Kibernetički kriminalci i akteri koje sponzoriraju države sve češće napadaju open-source i komercijalne nabave softvera, upozorila je sigurnosna kompanija ReversingLabs.
U svom najnovijem izvješću o sigurnosti lanca nabave softvera, ističu kako je u 2025. otkriveno 73 posto više zlonamjernih open-source paketa, u usporedbi s 2024. Zabilježen je i veliki porast u opsegu napada na lanac nabave softvera, s pojavom prvog ikada zabilježenog nativnog malwarea, samoumnažajućeg crva Shai-hulud, koji je kompromitirao neke od najpopularnijih open-source paketa i hakirao istaknute open-source održavatelje (maintainers). Zbog tih su se incidenata rutinska ažuriranja softvera pretvorila u masovne isporuke malwarea.
Kako bi ostvarili svoje ciljeve, napadači su zlorabili funkcionalnosti repozitorija i CI/CD sustava. Koristili su tehnike poput supstitucije ovisnosti, typosquattinga, i manipulacije GitHub akcijama. Također, izvodili su ciljane napade na kriptovalute i razvojne procese za umjetnu inteligenciju, gdje veliki razmjeri i slabe kontrole pojačavaju učinak sigurnosnih proboja.
Lanci nabave softvera više nisu nišna meta – oni su postali jedna od najčešće korištenih površina za kibernetičke napade, rekao je Mario Vuksan, predsjednik uprave ReversingLabsa. Ono što vidimo je jasan pomak u načinu na koji maliciozni akteri rade. Zloupotrebljavaju povjerenje, goleme razmjere i automatizaciju ne bi li probili u velik broj organizacija. Kao odgovor na to, budućnost sigurnosti lanca nabave softvera mora tretirati lanac nabave kao živu okolinu. To podrazumijeva primjenu stalnog nadzora i provjere, ponovljivih postupaka izgradnje koda te verificiranih lanaca povjerenja koji obuhvaćaju i ljudske i automatizirane sudionike.
Eksplozija open-source malwarea
U 2025. su napadači lanca opskrbe prebacili fokus s malih, relativno nepoznatih projekata na popularne, mnogo korištene i aktivno održavane open-source pakete. Taj je trend najvidljiviji na npm-u, najvećem svjetskom registru softvera, i zadanom upravitelju paketima za Node.js izvršno okruženje. Maliciozna aktivnost u npm-u se više nego udvostručila, te je na nju otpalo gotovo 90 posto malwarea otkrivenog u otvorenom kodu. Ovaj se porast može pripisati korištenju JavaScripta, samoj veličini repozitorija te — što je ključno — npm-ovom sporijem uvođenju sigurnosnih kontrola.
Ti su faktori učinili npm dragocjenom metom, o čemu svjedoči Shai-hulud, nativni samoumnažajući crv otkriven u rujnu, koji je u dvije odvojene kampanje kombinirao krađu tokena, izlaganje privatnih repozitorija koda i automatsko širenje. Po novom izviješću ReversingLabsa o sigurnosti lanca nabave softvera, Shai-hulud je kompromitirao više od 1000 npm paketa u dvije zasebne kampanje, a kao dio šireg incidenta u kojem je, po procjeni, izloženo 25 tisuća GitHub repozitorija.
Aplikacije i razvoj kriptovaluta ostaju istaknuta meta
Industrija kriptovaluta ostala je u fokusu velikog postotka malicioznih kampanja u lancu opskrbe, koje su ciljale kriptonovčanike i aplikacije, kao i blockchain infrastrukturu.
Maliciozni akteri ciljali su razvojne procese za AI koristeći mnoge od istih metoda koje su učinkovite i u napadima koji nisu usmjereni na AI.
Neuspjeh u otkrivanju napada ove vrste ukazuje na širi skup problema koji se već javljaju i koji će biti sve teži, kako se bude širila upotreba AI alata u pisanju koda, rekao je Tomislav Peričin, suosnivač i glavni softverski arhitekt u ReversingLabsu. U proteklih godinu dana, umjetna inteligencija je sve više pogonila razvoj softvera, te je u isto vrijeme popunila biblioteke i okuražila napadače. U mnogim pogledima, postalo je jasno da je AI istovjetan samom lancu nabave softvera. Premda su do sada ostvarene prednosti bile značajne, popratni sigurnosni rizici su sve alarmantniji. Dok organizacije sagledavaju takav razvoj stvari i gledaju u budućnost, ublažavanje ovih novih rizika zahtijevat će prihvaćanje modernih rješenja za sigurnost lanca nabave softvera.
