Et Microsoft-pakkeangreb har skabt ny bekymring om sikkerheden i softwareforsyningskæden, efter at forskere opdagede malware, der stjæler loginoplysninger, i dusinvis af virksomhedens open source-projekter. Hændelsen påvirkede projekter på GitHub og udsatte udviklere for malware, som kunne indsamle adgangskoder, autentificeringstokens, API-nøgler og andre følsomme oplysninger.
Angriberne gik efter betroede softwarepakker, som mange udviklere bruger i deres daglige arbejde. Fordi de kompromitterede projekter bar Microsofts navn og gyldige kryptografiske signaturer, havde udviklerne få grunde til at mistænke, at koden indeholdt malware.
GitHub fjernede dusinvis af projekter
Hændelsen kom frem i lyset, efter at GitHub deaktiverede 73 projekter på tværs af flere Microsoft-ejede GitHub-organisationer. Tiltaget blev gennemført hurtigt og påvirkede projekter relateret til Azure, Microsoft, Azure-Samples og MicrosoftDocs.
I første omgang oplyste GitHub, at projekterne overtrådte platformens vilkår for brug. Microsoft bekræftede senere, at angribere havde indsat malware, der stjæler loginoplysninger, i flere open source-pakker, som fandtes i de berørte projekter.
Sikkerhedsforskere bemærkede, at pakkerne fremstod legitime, fordi Microsoft havde signeret dem kryptografisk. Denne tillid gjorde det muligt for den skadelige kode at blande sig med normale udviklingsværktøjer og øgede sandsynligheden for, at udviklere installerede de inficerede pakker uden mistanke.
Malwaren gik efter udviklernes hemmeligheder
Forskerne fandt ud af, at malwaren fokuserede på at indsamle værdifulde oplysninger, der var lagret på udviklernes systemer. Programmet søgte efter adgangskoder, autentificeringstokens, API-nøgler og andre hemmeligheder, som angribere kan bruge til at få adgang til cloudtjenester, udviklingsplatforme og virksomhedsmiljøer.
Efterforskerne rapporterede, at malwaren blev aktiveret, når udviklere åbnede bestemte AI-baserede kodeværktøjer, der var forbundet med de kompromitterede pakker. Når den blev aktiveret, forsøgte programmet at indsamle følsomme oplysninger og sende dem videre til angribernes infrastruktur.
Angrebet viser en voksende tendens, hvor cyberkriminelle retter sig mod udviklere frem for traditionelle slutbrugere. Et vellykket kompromis kan give adgang til softwarepipelines, cloudmiljøer og interne virksomhedssystemer.
Trusler mod forsyningskæden fortsætter med at vokse
Angreb mod softwareforsyningskæder er blevet en af de mest effektive metoder til at ramme mange organisationer samtidig. I stedet for at angribe hvert enkelt mål direkte kompromitterer trusselsaktører betroede softwarekomponenter, som virksomheder allerede anvender.
Denne metode gør det muligt at sprede malware gennem legitime kanaler, samtidig med at angriberne undgår mange traditionelle sikkerhedskontroller. Udviklere stoler ofte på signerede pakker og officielle projekter, hvilket gør det vanskeligt at opdage skadelige opdateringer før installation.
Flere hændelser i open source-økosystemer har vist, hvor hurtigt angribere kan sprede malware, når de får kontrol over betroede projekter. Sikkerhedsforskere har gentagne gange advaret om, at softwareforsyningskæder er attraktive mål, fordi ét enkelt kompromis kan skabe risici for tusindvis af organisationer.
Udviklere står over for stigende risici
Den seneste hændelse fungerer som endnu en påmindelse om, at udviklere er blevet attraktive mål for cyberkriminelle. Moderne udviklingsmiljøer indeholder adgangstokens, cloud-legitimationsoplysninger, deploymentsnøgler og kodearkiver, som kan give angribere betydelige muligheder for at bevæge sig videre i en organisation.
Organisationer bør gennemgå deres sikkerhedsprocedurer for udvikling, overvåge projekter for usædvanlig aktivitet og udskifte legitimationsoplysninger, som kan være blevet eksponeret under hændelsen. Sikkerhedsteams bør også verificere integriteten af softwareafhængigheder og opretholde stærke kontroller omkring privilegeret adgang.
Selvom Microsoft og GitHub reagerede hurtigt og lukkede de berørte projekter, viser angrebet, hvordan betroet software kan blive et effektivt leveringsmiddel for angribere, når de lykkes med at infiltrere udviklingsøkosystemet.
Konklusion
Microsoft-pakkeangrebet udsatte udviklere for malware, der stjæler loginoplysninger, ved at skjule sig i betroede open source-projekter. Angriberne udnyttede Microsofts omdømme og signerede pakker for at øge sandsynligheden for vellykkede infektioner og indsamle følsomme oplysninger.
Hændelsen understreger den voksende trussel fra angreb mod softwareforsyningskæder og vigtigheden af at beskytte udviklingsmiljøer. Efterhånden som angribere fortsætter med at målrette betroede softwareøkosystemer, bør organisationer styrke overvågning, håndtering af legitimationsoplysninger og sikkerheden omkring softwareafhængigheder for at reducere risikoen for fremtidige kompromitteringer.
0 svar til “Microsoft-pakkeangreb afslører udvikleres loginoplysninger”