GitLab обнаружил атаку на цепочку поставок с использованием Go-модуля MongoDB

Атаки на цепочки поставок программного обеспечения через вредоносные зависимости представляют собой серьезную угрозу безопасности для современной разработки программного обеспечения. Широкое использование компонентов с открытым исходным кодом увеличило площадь поверхности атаки, что затрудняет для разработчиков различение легитимных пакетов от вредоносных подделок. Команда исследования уязвимостей GitLab разработала автоматизированную систему обнаружения для выявления вредоносных зависимостей в цепочках поставок программного обеспечения. Система объединяет в себе несколько методов обнаружения, включая автоматическое обнаружение опечаток (typosquatting), семантический анализ кода и начальный скрининг с помощью ИИ. Система используется для непрерывного сканирования недавно опубликованных зависимостей в основных экосистемах, обеспечивая раннее предупреждение об атаках на цепочки поставок. Недавно GitLab обнаружил реальную атаку с использованием опечаток, которая использовала вредоносный модуль MongoDB Go. Атака заключалась в том, что злоумышленник создал вредоносный модуль с именем, похожим на легитимный, и внедрил вредоносный код в функцию, которую разработчики естественным образом вызывали при инициализации своего соединения с MongoDB. Атака была обнаружена и пресечена, но злоумышленник быстро адаптировался и опубликовал вторую версию с опечаткой и идентичным вредоносным кодом. Быстрое повторное развертывание демонстрирует постоянный характер этих атак и подчеркивает, почему проактивное обнаружение имеет решающее значение для минимизации окон воздействия. Подход GitLab к проактивному мониторингу зависимостей и обнаружению угроз может помочь сократить разрыв в обеспечении безопасности цепочек поставок программного обеспечения.