Januari lalu, ribuan pengguna dua perpustakaan open source populer, "penipu" dan "warna", terkejut melihat aplikasi mereka rusak dan menampilkan data omong kosong setelah terinfeksi dengan paket berbahaya. Dan pada bulan Oktober, aktor ancaman menerbitkan 155 paket berbahaya ke repositori npm dalam kampanye kesalahan ketik yang menargetkan pengguna dari 18 paket sah, yang jika digabungkan, biasanya akan melihat lebih dari 1.5 miliar unduhan mingguan. Gol penyerang? Untuk mengunduh dan memasang pencuri kata sandi pintu belakang/Trojan.

Seperti namanya, paket berbahaya adalah perangkat lunak yang dibuat dengan niat jahat. Apa yang membuat mereka sangat memprihatinkan adalah bahwa mereka sangat mudah dibuat. Berguna untuk sejumlah niat jahat, paket ini sulit dihindari dan dideteksi, kecuali Anda tahu apa yang harus dicari.

Ancaman yang Berkembang Cepat

Paket berbahaya bukanlah hal baru, tetapi mereka berkembang biak dengan kecepatan yang mengkhawatirkan. Dalam “Laporan Khusus Paket Berbahaya,” Mend mengidentifikasi peningkatan sebesar 315% dalam paket berbahaya yang dipublikasikan ke npm dan RubyGems saja dari tahun 2021 hingga 2022, dan berharap tren tersebut akan terus berlanjut.

Jenis malware, paket jahat menggunakan teknik serupa untuk mengelabui orang agar mengunduhnya, di mana mereka mendatangkan malapetaka di dalam sistem pengguna. Karena paket jahat adalah sesuatu yang umumnya datang dari tempat yang Anda pikir Anda percayai, mereka sangat efektif.

Paket berbahaya adalah cara otomatis untuk membuat vektor serangan atau mendapatkan data untuk mengaktifkan vektor serangan lain yang tidak memerlukan aktivitas tambahan apa pun dari penyerang. Anda cukup mengunggah paket dan melepaskannya. Dari sudut pandang aktor ancaman, upaya yang dikeluarkan menghasilkan pengembalian yang tinggi. Maka tidak mengherankan bahwa kami melihat peningkatan meteorik dalam paket berbahaya.

Anatomi Serangan Paket Berbahaya

Paket berbahaya digunakan untuk mencuri kredensial, mengekstraksi data, mengubah aplikasi menjadi botnet, atau menghapus data. Tapi pertama-tama, penyerang perlu mengelabui seseorang atau sesuatu agar mengunduh paket.

Penyerang menggunakan empat vektor serangan dasar untuk paket berbahaya:

1. Pembajakan merek: Saat penyerang memperoleh atau mengasumsikan identitas online perusahaan lain atau pemilik paket, lalu menyisipkan kode berbahaya. Metode terakhir digunakan dalam penyerangan pertukaran cryptocurrency dYdX. Dalam kasus ini, versi paket jahat berisi pengait pra-instal yang membuatnya tampak seolah-olah skrip CircleCI akan diunduh.
2. Salah ketik: Seperti namanya, serangan ini mengandalkan salah ketik sederhana. Penyerang menerbitkan paket jahat dengan nama yang mirip dengan paket populer dan menunggu pengembang salah mengeja nama paket dan secara tidak sengaja memanggil versi berbahaya.
3. Pembajakan ketergantungan: Penyerang mendapatkan kendali atas repositori publik untuk mengunggah versi berbahaya yang baru.
4. Kebingungan ketergantungan: Penambahan yang lebih baru pada daftar vektor serangan, kebingungan ketergantungan terjadi ketika paket berbahaya di repositori publik memiliki nama yang sama dengan nama paket internal. Penyerang menggunakan ini untuk mengelabui alat manajemen ketergantungan agar mengunduh paket berbahaya publik.

Karena paket jahat masih relatif muda, teknik yang diandalkan penyerang juga tidak canggih. Penyerang yang menggunakan paket berbahaya cenderung mengandalkan empat teknik umum, termasuk skrip re- dan pasca-instalasi, teknik penghindaran dasar, perintah shell, dan teknik komunikasi jaringan dasar. Dalam kasus komunikasi jaringan, paket jahat menggunakan metode dasar untuk menyebarkan, mengeksekusi, dan berkomunikasi di mesin. Itu kabar baik bagi pembela, karena bahkan jika paket berhasil diunduh, itu tetap relatif mudah untuk dideteksi saat digunakan.

Seperti vektor serangan, penyerang semakin mengadopsi teknik yang lebih canggih, seperti telemetri, yang memungkinkan pengumpulan data. Ada banyak peluang bagi aktor jahat untuk menyempurnakan penggunaan paket jahat mereka. Kami berharap untuk melihat pendekatan yang lebih beragam dan canggih, serta serangan yang lebih sulit dikenali, karena pelaku ancaman mengembangkan teknik mereka.

Sementara pada pandangan pertama waktu rilis paket berbahaya tampak acak, penelitian kami menemukan hampir 25% diterbitkan pada Kamis sore. Kami mengaitkan hal ini dengan penyerang yang mengetahui prevalensi vendor keamanan siber yang berbasis di Israel, di mana banyak yang mengamati hari Jumat dan Sabtu sebagai akhir pekan. Selain itu, menargetkan zona waktu Israel, kami melihat serangan diluncurkan pada sore hari saat minggu kerja berakhir.

Sumber Terbuka Tidak Harus Berarti Musim Terbuka

Alasan utama paket berbahaya bekerja dengan sangat baik adalah karena open source dapat diakses publik. Tidak hanya pemula dengan keterampilan pemrograman dasar dapat dengan mudah membuat paket berbahaya, mereka juga dapat dengan mudah menerbitkan kode ke repositori sumber terbuka yang digunakan oleh jutaan pengembang. Peluang sukses sangat menguntungkan mereka.

Inilah mengapa sangat penting untuk memahami apa yang dibawa ke dalam aplikasi melalui kode sumber terbuka. Jika perusahaan belum melakukannya, mereka harus mulai memprioritaskan rantai pasokan perangkat lunak mereka. Mereka harus menggunakan alat pemindaian otomatis yang dapat memantau repositori dan pustaka kode sumber terbuka untuk kerentanan dan serangan, dan memanfaatkan alat yang dapat membantu menghasilkan bill of material perangkat lunak (SBOM). Tidak seperti kerentanan yang dapat bertahan di basis kode selama berbulan-bulan, paket jahat merupakan ancaman mendesak bagi perangkat lunak dan sistem.

Serangan seperti log4j dan SuryaAngin berita utama pelanggaran, tetapi itu mewakili sebagian kecil dari serangan tanpa henti yang diluncurkan setiap hari terhadap aplikasi. Meningkatnya ancaman serangan paket berbahaya menambah urgensi lebih lanjut untuk meningkatnya kebutuhan akan pendekatan baru untuk program keamanan aplikasi. Hanya melalui AppSec yang gigih dan otomatis, organisasi dapat memperoleh keunggulan dalam pertempuran untuk perangkat lunak yang aman.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/anatomy-of-a-malicious-package-attack