En Microsoft-paketattack har väckt nya frågor kring säkerheten i mjukvaruleveranskedjan efter att forskare upptäckte skadlig kod som stjäl inloggningsuppgifter i dussintals av företagets projekt med öppen källkod. Incidenten påverkade projekt som låg på GitHub och exponerade utvecklare för skadlig kod som kunde samla in lösenord, autentiseringstoken, API-nycklar och andra känsliga uppgifter.
Angriparna riktade in sig på betrodda mjukvarupaket som många utvecklare använder i sitt dagliga arbete. Eftersom de komprometterade projekten bar Microsofts namn och giltiga kryptografiska signaturer hade utvecklarna få skäl att misstänka att koden innehöll skadlig programvara.
GitHub tog bort dussintals projekt
Incidenten blev känd efter att GitHub inaktiverade 73 projekt i flera Microsoft-ägda GitHub-organisationer. Åtgärden genomfördes snabbt och påverkade projekt kopplade till Azure, Microsoft, Azure-Samples och MicrosoftDocs.
Inledningsvis uppgav GitHub att projekten bröt mot plattformens användarvillkor. Microsoft bekräftade senare att angripare hade placerat skadlig kod som stjäl inloggningsuppgifter i flera paket med öppen källkod som fanns i de berörda projekten.
Säkerhetsforskare konstaterade att paketen såg legitima ut eftersom Microsoft hade signerat dem kryptografiskt. Det förtroendet gjorde att den skadliga koden smälte in i normala utvecklingsmiljöer och ökade sannolikheten för att utvecklare skulle installera de infekterade paketen utan misstankar.
Skadlig kod riktade in sig på utvecklares hemligheter
Forskarna upptäckte att den skadliga koden fokuserade på att samla in värdefulla uppgifter som fanns lagrade på utvecklarnas system. Programvaran sökte efter lösenord, autentiseringstoken, API-nycklar och andra hemligheter som angripare kan använda för att få tillgång till molntjänster, utvecklingsplattformar och företagsmiljöer.
Utredarna rapporterade att den skadliga koden aktiverades när utvecklare öppnade vissa AI-baserade kodverktyg som var kopplade till de komprometterade paketen. Efter aktivering försökte programvaran samla in känslig information och skicka den vidare till angriparnas infrastruktur.
Attacken visar en växande trend där cyberkriminella riktar in sig på utvecklare i stället för traditionella slutanvändare. Ett lyckat intrång kan ge åtkomst till mjukvarupipelines, molnmiljöer och interna företagssystem.
Hoten mot leveranskedjan fortsätter att öka
Attacker mot mjukvaruleveranskedjor har blivit en av de mest effektiva metoderna för att drabba många organisationer samtidigt. I stället för att angripa varje mål direkt komprometterar hotaktörer betrodda programvarukomponenter som företag redan använder.
Den här metoden gör det möjligt att sprida skadlig kod via legitima kanaler samtidigt som angriparna undviker många traditionella säkerhetskontroller. Utvecklare litar ofta på signerade paket och officiella projekt, vilket gör det svårt att upptäcka skadliga uppdateringar innan installation.
Flera incidenter inom ekosystem för öppen källkod har visat hur snabbt angripare kan sprida skadlig kod när de får kontroll över betrodda projekt. Säkerhetsforskare har länge varnat för att mjukvaruleveranskedjor är attraktiva mål eftersom ett enda intrång kan skapa risker för tusentals organisationer.
Utvecklare möter växande risker
Den senaste incidenten fungerar som ännu en påminnelse om att utvecklare har blivit attraktiva mål för cyberkriminella. Moderna utvecklingsmiljöer innehåller åtkomsttoken, molnuppgifter, distributionsnycklar och kodarkiv som kan ge angripare stora möjligheter att röra sig vidare i en organisation.
Organisationer bör se över sina säkerhetsrutiner för utveckling, övervaka projekt för ovanlig aktivitet och byta ut autentiseringsuppgifter som kan ha exponerats under incidenten. Säkerhetsteam bör också verifiera integriteten hos programvaruberoenden och upprätthålla starka kontroller kring privilegierad åtkomst.
Även om Microsoft och GitHub agerade snabbt för att stänga ned de berörda projekten visar attacken hur betrodd programvara kan bli ett kraftfullt verktyg för angripare när de lyckas infiltrera utvecklingsekosystemet.
Slutsats
Microsoft-paketattacken exponerade utvecklare för skadlig kod som stjäl inloggningsuppgifter genom att gömma sig i betrodda projekt med öppen källkod. Angriparna utnyttjade Microsofts rykte och signerade paket för att öka sannolikheten för lyckade infektioner och samla in känsliga uppgifter.
Incidenten understryker det växande hotet från attacker mot mjukvaruleveranskedjor och vikten av att skydda utvecklingsmiljöer. När angripare fortsätter att rikta in sig på betrodda mjukvaruekosystem behöver organisationer stärka övervakning, hantering av autentiseringsuppgifter och säkerheten kring programvaruberoenden för att minska risken för framtida intrång.
0 svar till ”Microsoft-paketattack exponerar utvecklares inloggningsuppgifter”