2023/10/16 14:41:43

Репозитории открытого ПО


Содержание

Хроника

2023

В популярных репозиториях открытого ПО нашли 20 тыс. опасных пакетов

В наиболее популярных в мире репозиториях программного обеспечения с открытыми исходниками (Open Source) насчитывается более 20 тыс. опасных пакетов. Об этом в «Лаборатории Касперского» сообщили 16 октября 2023 года.

По данным антивирусной компании, в специализированной базе данных Kaspersky Open Source Software Threats Data Feed содержится информация о 42 тыс. уязвимостей в более чем 10 тыс. пакетов, а также 11 тысячах вредоносных или потенциально опасных пакетов.

В наиболее популярных репозиториях открытого ПО насчитывается более 20 тыс. опасных пакетов

Из всех обнаруженных уязвимостей самая большая доля (29%) пришлась на те, что могут привести к обходу ограничений систем безопасности. На втором месте с показателем 22% идут уязвимости, которые потенциально могут вызвать отказ в обслуживании. Следом расположились уязвимости, позволяющие выполнять на устройствах произвольный код.

Далее идут такие уязвимости, как подмена пользовательского интерфейса (7%), повышение уровня привилегий (6%), кража конфиденциальной информации (6%), и вредоносное ПО (6%). Оставшиеся 12% между собой распределили более малые группы проблем.

Из всех обнаруженных уязвимостей специалисты «Лаборатории Касперского» 43% классифицировали как угрозы с высоким уровнем опасности, еще 11% – как угрозы с критическим уровнем опасности. Для сравнения: аналитический срез в декабре 2022 года показал 35% угроз с высоким уровнем опасности и около 10% с критическим. То есть за 10 месяцев 2023 года доля уязвимостей с высоким уровни опасности выросла на 8%.

Как утверждают эксперты, большая часть обнаруженных уязвимостей может привести к обходу систем безопасности, отказу в обслуживании или даже выполнению произвольного кода на устройствах пользователей. Для проверки ПО на основе открытого исходного кода на наличие уязвимостей и вредоносных закладок «Лаборатория Касперского» рекомендовала российским компаниям использовать специальные инструменты, которые предлагают отечественные и иностранные ИБ-вендоры.[1]

Запущен глобальный открытый репозиторий корпоративных Linux-решений

10 августа 2023 года компании CIQ, Oracle и Suse сообщили о формировании совместной торговой ассоциации Open Enterprise Linux Association (OpenELA), главной задачей которой названо создание общественного репозитория корпоративных Linux-решений. Подробнее здесь.

2022: Репозитории открытого ПО наводнены десятками тысяч вредоносных пакетов

14 декабря 2022 года компании Checkmarx и Illustria обнародовали результаты совместного исследования, которое говорит о том, что репозитории программного обеспечения (ПО) с открытым исходным кодом наводнены вредоносными пакетами.

Специалисты в области кибербезопасности обнаружили в NuGet, NPM и PyPi более 144 тыс. потенциально опасных пакетов. Говорится, что их описания содержат ссылки на фишинговые страницы, которые могут использоваться злоумышленниками для организации различных мошеннических схем, в том числе с целью кражи денег или получения регистрационных данных (логинов и паролей).

Кампания по распространению фишинговых пакетов была обнаружена аналитиками из Checkmarx и Illustria

Дальнейшее расследование показало, что для публикации вредоносных модулей, по всей видимости, применялись инструменты автоматизации. Дело в том, что пакеты загружались с аккаунтов, использующих шаблонную схему обозначения вида «<a-z><1900-2022>». Причём многие из таких «пользователей» опубликовали идентичное количество пакетов. Злоумышленники распространяли вредоносные модули под названиями, связанными со взломом, читами, а также теми или иными бесплатными ресурсами. Например, некоторые пакеты именовались как «free-steam-codes-generator», «yalla-ludo-diamond-hack», «a3-still-alive-hack-diamonds» и «project-makeover-hack-gems». Тем самым злоумышленники завлекали жертв, чтобы в конечном итоге вынудить их посетить фишинговый сайт.

В общей сложности обнаружены 144 294 вредоносных пакета. Из них 136 258 размещены на платформе NuGet, 212 — на NPM и 7824 — на PyPi. Фишинговая кампания связана с более чем 65 тыс. уникальных адресов электронных ресурсов (URL) в 90 доменах. Веб-страницы, размещённые киберпреступниками, весьма тщательно проработаны и в некоторых случаях даже включают поддельные интерактивные чаты, ведение диалогов в которых автоматизировано.[2]Известный писатель-фантаст Сергей Лукьяненко выступит на TAdviser SummIT 28 ноября. Регистрация 5.7 т

Примечания