2023/10/16 14:41:43

Репозитории открытого ПО


Содержание

Хроника

2023

В популярных репозиториях открытого ПО нашли 20 тыс. опасных пакетов

В наиболее популярных в мире репозиториях программного обеспечения с открытыми исходниками (Open Source) насчитывается более 20 тыс. опасных пакетов. Об этом в «Лаборатории Касперского» сообщили 16 октября 2023 года.

По данным антивирусной компании, в специализированной базе данных Kaspersky Open Source Software Threats Data Feed содержится информация о 42 тыс. уязвимостей в более чем 10 тыс. пакетов, а также 11 тысячах вредоносных или потенциально опасных пакетов.

В наиболее популярных репозиториях открытого ПО насчитывается более 20 тыс. опасных пакетов

Из всех обнаруженных уязвимостей самая большая доля (29%) пришлась на те, что могут привести к обходу ограничений систем безопасности. На втором месте с показателем 22% идут уязвимости, которые потенциально могут вызвать отказ в обслуживании. Следом расположились уязвимости, позволяющие выполнять на устройствах произвольный код.

Далее идут такие уязвимости, как подмена пользовательского интерфейса (7%), повышение уровня привилегий (6%), кража конфиденциальной информации (6%), и вредоносное ПО (6%). Оставшиеся 12% между собой распределили более малые группы проблем.

Из всех обнаруженных уязвимостей специалисты «Лаборатории Касперского» 43% классифицировали как угрозы с высоким уровнем опасности, еще 11% – как угрозы с критическим уровнем опасности. Для сравнения: аналитический срез в декабре 2022 года показал 35% угроз с высоким уровнем опасности и около 10% с критическим. То есть за 10 месяцев 2023 года доля уязвимостей с высоким уровни опасности выросла на 8%.

Как утверждают эксперты, большая часть обнаруженных уязвимостей может привести к обходу систем безопасности, отказу в обслуживании или даже выполнению произвольного кода на устройствах пользователей. Для проверки ПО на основе открытого исходного кода на наличие уязвимостей и вредоносных закладок «Лаборатория Касперского» рекомендовала российским компаниям использовать специальные инструменты, которые предлагают отечественные и иностранные ИБ-вендоры.[1]

Запущен глобальный открытый репозиторий корпоративных Linux-решений

10 августа 2023 года компании CIQ, Oracle и Suse сообщили о формировании совместной торговой ассоциации Open Enterprise Linux Association (OpenELA), главной задачей которой названо создание общественного репозитория корпоративных Linux-решений. Подробнее здесь.

2022: Репозитории открытого ПО наводнены десятками тысяч вредоносных пакетов

14 декабря 2022 года компании Checkmarx и Illustria обнародовали результаты совместного исследования, которое говорит о том, что репозитории программного обеспечения (ПО) с открытым исходным кодом наводнены вредоносными пакетами.

Специалисты в области кибербезопасности обнаружили в NuGet, NPM и PyPi более 144 тыс. потенциально опасных пакетов. Говорится, что их описания содержат ссылки на фишинговые страницы, которые могут использоваться злоумышленниками для организации различных мошеннических схем, в том числе с целью кражи денег или получения регистрационных данных (логинов и паролей).

Кампания по распространению фишинговых пакетов была обнаружена аналитиками из Checkmarx и Illustria

Дальнейшее расследование показало, что для публикации вредоносных модулей, по всей видимости, применялись инструменты автоматизации. Дело в том, что пакеты загружались с аккаунтов, использующих шаблонную схему обозначения вида «<a-z><1900-2022>». Причём многие из таких «пользователей» опубликовали идентичное количество пакетов. Злоумышленники распространяли вредоносные модули под названиями, связанными со взломом, читами, а также теми или иными бесплатными ресурсами. Например, некоторые пакеты именовались как «free-steam-codes-generator», «yalla-ludo-diamond-hack», «a3-still-alive-hack-diamonds» и «project-makeover-hack-gems». Тем самым злоумышленники завлекали жертв, чтобы в конечном итоге вынудить их посетить фишинговый сайт.

В общей сложности обнаружены 144 294 вредоносных пакета. Из них 136 258 размещены на платформе NuGet, 212 — на NPM и 7824 — на PyPi. Фишинговая кампания связана с более чем 65 тыс. уникальных адресов электронных ресурсов (URL) в 90 доменах. Веб-страницы, размещённые киберпреступниками, весьма тщательно проработаны и в некоторых случаях даже включают поддельные интерактивные чаты, ведение диалогов в которых автоматизировано.[2]Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 2.4 т

Примечания

  1. На текущий момент в популярных репозиториях выявлено более 20 тысяч потенциально опасных пакетов с открытым исходным кодом
  2. HOW 140K NUGET, NPM, AND PYPI PACKAGES WERE USED TO SPREAD PHISHING LINKS
Источник — «https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A0%D0%B5%D0%BF%D0%BE%D0%B7%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%B8_%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D0%BE%D0%B3%D0%BE_%D0%9F%D0%9E»

Править
В России запускается нацпроект «Новые технологии сбережения здоровья» для разработки медизделий
Американский медхолдинг Change Healthcare выплатил $22 млн хакерам-вымогателям, чтобы не допустить утечку данных пациентов
Nestle добавляет «нездоровый» объем сахара в продукты, чтобы подсаживать детей на сладкое
Минздрав РФ за 486 млн рублей закупает серверы для Центра обработки медицинских данных
Конференция «ИТ в ритейле» состоится 28 мая в рамках Tadviser SummIT
Суд приговорил экс-главу Merlion к 22 годам лишения свободы
Серверное оборудование стандарта OCP от OpenYard: опыт ИТ-гигантов для российского рынка
Как команда технического пресейла помогает клиентам получать лучший результат за свой бюджет. Опыт 65apps
Конференция «Информационная безопасность 2024» состоится 28 мая
Конференция «ИТ в банках 2024» состоится 28 мая
Конференция «ИТ в промышленности 2024» состоится 28 мая
«Группа Астра» разрослась до двух десятков компаний. Ключевые активы экосистемы
TATLIN.BACKUP: российская СХД для резервного копирования
Как исключить незапланированные расходы при выборе и внедрении BI-системы
Евгений Титов, «Фитконсалтинг»: Мы идем решать проблемы розничного бизнеса в сегменте СМБ, однозначно понимая их
AUXO: Решение F.A.C.C.T. Attack Surface Management особенно актуально для Enterprise-компаний
Зачем бизнес переводит кибербез в облака
Антон Балагаев, Arenadata: Нужно освоиться и использовать облака тогда, когда это оправдано
Искусственный интеллект для служб поддержки от AutoFAQ
Быстрее, больше, мощнее: построение высоконагруженных систем на базе «Форсайт. Аналитическая платформа»
Александр Егоркин, Газпромбанк: Если мы немедленно проведем импортозамещение, бизнес-процессы встанут
Рынок заказной разработки ПО в России: особенности, перспективы, крупнейшие участники. Обзор TAdviser
Российский рынок видеоконференцсвязи: оценки, драйверы, крупнейшие участники. Обзор TAdviser
28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT
Российский рынок BI-систем: оценки, перспективы, крупнейшие вендоры и интеграторы. Обзор TAdviser
Российский рынок СЭД/ECM борется с демпингом и рассчитывает на возможности искусственного интеллекта. Обзор и рейтинг TAdviser