریِ پروژه‌های مخرب خود ساختند که نوعی ایجاد توهمِ محبوبیت باشد! سوم اینکه به طور خودکار به‌روزرسانی‌های مکرر را منتشر و تغییرات بی‌معنی در فایلی که صرفاً برای این منظور ارائه شده است، ایجاد می‌کنند. این کاری می‌کرد پروژه‌هایشان در مقایسه با جایگزین‌های موجود به نظر تازه و به روز بیاید. داخل این پروژه‌ها، بدافزاری مشابه با Keyzetsu Clipper پنهان شده بود. این بدافزار آدرس‌های کیف پول ارزهای دیجیتال کپی‌شده در کلیپ بورد را رهگیری کرده و جایگزین می‌کند.  در نتیجه، تراکنش‌های رمزنگاری شده در سیستم آلوده به جای گیرنده مورد نظر به مهاجمان هدایت می‌شود.

می 2024: بک‌دری در نرم افزار ضبط ویدیوی دادگاه JAVS کشف شد

در ماه می 2024، گزارش‌هایی در مورد تروجانیزه‌شدن نرم افزار ضبط دادگاه JAVS منتشر شد. این سیستم به طور گسترده در موسسات قضایی و سایر سازمان‌های مرتبط با اجرای قانون استفاده می‌شود و حدود 10000 نصب در سراسر جهان دارد. یک دراپر در فایل ffmpeg.exe  پیدا شد. این دراپر مجموعه‌ای از اسکریپت‌های مخرب را روی سیستم‌های آلوده اجرا می‌کند که برای دور زدن مکانیسم‌های امنیتی ویندوز، دانلود ماژول‌های اضافی و جمع‌آوری اطلاعات لاگین طراحی شده‌اند.

ژوئن 2024: ده‌ها هزار وبسایت با استفاده ازPolyfill.io کد مخرب تحویل دادند

در اواخر ژوئن، دامنه cdn.polyfill.io شروع به توزیع کدهای مخرب برای بازدیدکنندگان وبسایت‌های متکی به سرویس Polyfill.io کرد. کاربران از طریق یک دامنه جعلی جعل هویت گوگل آنالیتیکس www[.]googie-anaiytics[.]com) ) به یک سایت شرط بندی ورزشی به زبان ویتنامی هدایت شدند.

Polyfill.io در اصل توسط Financial Times ایجاد شد تا اطمینان حاصل شود که وبسایت‌ها با مرورگرهای قدیمی یا کمتر رایج سازگار هستند. با این حال، در سال 2024، همراه با دامنه و حساب GitHub آن به ارائه‌دهنده CDN چینی Funnull فروخته شد - و مشکل از اینجا شروع شد. با گذشت سالها، Polyfill.io بسیار محبوب شد. حتی در زمان وقوع رخدادها، بیش از 100000 وب‌سایت در سراسر جهان - از جمله بسیاری از وب‌سایت‌های پرمخاطب - همچنان از پلی‌فیل‌ها استفاده می‌کردند، حتی اگر دیگر به آن‌ها نیازی نباشد. پس از این حمله، خالق اصلی Polyfill.io به کاربران توصیه کرد استفاده از این سرویس را متوقف کنند. با این حال، اسکریپت در حال حاضر هنوز در ده‌ها هزار وب سایت وجود دارد.

جولای 2024: نسخه jQuery تروجان‌زده در npm، GitHub و jsDelivr یافت شد

در ماه جولای، یک نسخه تروجان‌زده از jQuery-  کتابخانه محبوب جاوا اسکریپت که برای ساده کردن تعامل با "مدل شی سند[2]" HTML (DOM) استفاده می‌شود - کشف شد. در طول چند ماه، مهاجمان موفق شدند ده‌ها بسته آلوده را در رجیستری npm منتشر کنند. jQuery تروجان‌زده همچنین در پلت‌فرم‌های دیگر، از جمله GitHub و حتی jsDelivr n یافت شد - یک سرویس CDN برای ارائه کد جاوا اسکریپت. با وجود به خطر افتادن، نسخه‌های تروجان‌زده jQuery کاملاً کاربردی باقی ماندند. تفاوت اصلی با کتابخانه اصلی گنجاندن کدهای مخرب طراحی شده برای جمع‌آوری تمام داده‌های کاربر وارد شده در فرم‌های صفحه‌های آلوده و ارسال آن به یک آدرس تحت کنترل مهاجم بود.

آگست 2024: پلاگین آلوده برای پیام‌رسان چندپروتکلیِ Pidgin

اواخر آگست، یکی از پلاگین‌های منتشرشده روی صفحه‌ی رسمی مسنجر  Pidgin در حالیکه داشت بدافزار چندکاربره‌‌ی DarkGate را که به مهاجمین اجازه‌ی دسترسی ریموت به سیستم‌های آلوده می‌دهد (جایی که می‌توانند بدافزارهای اضافی را نصب کنند) را توزیع می‌کرد یافت شد. Pidgin یک مسنجر منبع باز همه‌کاره است که به کاربران اجازه می‌دهد در سراسر سیستم‌های چندگانه پیام‌رسان و پروتکل‌ها بدون نصب اپ‌های جداگانه تعامل و ارتباط‌گیری کنند. گرچه از دوران اوج محبوبیت  Pidgin گذشته اما هنوز توسط مشتاقان فناوری و طرفداران نرم‌افزارهای منبع باز هنوز به شدت استفاده می‌شود. افزونه ss-otr آلوده ScreenShareOTR) ) برای اشتراک‌گذاری صفحه از طریق پروتکل Off-The-Record (OTR) طراحی شده است - یک پروتکل رمزنگاری برای پیام‌رسانی فوری امن.  این بدان معنی است که مهاجمین به طور خاص کاربرانی را هدف قرار داده‌اند که حریم خصوصی و ارتباطات ایمن را در اولویت قرار می‌دهند.

سپتامبر 2024: سرقت پروژه‌های پاک‌شده‌ روی PyPI

در ماه سپتامبر، محققین مطالعه‌ای را منتشر کردند که در آن امکان تئوری ربودن پروژه‌های حذف شده PyPI -  یا نام آنها را بررسی کرد. این موضوع به این دلیل است که پس از حذف یک بسته، هیچ چیز مانع از ایجاد یک پروژه جدید با همان نام نمی‌شود. در نتیجه، توسعه دهندگانی که درخواست به روز رسانی برای بسته حذف شده می‌کنند، در نهایت یک نسخه جعلی و مخرب را دانلود می‌کنند. بطور کلی محققین بیش از 22 هزار پروژه‌ی PyPI را که به این حمله آسیب‌پذیر بودند پیدا کردند. افزون بر این آن‌ها کشف کردند که این تهدید فقط در مرحله‌ی تئوری نیست: متود حمله در محیط بیرون از قبل مشاهده شده بود! برای محافظت از برخی از واضح‌ترین اهداف پرخطر، محققین نام برخی از پروژه‌های محبوب حذف شده را در حساب امنی که ایجاد کردند، ثبت کردند.

اکتبر 2024: اسکریپت مخرب در  LottieFiles Lottie-Player

در اواخر اکتبر، یک حمله زنجیره تأمین LottieFiles Lottie-Player، یک کتابخانه مبتنی بر JSON برای پخش انیمیشن‌های سبک وزن مورد استفاده در برنامه‌های موبایل و وب را هدف قرار داد. مهاجمان به طور همزمان چندین نسخه از Lottie-Player ( 2.0.5، 2.0.6 و 2.0.7) حاوی کدهای مخرب را منتشر کردند. در نتیجه، یک cryptodrainer در سایت‌هایی که از این کتابخانه استفاده می‌کردند ظاهر شد. حداقل یک سرقت رمزنگاری بزرگ تایید شده که قربانی نزدیک به 10 بیت کوین (بیش از 700 000 دلار آمریکا در زمان وقوع رخداد) را از دست داده است.

نوامبر 2024: JarkaStealer در مخزن  PyPI یافت شد

در ماه نوامبر، متخصصین ما از GReAT دو پکیج مخرب را در مخزن  PyPI کشف کردند: claudeai-eng و  gptplus. این پکیج‌ها بیش از یک سال است روی PyPI موجود بوده‌اند- بیش از 1700 بار توسط کاربران بالای 30 کشور دانلود شدند. بسته‌ها به عنوان کتابخانه‌هایی برای تعامل با چت‌ربات‌های محبوب هوش مصنوعی قرار گرفتند. با این حال، در واقعیت، claudeai-eng و gptplus فقط توابع اعلام شده خود را با استفاده از نسخه آزمایشی ChatGPT تقلید کردند. هدف واقعی آنها نصب بدافزار JarkaStealer بود. همانطور که ممکن است از نام آن حدس بزنید، این یک infodealer است. رمزهای عبور را می دزدد و داده های مرورگر را ذخیره می کند، نشانه های جلسه را از برنامه های محبوب (تلگرام، دیسکورد، استیم) استخراج، اطلاعات سیستم را جمع آوری می کند و از صفحه نمایش عکس می گیرد.

دسامبر 2024: مدل Ultralytics YOLO11 AI در PyPI آلوده شده است

در ماه دسامبر، یک حمله زنجیره تأمین دیگر با موضوع هوش مصنوعی از طریق مخزن PyPI انجام شد. این بار، این حمله بسته محبوب Ultralytics [3]YOLO11  را هدف قرار داد - یک مدل هوش مصنوعی پیشرفته برای تشخیص در لحظه‌ی اشیاء در جریان‌های ویدیویی. کاربرانی که کتابخانه Ultralytics YOLO11 را، چه به صورت مستقیم و چه به صورت وابستگی، نصب کرده‌اند، ناآگاهانه cryptominer XMRig Miner را نیز نصب کرده‌اند.

راهکار امنیتی

برای توصیه‌های دقیق در مورد جلوگیری از حملات زنجیره تأمین، راهنمای اختصاصی ما را بررسی کنید. در اینجا نکات اصلی وجود دارد:

•         همیشه کدهای مورد استفاده در پروژه‌های خود را با دقت بررسی کنید.
•         برای ردیابی وابستگی‌ها و مؤلفه‌ها، لایحه مواد نرم افزاری SBOM) ) را حفظ کنید.
•         با استفاده از راهکار امنیتی کلاس XDR، فعالیت‌های مشکوک را در شبکه شرکتی خود نظارت کنید.
•         اگر تیم امنیت داخلی شما فاقد منابع کافی است، از یک سرویس خارجی برای شناسایی و پاسخ به موقع تهدید استفاده کنید.

[1] Python Package Index

[2] Document Object Model

[3] You Only Look Once

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.