Ликвидация крупной вредоносной операции некогда сигнализировала о прогрессе в обеспечении безопасности экосистемы с открытым исходным кодом. Теперь это едва заметно. Разгром кампании GlassWorm происходит в момент, когда злоумышленники могут быстро восстановиться, а защитники все чаще сталкиваются с новой проблемой: отделением реальных угроз от автоматического шума.
«Я считаю, что скоординированные действия, подобные тем, что были предприняты против GlassWorm, могут разорвать контроль, значительно увеличить затраты для атакующих, выиграть время для устранения последствий и продемонстрировать возможность ответного удара», — заявил Агнидипта Саркар, главный евангелист ColorTokens. «Но большинство ликвидаций — это временные меры в долгой борьбе».
Ликвидация, возглавляемая CrowdStrike операция, проведенная совместно с Google и Фондом Shadowserver, нарушила работу инфраструктуры, связанной с кампанией, которая заразила сотни репозиториев вредоносными пакетами, нацеленными на разработчиков.
Через день после ликвидации, в рамках независимого развития событий, база данных OSV отозвала 157 сообщений о вредоносном ПО после того, как сопровождающие (maintainers) определили, что эти сообщения, вероятно, являются автоматическими ложными срабатываниями.
Ликвидации помогают, но аналитики сомневаются в долгосрочном влиянии
Ликвидация произошла 26 мая в 14:00 UTC, при этом CrowdStrike подтвердила, что операция «одновременно поразила все четыре канала управления и контроля (C2) GlassWorm». Сообщается, что это помогло отрезать операторов ботнета от зараженных машин, заблокировав им возможность распространять новое вредоносное ПО.
CrowdStrike охарактеризовала операцию GlassWorm как нацеленную на инфраструктуру, используемую для распространения вредоносного ПО через репозитории, ориентированные на разработчиков, — это становится все более популярным вектором атак, поскольку противники стремятся получить доступ к CI/CD, учетным данным разработчиков и конечным корпоративным средам.
GlassWorm представляла собой кроссплатформенную операцию, затрагивающую системы Windows, macOS и Linux, с использованием троянизированных расширений VSCode и скомпрометированных пакетов npm и Python для сбора информации и учетных данных.
«В рамках наших усилий по пресечению деятельности мы работаем с партнерами, чтобы доставить больше проблем атакующим, особенно когда мы видим, что они злоупотребляют нашими продуктами или нацеливаются на наших пользователей», — заявил главный аналитик Google Threat Intelligence Group (GTIG) Джон Халтквист в посте в X.
Тем не менее, более широкая экономика злоупотребления репозиториями остается неизменной. Экосистемы с открытым исходным кодом продолжают предлагать атакующим недорогое распространение, огромный охват и относительно слабую проверку подлинности по сравнению с традиционными каналами распространения программного обеспечения. Это означает, что операторы, стоящие за такими кампаниями, как GlassWorm, часто могут быстро появиться под новыми учетными записями, доменами или названиями пакетов.
«Это пресечение, а не искоренение», — предупредил Саркар. «Чтобы повысить устойчивость после ликвидации, защитники должны сосредоточиться на быстром сканировании после ликвидации для обнаружения повторного появления вредоносных артефактов в связанных репозиториях и платформах распространения».
Затем им следует создать гранулированные микропериметры, развить возможности для сдерживания распространения по рабочим нагрузкам, конечным точкам, активам ИТ/ОТ/IoT/облака и ограничить радиус поражения компрометации цепочки поставок (например, отравленный пакет npm или рабочий процесс GitHub, крадущий учетные данные, не должен легко переходить в другие системы).
Саркар посоветовал разработчикам и организациям создать «гранулированные микропериметры», развить возможности для сдерживания распространения по рабочим нагрузкам и ограничить радиус поражения компрометации цепочки поставок.
Ложные срабатывания ИИ становятся частью проблемы цепочки поставок
Если GlassWorm подчеркивает устойчивость реальных кампаний вредоносного ПО, то инцидент с отзывом OSV выявил параллельную проблему, затрагивающую цепочку поставок программного обеспечения с открытым исходным кодом (OSS). Это растущая зависимость от автоматизированной отчетности по безопасности.
Отзыв 157 сообщений о вредоносном ПО, которые считаются ложными срабатываниями, сгенерированными ИИ, имеет значение, особенно если это касается таких пакетов, как FastAPI v0.136.3. FastAPI — это широко используемый фреймворк Python, лежащий в основе производственных API, сервисов ИИ и облачных приложений в различных отраслях. Даже несколько дней ложного помечания могут вызвать дорогостоящие задержки в развертывании, сбои в CI/CD и часы работы разработчиков на изоляцию легитимного программного обеспечения.
«Я бы посоветовал предприятиям достаточно обеспокоиться проблемами соотношения сигнала и шума, чтобы рассмотреть меры по исправлению ситуации, поскольку автоматизация подрывает доверие к инструментам защиты», — сказал Саркар. «Если у вас нет высокомикросегментированного предприятия, шум тратит время аналитиков, замедляет скорость работы и создает риск пропустить изощренные атаки из-за усталости».
Он отметил, что в 2026 году, когда вредоносное ПО с поддержкой ИИ и отчетность будут ускоряться, а ложные срабатывания в инструментах SAST/SCA возрастут, защитная автоматизация будет асимметрично усугубляться объемом данных в цепочке поставок.
В посте в блоге Socket назвал плохие записи OSV особенно опасными, поскольку популярная база данных быстро переносится через сканеры зависимостей, проверки CI, элементы управления реестром, инструменты SBOM, панели мониторинга и внутренние системы политик.
Однако не все потеряно, поскольку новые инструменты обещают меньшую зависимость от ИИ для поиска уязвимостей в зависимостях. CVE Lite CLI, легковесный сканер уязвимостей зависимостей на JavaScript и TypeScript, предлагает разработчикам способ узнать о рисках зависимостей еще на этапе написания кода, намного раньше, чем при сбое автоматических сканеров в конвейерах CI.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
