Всем привет! Давайте сегодня поговорим о важной теме — что делать, если другие open-source проекты не успели защититься и уже оказались взломаны? Как нам действовать в такой ситуации? У нас для этого в Security Gate появилось два сервиса, и сегодня я расскажу о них подробно. 👉 Первый — это SG Malware Protector. Важно понимать разницу между обычной уязвимостью и malware. Уязвимость — это ошибка в коде, которую можно использовать. Malware — это целенаправленное вредоносное действие. Его встраивают в зависимости для кражи данных, создания бэкдоров или шифрования файлов. Такая угроза может пройти весь путь от компьютера разработчика до продакшена. В случае, если вы используете проксирующий сервис – то malware зависимость останется в ней, даже после удаления из публичного регистра. 🔹В этом году было несколько заметных атак. Одна из них — Shai Hulud, червь для кражи секретов. Злоумышленники скомпрометировали популярные библиотеки, встроив в их код вредоносный компонент червя, который с помощью сканера секретов TruffleHog извлекал секреты и публиковал их на GitHub. А если находил npm-токены — начинал выпускать новые версии легитимных пакетов, но уже с тем же вредоносом. Результат — экспоненциальный рост заражений: более 25 000 репозиториев за первые 72 часа, по 2000 новых заражений в час на пике и около 14 000 утекших секретов. Червя можно было даже отследить по маске названий репозиториев на GitHub, куда он всё складывал. В нашей практике был случай, когда через заражённый пакет скомпрометировались секреты сотрудника — пришлось проводить форензику, ротировать ключи. 🔹Другой пример — компрометация популярных фронтенд-библиотек, таких как debug, chalk, ansi-styles. Через социальную инженерию злоумышленники получили доступ к аккаунту в npm и загрузили вредоносные версии. Эти пакеты крали криптокошельки из браузеров пользователей. Суммарная загрузка данных пакетов из NPM превышает 1 млрд в неделю. 🔹Рост подобных атак составляет около 250% в год, поэтому нужны эффективные меры. Для этого и был создан SG Malware Protector. Он автоматически отслеживает новые источники информации о malware, находит угрозы в нашем Nexus и блокирует их. Также он ищет использование вредоносных зависимостей в проектах компании через инвентаризатор зависимостей Security Gate. Поддерживаются npm, Maven, PyPI, Go, NuGet. Мы внедрили ежедневное дежурство для отслеживания новых угроз. Security Gate сканирует репозитории, а SG Malware Protector проверяет инвентаризатор и корпоративный Nexus. Мы уже подключили кастомный Nexus для RuStore. В результате мы заблокировали 220 000 вредоносных зависимостей. Среднее количество новых malware-угроз в неделю — 202. Поиск по 70 000 фидам занимает менее часа по всем источникам. Наши планы по развитию: 🔹Карантин для новых пакетов: будем отстаивать свежие версии, так как среднее время выявления malware в пакете — около 5 дней. 🔹 Расширение покрытия: подключение большего количества Nexus-репозиториев. 🔹Malware byte search: сигнатурный анализ самих артефактов. 🔹Быстрая инвентаризация: В Security Gate она занимает пару дней, что для опасных зависимостей всё ещё долго. И здесь мы плавно переходим ко второму сервису, который как раз помогает закрыть вопрос скорости и не пропускать угрозы на самых ранних этапах. О нём расскажу подробнее в следующем посте. Не переключайтесь! VK Security | Буст этому каналу! #технологии #appsec #devsecops #VKSecurityGate