Cosa richiamano alla mente le parole bakso, sate e rendang? Per molti la risposta \u00e8 \u201cniente\u201d; i buongustai li riconosceranno come alimenti base indonesiani; mentre chi segue le notizie sulla sicurezza informatica ricorder\u00e0 un attacco all\u2019ecosistema Node Package Manager (npm), lo strumento che consente agli sviluppatori di utilizzare librerie predefinite invece di scrivere ogni riga di codice da zero.<\/p>\n
A met\u00e0 novembre, il ricercatore sulla sicurezza Paul McCarty ha segnalato la scoperta di una campagna di spam<\/a> volta a ingombrare il registro npm. Naturalmente, pacchetti privi di significato sono gi\u00e0 stati visualizzati nel registro, ma in questo caso sono state trovate decine di migliaia di moduli senza alcuna funzione utile. Il loro unico scopo era iniettare dipendenze del tutto inutili nei progetti.<\/p>\n I nomi dei pacchetti contenevano nomi dei piatti indonesiani inseriti a caso e termini culinari come bakso, sate e rendang, motivo per cui la campagna si \u00e8 guadagnata il soprannome di \u201cIndonesianFoods\u201d. La portata era impressionante: al momento della scoperta erano stati identificati circa 86.000 colli.<\/p>\n Di seguito, analizziamo com\u2019\u00e8 successo e cosa stavano effettivamente cercando gli autori degli attacchi.<\/p>\n A prima vista, i pacchetti di IndonesianFoods non sembravano elementi indesiderati. Presentavano strutture standard, file di configurazione validi e persino documentazione ben formattata. Secondo i ricercatori di Endor Labs<\/a>, questo camuffamento ha consentito ai pacchetti di persistere nel registro npm per quasi due anni.<\/p>\n Non \u00e8 che gli autori degli attacchi tentassero in modo aggressivo di inserire le proprie creazioni in progetti esterni. Invece, hanno semplicemente invaso l\u2019ecosistema con codice dall\u2019aspetto legittimo, in attesa che qualcuno commettesse un errore di battitura o scegliesse accidentalmente la propria libreria dai risultati di ricerca. Non \u00e8 chiaro cosa si debba cercare esattamente per confondere il nome di un pacchetto con un piatto indonesiano, ma la ricerca originale rileva<\/a> che almeno 11 progetti sono riusciti in qualche modo a includere questi pacchetti nelle proprie build.<\/p>\n Una piccola parte di questi pacchetti indesiderati aveva un meccanismo di autoreplicazione integrato: una volta installati, creavano e pubblicavano i nuovi pacchetti nel registro npm ogni sette secondi. Questi nuovi moduli presentavano nomi casuali (relativi anche alla cucina indonesiana) e numeri di versione, tutti pubblicati, come prevedibile, utilizzando le credenziali della vittima.<\/p>\n Altri pacchetti dannosi integrati con la piattaforma blockchain TEA. Il progetto TEA<\/a> \u00e8 stato progettato per premiare i creatori open source con token in proporzione alla popolarit\u00e0 e all\u2019utilizzo del codice, operando teoricamente su un modello \u201cProof of Contribution\u201d.<\/p>\n Una parte significativa di questi pacchetti non conteneva alcuna funzionalit\u00e0 effettiva, tuttavia spesso contenevano una decina di dipendenze che, come \u00e8 facile immaginare, indicavano altri progetti di spam nell\u2019ambito della stessa campagna. Pertanto, se una vittima include erroneamente uno di questi pacchetti dannosi, ne trascina molti altri, alcuni dei quali hanno le proprie dipendenze. Il risultato \u00e8 un progetto finale ingombro di un\u2019enorme quantit\u00e0 di codice ridondante.<\/p>\n Le teorie principali sono due. La cosa pi\u00f9 ovvia \u00e8 che l\u2019intera elaborata campagna spam \u00e8 stata progettata per sfruttare il summenzionato protocollo TEA. In sostanza, senza dare alcun contributo utile alla comunit\u00e0 open source, gli autori degli attacchi guadagnano token TEA, che sono risorse digitali standard che possono essere scambiate con altre criptovalute negli scambi. Utilizzando una rete di dipendenze e meccanismi di autoreplicazione, gli autori degli attacchi si atteggiano a legittimi sviluppatori open source per gonfiare artificialmente l\u2019importanza e le metriche di utilizzo dei propri pacchetti. Nei file README di alcuni pacchetti, gli autori degli attacchi si vantano persino dei propri guadagni.<\/p>\n Tuttavia, c\u2019\u00e8 una teoria pi\u00f9 agghiacciante. Ad esempio, il ricercatore Garrett Calpouzos suggerisce<\/a> che ci\u00f2 che stiamo vedendo \u00e8 semplicemente un proof of concept. La campagna IndonesianFoods potrebbe testare su strada un nuovo metodo di invio di malware destinato a essere venduto successivamente ad altri autori delle minacce.<\/p>\n A prima vista, il pericolo per le organizzazioni di sviluppo software potrebbe non essere evidente: IndonesianFoods ingombra l\u2019ecosistema, ma non sembra comportare una minaccia immediata come ransomware o violazione dei dati.\u00a0 Tuttavia, le dipendenze ridondanti gonfiano il codice e sprecano le risorse di sistema degli sviluppatori. Inoltre, i pacchetti indesiderati pubblicati a nome dell\u2019organizzazione possono avere gravi ripercussioni sulla reputazione all\u2019interno della comunit\u00e0 di sviluppatori.<\/p>\n Non possiamo nemmeno respingere la teoria di Calpouzos. Se i pacchetti di spam inseriti nel software ricevono un aggiornamento che introduce funzionalit\u00e0 veramente dannose, potrebbero diventare una minaccia non solo per l\u2019organizzazione, ma anche per gli utenti, evolvendosi in un vero e proprio attacco alla supply chain.<\/p>\n I pacchetti spam non si limitano a penetrare autonomamente in un progetto; installarli richiede una mancanza di giudizio da parte dello sviluppatore. \u00c8 pertanto consigliabile sensibilizzare regolarmente i dipendenti, anche quelli esperti di tecnologia, sulle moderne minacce informatiche. La nostra piattaforma di formazione interattiva, KASAP (Kaspersky Automated Security Awareness Platform)<\/a>, pu\u00f2 essere d\u2019aiuto.<\/p>\n \u00c8 inoltre possibile prevenire l\u2019infezione utilizzando una soluzione specializzata per la protezione degli ambienti containerizzati<\/a>. Esegue la scansione di immagini e dipendenze di terze parti, si integra nel processo di compilazione e monitora i contenitori durante il runtime.<\/p>\nApprofondimento su IndonesianFoods<\/h2>\n
Cosa ci guadagnano gli autori degli attacchi?<\/h2>\n
Perch\u00e9 non dovrebbero esserci elementi indesiderati nei progetti<\/h2>\n
Come salvaguardare la vostra organizzazione<\/h2>\n