Estos hallazgos marcan un asombroso aumento del 1300 % en paquetes maliciosos desde 2020 y un aumento del 28 % con respecto a 2022, cuando se detectaron poco más de 8700 paquetes maliciosos.
“A lo largo de los años, hemos monitoreado de cerca el aumento de la exposición y los ataques a la cadena de suministro de software. Este nuevo informe refleja la proliferación de malware en plataformas comerciales y de código abierto”, dijo Mario Vuksan , director ejecutivo de ReversingLabs. “Las empresas que dependen únicamente de la seguridad de sus aplicaciones heredadas seguirán siendo víctimas. De hecho, esperamos ver un riesgo material continuo para el proceso de desarrollo de software, y ese riesgo y los procesos de escalada se convertirán en un foco crítico para los reguladores”.
Disminución significativa de paquetes npm maliciosos
Un aumento anual del 400 % en las amenazas en la plataforma PyPI, con más de 7.000 instancias de paquetes PyPI maliciosos descubiertos en los primeros tres trimestres de 2023. La gran mayoría de ellos fueron clasificados como “ladrones de información”. Más de 40.000 instancias de secretos de desarrollo filtrados o expuestos en los principales administradores de paquetes (npm, PyPI y RubyGems).
Las instancias de paquetes npm maliciosos en los primeros tres trimestres de 2023 disminuyeron un 43% en comparación con los paquetes npm maliciosos identificados en todo 2022.
En los últimos 12 meses también se han visto ataques a la cadena de suministro de software que han reducido la complejidad y han aumentado la accesibilidad. Los datos recopilados por ReversingLabs muestran que la barrera de entrada de ataques a la cadena de suministro ha ido bajando de forma constante en el último año, y todo indica que seguirá haciéndolo en 2024.
Los ataques a la cadena de suministro de software ya no son solo dominio de los actores estatales, sino que los perpetran cada vez más ciberdelincuentes poco capacitados, como lo demuestra el uso de paquetes de código abierto para respaldar campañas de phishing de productos básicos que ofrecen ataques automatizados llave en mano utilizados para facilitar el robo de datos de la víctima. Los actores de amenazas han reconocido cómo aprovechar los eslabones débiles de la cadena de suministro de software para respaldar campañas tanto dirigidas como indiscriminadas.
Los secretos expuestos siguen siendo un gran desafío
La exposición de credenciales de autenticación digital («secretos»), como credenciales de inicio de sesión, tokens API y claves de cifrado, es un objetivo importante para los actores maliciosos y fue un desafío importante en 2023. A través de análisis periódicos de plataformas, incluidas npm, PyPI, RubyGems, y NuGet, ReversingLabs descubrió que las filtraciones secretas continúan afectando a aplicaciones y plataformas de alojamiento populares como Slack, AWS, Google, el repositorio GitHub de Microsoft y la nube Azure.
Npm representó el 77%, o 31.000, de los más de 40.000 secretos detectados en estas cuatro plataformas de código abierto. De los secretos detectados en npm, el 56% se utilizó para acceder a los servicios de Google, en comparación con el 9% atribuido a los servicios en la nube AWS de Amazon.
La investigación identificó un patrón similar en PyPI, que representó el 18% de los secretos filtrados observados en 2023. En estos casos, los tokens utilizados para acceder a los servicios de Google representaron poco más del 24% de los secretos detectados. Los secretos relacionados con AWS representaron alrededor del 14% del total descubierto en PyPI.
Aumento previsto de ataques a la cadena de suministro de software
El terreno cambiante del riesgo de la cadena de suministro de software que caracterizó 2023 seguirá alterando el panorama de la ciberseguridad en 2024, indica la investigación de ReversingLabs. Las amenazas y los ataques dirigidos a códigos abiertos y comerciales de terceros seguirán creciendo, incluso a medida que evolucionen los métodos y preferencias de los actores maliciosos de la cadena de suministro.
Se puede esperar que tanto los ciberdelincuentes como los piratas informáticos de los Estados-nación graviten hacia las plataformas y técnicas que tienen más probabilidades de tener éxito. Y a raíz de ataques de alto perfil, los productores de software y las organizaciones de usuarios finales deberían esperar ver un listón alto y continuo de requisitos de divulgación, así como una orientación más específica por parte del gobierno federal, incluido el uso de SBOM para proteger la cadena de suministro de software.
“Al carecer de suficiente visibilidad, los productores de software y sus clientes no logran detectar signos de manipulación y abuso de código dentro de los procesos de desarrollo o amenazas ocultas en artefactos de software compilados. En 2024, esperamos que los ataques a la cadena de suministro de software aumenten si las organizaciones no abordan la amenaza”, añadió Vuksan.
“Las empresas deben pasar de una confianza ciega en la integridad del software a herramientas y procesos probados que puedan verificar el software y garantizar que esté libre de riesgos materiales. Esto incluye la capacidad de escanear código sin formato y archivos binarios compilados en cualquier software que creen o compren en busca de comportamientos y cambios inexplicables que puedan indicar casos de malware y manipulación”.
Fuente y redacción: helpnetsecurity.com