Kaspersky raportează că, până la sfârșitul anului 2024, au fost identificate 14.000 de pachete malițioase în proiecte open-source – o creștere de 50% față de finalul anului 2023. Pe parcursul anului 2024, Kaspersky a analizat 42 de milioane de versiuni ale pachetelor open-source pentru a depista vulnerabilități.
Open-source se referă la software cu cod sursă accesibil public, pe care oricine îl poate inspecta, modifica și îmbunătăți. Printre cele mai populare pachete open-source se numără GoMod, Maven, NuGet, npm, PyPI și altele. Acestea sunt instrumente esențiale în dezvoltarea software, permițând programatorilor să găsească, instaleze și gestioneze cu ușurință biblioteci de cod deja create, accelerând procesul de dezvoltare. Tocmai această popularitate este exploatată de atacatori.
În martie 2025, s-a raportat că gruparea Lazarus a lansat mai multe pachete npm malițioase, care au fost descărcate de numeroase ori înainte de a fi eliminate. Aceste pachete conțineau malware pentru furt de acreditări, date din portofele crypto și pentru instalarea de backdoor-uri, vizând sistemele dezvoltatorilor pe Windows, macOS și Linux. Atacul a folosit repozitoare GitHub pentru a părea legitim, evidențiind tactici sofisticate de atac asupra lanțului de aprovizionare. Echipa GReAT a Kaspersky a descoperit și alte pachete npm asociate acestui atac. Pachetele ar fi putut fi integrate în aplicații web, platforme crypto sau software enterprise, expunându-le la pierderi financiare și furt de date la scară largă.
În 2024, a fost identificat un backdoor sofisticat în versiunile 5.6.0 și 5.6.1 ale XZ Utils, o bibliotecă de compresie folosită pe scară largă în distribuțiile Linux. Codul malware a fost introdus de un colaborator aparent de încredere și viza serverele SSH, permițând executarea de operațiuni comandate de la distanță, amenințând milioane de sisteme la nivel global. A fost detectat înainte de a fi exploatat pe scară largă, datorită unor anomalii de performanță, incidentul evidențiind riscurile majore generate de atacurile asupra furnizorilor de software. XZ Utils este o componentă esențială pentru sisteme de operare, servere cloud și dispozitive IoT, iar compromiterea sa ar putea afecta infrastructuri critice și rețele enterprise.
De asemenea, GReAT de la Kaspersky a descoperit în 2024 că atacatorii au publicat pachete malițioase Python, precum chatgpt-python și chatgpt-wrapper, în cadrul PyPI, imitând unelte legitime pentru interacțiunea cu API-urile ChatGPT. Aceste pachete erau proiectate să fure date de autentificare și să instaleze backdoor-uri, pentru a păcăli programatorii, profitând de popularitatea AI. Ele ar fi putut fi folosite în proiecte de inteligență artificială, integrarea chatbot-urilor sau pe platformele de analize de date, compromițând fluxuri de lucru sensibile și expunând date ale utilizatorilor.
Pentru a rămâne în siguranță, Kaspersky recomandă:
- Utilizați o soluție de monitorizare a componentelor open-source folosite, pentru a detecta eventualele amenințări ascunse în interiorul acestora.
- Dacă suspectați că un actor de amenințare a avut acces la infrastructura companiei, se recomandă utilizarea serviciului Kaspersky Compromise Assessment, care ajută la identificarea atacurilor trecute sau în desfășurare.
- Verificați integritatea dezvoltatorilor de pachete: analizați credibilitatea persoanei sau organizației din spatele pachetului. Căutați un istoric coerent al versiunilor, documentație completă și un sistem activ de raportare a problemelor.
- Rămâneți informat cu privire la noile amenințări: abonați-vă la buletine de securitate și alerte specifice ecosistemului open-source. Cu cât aflați mai devreme despre o amenințare, cu atât puteți reacționa mai rapid.
