Araştırmacılar, depoları görünmez kod içeren kötü amaçlı paketlerle dolduran bir tedarik zinciri saldırısı keşfettiklerini söylüyorlar; bu teknik, bu tür tehditleri tespit etmek için tasarlanmış geleneksel savunmaları şaşkına çeviriyor.
Aikido Security firmasından araştırmacılar,Cuma dedi3 Mart'tan 9 Mart'a kadar GitHub'a yüklenen 151 kötü amaçlı paket bulduklarını söyledi. Bu tür tedarik zinciri saldırıları şu ülkelerde yaygındı:neredeyseAon yıl. Genellikle, yaygın olarak kullanılan kod kitaplıklarına çok benzeyen kod ve adlara sahip kötü amaçlı paketler yükleyerek çalışırlar ve geliştiricileri yanlışlıkla ilkini yazılımlarına dahil etmeleri için kandırmak amacıyla çalışırlar. Bazı durumlarda bu zararlı paketler binlerce kez indirilmektedir.
Savunmalar hiçbir şey görmüyor. Kod çözücüler çalıştırılabilir kodu görür
Aikido'nun bu ay bulduğu paketler daha yeni bir tekniği benimsedi: neredeyse tüm editörlere, terminallere ve kod inceleme arayüzlerine yüklendiğinde görünmeyen kodun seçici kullanımı. Kodun çoğu normal, okunabilir biçimde görünse de, kötü niyetli işlevler ve yükler (kötülüğün olağan belirtileri) insan gözüyle görülemeyen unicode karakterlerle işleniyor. Aikido'nun söylediği taktikilk görüldügeçen yıl, manuel kod incelemelerini ve diğer geleneksel savunmaları neredeyse işe yaramaz hale getirdi. Bu saldırılarda etkilenen diğer depolar arasında NPM ve Open VSX yer alıyor.
