Количество атак с использованием открытого вредоносного ПО выросло на 140% в третьем квартале 2023 года. Согласно данным индекса OS Malware Index компании Sonatype, злоумышленники активизировали целевые кампании против репозиториев npm, включая атаки на пакеты chalk и debug, а также кампанию Shai-Hulud. Рост демонстрирует стратегический сдвиг в сторону эксплуатации доверенных зависимостей в цепочках поставок программного обеспечения.
Индекс OS Malware Index компании Sonatype зафиксировал рекордный рост количества сложных атак, ориентированных на скрытность. Ключевыми драйверами этой тенденции стали масштабные кампании, нацеленные на экосистему npm. Среди них выделяются атаки на популярные пакеты chalk и debug, в рамках которых злоумышленники осуществляли подмену легитимных библиотек. Дополнительный вклад в статистику внесла длительная кампания Shai-Hulud, характеризующаяся сложными методами обфускации и устойчивости.
Увеличение числа инцидентов безопасности в открытом программном обеспечении создает прямые операционные и финансовые риски для компаний, использующих подобные зависимости в своих разработках и инфраструктуре. Регулярные компрометации пакетов в ключевых репозиториях подрывают доверие к механизмам управления зависимостями. Ожидается, что данный тренд сохранит актуальность, что потребует от организаций усиления мер по мониторингу цепочек поставок и внедрению более строгих практик безопасности на протяжении всего жизненного цикла разработки.