افزایش ۶۵۰ درصدی حملات زنجیره تامین نرم افزار در سال جدید

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir supply chain attacks surge 650 in a year 1

به گفته محققان Sonatype، تقاضای سیری ناپذیر جهانی برای پکیج‌های کد متن باز منجر به افزایش سه رقمی سالانه حملات زنجیره تامین نرم‌افزار در سطوح بالادستی شده است.

این مجموعه متخصص مدیریت زنجیره تامین گزارش ۲۰۲۱ وضعیت زنجیره تامین نرم‌افزار خود را از داده‌های عمومی و اختصاصی تهیه کرده است.

این گزارش ادعا کرده است که توسعه‌دهندگان جهانی بیش از ۲/۲ تریلیون پکیج متن باز یا اجزای آن را از اکوسیستم‌های شخص ثالث به قرض می‌گیرند تا بازه زمانی عرضه به بازار تسریع شود. این موارد شامل جاوای بارگیری شده از repository مرکزی Maven، پکیج‌های پایتون بارگیری شده از PyPi، جاوا اسکریپت از npmjs و پکیج‌های. NET NuGet می‌باشد.

این پکیج‌های کد به اشتراک‌گذاری شده اغلب شامل آسیب‌پذیری‌های افشا شده عمومی هستند که عاملان تهدید می‌توانند از آن‌ها سواستفاده کنند. با این حال، Sonatype هشدار داد که با این وجود مجرمان سایبری به طور فزاینده‌ای د حال فعال‌تر شدن هستند.

این گزارش همچنین بیان کرد: "حملات زنجیره تامین نرم‌افزار نسل بعدی بسیار خطرناک‌تر هستند، زیرا مهاجمان دیگر منتظر افشای آسیب‌پذیری عمومی برای پیگیری آن نقص و سواستفاده از آن نیستند. در عوض، آن‌ها ابتکار عمل را به دست گرفته و آسیب‌پذیری‌های جدیدی را به پروژه‌های متن باز تزریق می‌کنند که زنجیره تامین جهانی را تغذیه می‌کند و سپس از این آسیب‌پذیری‌ها در زمان قبل از کشف آن‌ها استفاده می‌کنند".

ای گزارش می‌افزاید: "با تغییر حملات خود به سطوح «بالادستی»، مهاجمان می‌توانند اهرم فشار و مزیت مهمی مانند زمان را که به بدافزار‌ها اجازه می‌دهد در سراسر زنجیره تأمین گسترش یابند، به دست آورند و حملات با امکان تغییر مقیاس به کاربران «پایین دست» را ممکن سازند″.

سوناتایپ همچنین اعلام کرد که چنین حملاتی به نرخ سرسام‌آور سالانه ۶۵۰ درصد افزایش یافته است، در حالی که سال گذشته این مقدار حدود ۴۳۰ درصد بود.

بین فوریه سال ۲۰۱۵ تا ژوئن سال ۲۰۱۹، ۲۱۶ مورد از این گونه حملات طی چهار سال شناسایی شد. با این حال، این رقم تنها در یک سال (جولای سال ۲۰۱۹ تا می‌سال ۲۰۲۰) به ۹۲۹ مورد رسیده است. این تعداد در سال گذشته به رقم بسیار بزرگ و قابل توجه ۱۲۰۰۰ هدف رسید!

مت هوارد از Sonatype نیز بیان کرد: "ما اکنون می‌دانیم که پروژه‌های محبوب دارای آسیب‌پذیری‌های بیشتری و بزرگتری هستند".

"این واقعیت تلخ، هم مسئولیت و هم فرصت مهمی را برای سردمداران و پیشروان مهندسی برای اتوماسیون هوشمند برجسته می‌کند، تا که بتوانند بهترین تأمین‌کنندگان متن باز را استانداردسازی کنند و همزمان به توسعه‌دهندگان کمک کنند تا لایبرری‌های شخص ثالث را با نسخه‌های بهینه‌سازی شده، تازه و به روز نگه دارند″.

برچسب ها: حملات زنجیره تامین, npmjs, Maven, پکیج, پایتون, Sonatype, PyPI, Python, Open Source, Supply Chain Attack, جاوا اسکریپت, cybersecurity, Java Script, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ