Checkmarx, un proveedor de una plataforma para probar la seguridad de las aplicaciones, reveló esta semana que descubrió una instancia maliciosa de un repositorio PyPi para código Python que se ha descargado más de 70,000 veces.
Tzachi Zorenshtain, jefe de seguridad de la cadena de suministro, dijo que este descubrimiento representa otro caso en el que los ciberdelincuentes han puesto a disposición una copia maliciosa de un popular paquete de software de código abierto que contiene malware destinado a encontrar su camino hacia las aplicaciones posteriores. Los ciberdelincuentes, a través de una táctica conocida como starjacking, crean una página web que incluye estadísticas falsas, como estrellas de GitHub, para que parezca que un paquete de software que un desarrollador podría descargar es de un proyecto legítimo de código abierto, señaló.
Los ciberdelincuentes están combinando el starjacking con el typosquatting para configurar páginas web para imitar un proyecto legítimo de código abierto, señaló Zorenshtain.
Starjacking representa otro esfuerzo más para comprometer la integridad de las cadenas de suministro de software que dependen de una amplia gama de componentes de software de código abierto para crear aplicaciones. La única manera de frustrar el starjacking es que los desarrolladores o los equipos de DevOps validen los componentes antes de incorporarlos en las aplicaciones, señaló Zorenshtain. De lo contrario, es posible que el malware solo se descubra después de que ya haya llegado a las aplicaciones posteriores implementadas en un entorno de producción.
El desafío, por supuesto, es recordar tomarse el tiempo para validar la fuente de cualquier componente de software. Los desarrolladores que normalmente intentan crear aplicaciones lo más rápido posible no siempre se detienen para asegurarse de que todos los componentes que emplean provengan de una fuente legítima.
No está claro cuán omnipresentes han llegado a ser los sitios falsos a través de los cuales se alienta a los desarrolladores a descargar software malicioso. Sin embargo, a medida que los ciberdelincuentes amplían sus esfuerzos para comprometer las cadenas de suministro de software, está claro que sus tácticas están evolucionando para explotar la confianza que los desarrolladores tienen en el software de código abierto. No es probable que estos ataques interrumpan el ecosistema de código abierto, pero agregan una urgencia adicional para hacer que el software de código abierto sea más seguro.
La Open Source Security Foundation (OpenSSF), un brazo de la Linux Foundation, ha recaudado más de $10 millones para crear herramientas y definir las mejores prácticas para proteger los proyectos de software de código abierto. Google se ha comprometido a gastar $ 10 mil millones en última instancia para mejorar la seguridad de código abierto. La administración Biden también ha hecho de la mejora de la seguridad del software de código abierto que se emplea ampliamente tanto dentro como fuera de las agencias gubernamentales una prioridad al expandir los mandatos de cumplimiento. La Casa Blanca también está claramente tratando de presionar a los proveedores de TI y las empresas más grandes para que contribuyan más al esfuerzo por proteger el software de código abierto.
El problema es que muchos proyectos de código abierto son mantenidos por un pequeño número de programadores que contribuyen con su tiempo y esfuerzo para construir componentes que otros pueden usar libremente. Muchos de ellos argumentan que la responsabilidad de asegurarse de que el software sea seguro recae en las organizaciones que deciden implementar ese software. Tampoco es su responsabilidad rastrear a los ciberdelincuentes que emplean técnicas de Typosquatting para distribuir versiones maliciosas de su software.
Desafortunadamente, muchos de los proveedores de TI y las organizaciones de TI de grandes empresas que confían en ese código no están contribuyendo con nada significativo al proyecto, ya sea en términos de financiamiento o simplemente ayudando a los mantenedores de código abierto a encontrar y remediar vulnerabilidades. Muchas de esas mismas organizaciones, sin embargo, ahora también están evaluando si el software de código abierto que emplean es, desde una perspectiva de seguridad, realmente sostenible en ausencia de esas contribuciones. Como resultado, ahora puede ser solo cuestión de tiempo antes de que un problema de seguridad de software de código abierto que lleva mucho tiempo hirviendo a fuego lento se convierta en una gran crisis de confianza.
Fuente: devops | somoslibres
