Apputvecklare riktar sig alltmer via Slack, DevOps-verktyg

Utvecklare attackeras alltmer genom verktygen som de använder för att samarbeta och producera kod – som Docker, Kubernetes och Slack – eftersom cyberbrottslingar och nationalstatsaktörer strävar efter att få tillgång till den värdefulla mjukvaran som utvecklare arbetar med varje dag.

Till exempel hävdade en angripare den 18 september att han hade använt stulna Slack-uppgifter för att komma åt och kopiera mer än 90 videor som representerade tidig utveckling av Grand Theft Auto 6, ett populärt spel från Take-Two Interactives Rockstar Games. Och en vecka tidigare upptäckte säkerhetsföretaget Trend Micro att angripare systematiskt letade efter och försökte äventyra felkonfigurerade Docker-containrar.

Ingen av attackerna involverade sårbarheter i mjukvaruprogrammen, men säkerhetsfel eller felkonfigurationer är inte ovanliga från utvecklare, som ofta misslyckas med att ta den försiktighet som krävs för att säkra sin attackyta, säger Mark Loveless, en personalsäkerhetsingenjör på GitLab, en DevOps-plattformsleverantör.

"Många utvecklare ser inte på sig själva som mål eftersom de tror att den färdiga koden, slutresultatet, är vad angripare är ute efter", säger han. "Utvecklare tar ofta säkerhetsrisker - som att sätta upp testmiljöer hemma eller ta bort alla säkerhetskontroller - så att de kan testa nya saker, med avsikten att lägga till säkerhet senare."

Han tillägger, "Tyvärr blir dessa vanor replikerade och blir kultur."

Attacker mot mjukvaruförsörjningskedjan – och utvecklarna som producerar och distribuerar mjukvara – har vuxit snabbt under de senaste två åren. År 2021, till exempel, växte attacker som syftade till att äventyra utvecklarnas mjukvara – och komponenterna med öppen källkod som ofta används av utvecklare – med 650 %, enligt "2021 Tillstånd för "Programvaruförsörjningskedjan” rapport, publicerad av mjukvarusäkerhetsföretaget Sonatype.

Developer Pipelines & Collaboration in the Sights

Sammantaget hävdar säkerhetsexperter att den snabba takten i kontinuerlig integration och kontinuerliga distributionsmiljöer (CI/CD) som utgör grunden för DevOps-liknande tillvägagångssätt utgör betydande risker, eftersom de förbises ofta när det gäller att implementera skärpt säkerhet.

Slack, Teams och Zoom toppar de synkrona verktygen som används av professionella utvecklare. Källa: StackOverflow

Detta påverkar en mängd olika verktyg som används av utvecklare i deras ansträngningar att skapa effektivare pipelines. Slack, till exempel, är det mest populära synkrona samarbetsverktyget som används bland professionella utvecklare, med Microsoft Teams och Zoom som kommer på nära tvåa och trea, enligt undersökningen av StackOverflow Developer 2022. Dessutom använder mer än två tredjedelar av utvecklarna Docker och ytterligare en fjärdedel använder Kubernetes under utvecklingen, visade undersökningen.

Brott mot verktyg som Slack kan vara "otäcka", eftersom sådana verktyg ofta utför kritiska funktioner och vanligtvis bara har perimeterförsvar, säger Matthew Hodgson, VD och medgrundare av meddelandeplattformen Element, i ett uttalande som skickats till Dark Reading.

"Slack är inte end-to-end-krypterat, så det är som att angriparen har tillgång till företagets hela kunskap," sa han. "En riktig räv i hönshuset."

Beyond Misconfigs: Other Security Woes for Developers

Cyberattackare, det bör noteras, letar inte bara efter felkonfigurationer eller slapp säkerhet när det kommer till att gå efter utvecklare. År 2021, till exempel, en hotgrupps tillgång till Slack genom köp av en inloggningstoken på grå marknad ledde till ett brott mot speljätten Electronic Arts, vilket gjorde det möjligt för cyberbrottslingar att kopiera nästan 800 GB källkod och data från företaget. Och en 2020-undersökning av Docker-bilder fann det mer än hälften av de senaste byggen har kritiska sårbarheter som sätter alla program eller tjänster baserade på behållarna i fara.

Nätfiske och social ingenjörskonst är också plågor i sektorn. Bara den här veckan var utvecklare som använder två DevOps-tjänster – CircleCI och GitHub riktade mot nätfiskeattacker.

Och det finns inga bevis för att angriparna som riktade sig mot Rockstar Games utnyttjade en sårbarhet i Slack - bara påståendena från den påstådda angriparen. Istället var social ingenjörskonst ett sätt att kringgå säkerhetsåtgärder, sa en talesperson för Slack i ett uttalande.

"Säkerhet i företagsklass för identitets- och enhetshantering, dataskydd och informationsstyrning är inbyggd i varje aspekt av hur användare samarbetar och får arbete gjort i Slack," sa talespersonen och tillade: "Dessa [social ingenjörskonst] taktik blir allt mer vanligt och sofistikerat, och Slack rekommenderar alla kunder att tillämpa starka säkerhetsåtgärder för att skydda sina nätverk mot sociala ingenjörsattacker, inklusive utbildning i säkerhetsmedvetenhet.”

Långsamma säkerhetsförbättringar, mer arbete att göra

Utvecklare har bara långsamt accepterat säkerhet eftersom applikationssäkerhetsproffs kräver bättre kontroller. Många utvecklare fortsätt läcka "hemligheter" — inklusive lösenord och API-nycklar — i kod som skickas till förråd. Därför bör utvecklingsteam fokusera på att inte bara skydda sin kod och förhindra import av opålitliga komponenter utan också se till att de kritiska funktionerna i deras pipelines inte äventyras, säger GitLabs Loveless.

"Hela nollförtroendedelen, som vanligtvis handlar om att identifiera människor och sådana saker, det borde också finnas samma principer som ska gälla för din kod", säger han. "Så lita inte på koden; det måste kontrolleras. Att ha människor eller processer på plats som utgår från det värsta – jag kommer inte att lita på det automatiskt – särskilt när koden gör något kritiskt, som att bygga ett projekt.”

Dessutom använder många utvecklare fortfarande inte grundläggande åtgärder för att stärka autentiseringen, som att använda multifaktorautentisering (MFA). Det är dock förändringar på gång. I allt högre grad har de olika ekosystemen för mjukvarupaket med öppen källkod börjat kräver att stora projekt antar multifaktorautentisering.

När det gäller verktyg att fokusera på har Slack fått uppmärksamhet på grund av de senaste stora intrång, men utvecklare bör sträva efter en grundläggande nivå av säkerhetskontroll över alla sina verktyg, säger Loveless.

"Det finns ebb och flod, men det är vad som än fungerar för angriparna", säger han. "Att tala från min erfarenhet av att bära alla typer av hattar i olika färger, som angripare, letar du efter den enklaste vägen in, så om ett annat sätt blir lättare, då säger du, 'jag ska prova det först'."

GitLab har sett detta följa ledarens beteende i sina egna bug-bounty-program, säger Loveless.

"Vi ser när folk skickar in buggar, helt plötsligt kommer något - en ny teknik - att bli populärt, och en hel rad med bidrag från den tekniken kommer att komma in", säger han. "De kommer definitivt i vågor."

Generativ dataintelligens

Apputvecklare blir alltmer riktade via Slack, DevOps-verktyg

Developer Pipelines & Collaboration in the Sights

Beyond Misconfigs: Other Security Woes for Developers

Långsamma säkerhetsförbättringar, mer arbete att göra

Lämnar bakom Bitcoin-sekterism

Justin Sun avslöjar det perfekta receptet för en kryptomarknadsboom – CryptoInfoNet

Senaste intelligens

"A Bright Spring Day" av Grant Yun: Exploring Digital Art On Solana | NFT och Web3 Culture News – CryptoInfoNet

Topp-5 jurisdiktioner för att erhålla Forex-licens

Effekten av AI på industrins framsteg

Euron kantar högre, ECB blickar ned i juni – MarketPulse

Bitcoin Ordinals Dev delar tips för att bryta runor under halveringen – utan att få Rekt – Dekryptera

Förgyllning av ditt företag: 5 solenergimarknadsföringsstrategier för att få ditt företag att växa. Grunderna i solarmarknadsföringsstrategier

Chatta med oss