Точки входа – новая ахиллесова пята Open Source экосистем

Исследователи из компании Checkmarx зафиксировали новую технику атак на цепочки поставок в Open Source экосистемах, позволяющую злоумышленникам использовать манипуляции в командной строке ( CLI ) для скрытого внедрения вредоносного кода. Такие атаки становятся всё более опасными, так как позволяют избежать обнаружения традиционными мерами безопасности.

Программисты часто используют так называемые «точки входа», чтобы упростить работу с пакетами. Однако именно через них хакеры могут запускать вредоносные команды при вызове стандартных инструментов. Этот метод не требует полноценного одномоментного взлома системы, а предполагает постепенное проникновение, увеличивая шанс обхода защиты.

Примером такой атаки может быть Command Jacking — подмена популярных команд, таких как «aws» или «docker». В случае успеха злоумышленники могут перехватить учётные данные или похитить конфиденциальные данные компаний при развёртывании инфраструктуры в облаке.

Также возможна подмена системных команд, таких как «ls» или «curl». Если приоритетный путь в переменной PATH указывает на вредоносный пакет, пользователь невольно запускает вредоносный код. Особенно опасно это в средах разработки, где локальные директории часто имеют более высокий приоритет.

Для большей скрытности злоумышленники применяют технику Command Wrapping — создание обёрток вокруг оригинальных команд. При этом вредоносный код выполняется незаметно для пользователя, а команда возвращает ожидаемый результат, избегая подозрений.

Кроме того, злоумышленники нацеливаются на популярные инструменты разработки, такие как pytest или Flake8. Создавая вредоносные плагины, они могут вмешиваться в процесс тестирования и проверки кода, оставляя уязвимости незамеченными.

Особое внимание уделяется формату пакетов «.whl». В отличие от традиционных «.tar.gz», они не выполняют скрипты при установке, что ранее усложняло работу злоумышленников. Однако использование входных точек позволяет обходить это ограничение и запускать код при вызове определённых команд.

Эксплуатация входных точек становится угрозой не только в Python, но и в других экосистемах: npm, Ruby Gems, NuGet, Rust Crates и Dart Pub. Это подчёркивает необходимость усиления мер безопасности на всех этапах разработки и внедрения.

Некоторые ИБ-команды уже активно применяют системы мониторинга подозрительных активностей в Open Source проектах, уделяя особое внимание анализу точек входа, чтобы вовремя выявлять потенциальные угрозы и предотвращать их. Своевременное обнаружение таких атак поможет защитить разработчиков и предприятия от изощрённых атак на цепочки поставок.