Il rapporto sulle minacce malware open source 2024 di Sonatype evidenzia una preoccupante crescita dei pacchetti dannosi, che hanno superato quota 778.500 dall’inizio del monitoraggio nel 2019. Gli autori delle minacce stanno sfruttando sempre più pacchetti open source per colpire gli sviluppatori, approfittando della crescente adozione di strumenti open source da parte delle aziende per creare modelli di intelligenza artificiale personalizzati.
Ecosistemi vulnerabili
Il malware open source prospera in ambienti caratterizzati da:
- Basse barriere d’ingresso
- Assenza di verifica degli autori
- Elevato utilizzo e una vasta gamma di utenti
Piattaforme come npm e PyPI, che gestiscono trilioni di richieste di pacchetti ogni anno, offrono agli aggressori opportunità ideali per infiltrarsi nella supply chain del software. Le tattiche includono:
Compromettere pacchetti popolari
Imitare pacchetti legittimi
Prendere il controllo degli account dei manutentori per riconfezionare il malware
Gli aggressori spesso rilasciano versioni con numeri più alti per ingannare i sistemi di build e far entrare i componenti infetti nelle pipeline CI/CD.
Dati chiave sul malware open source
- Npm rappresenta il 98,5% dei pacchetti dannosi rilevati: l’aumento del 70% delle richieste di download nell’ecosistema JavaScript, attribuito in gran parte all’IA e allo spam, insieme alla scarsa verifica dei nuovi pacchetti, rende questa piattaforma il bersaglio principale.
- Le PUA (Applicazioni Potenzialmente Indesiderate) costituiscono il 64,75% del malware open source: queste includono spyware, adware o strumenti di tracciamento che compromettono la sicurezza e la privacy.
ltri tipi di malware rilevati:
- Holding di sicurezza: 24,2%
- Esfiltrazione di dati: 7,86%
- Download ombra in aumento del 32,8%: sempre più malware viene scaricato direttamente sui dispositivi degli sviluppatori, bypassando le policy dei repository e i controlli di sicurezza.
“Gli sviluppatori sono diventati il bersaglio principale per la prossima generazione di attacchi alla supply chain del software”, afferma Brian Fox, CTO di Sonatype.
“Il malware open source è particolarmente insidioso: si posiziona tra le soluzioni endpoint, che spesso non riescono a rilevarlo, e le analisi di vulnerabilità tradizionali. Trattare il malware open source come una semplice vulnerabilità nel codice e attendere di rilevarlo durante le scansioni è un errore. Le organizzazioni devono adottare un approccio proattivo, bloccando il consumo di pacchetti dannosi prima che entrino nelle pipeline di sviluppo”.
