Доверие — это цель: новые атаки на цепочку поставок в эпоху ИИ

      Хакеры больше не взламывают системы. Они проходят через двери, которые мы держим открытыми для них. На прошлой неделе этот сдвиг стал очевиден. Две кампании показали, что вещи, которым разработчики доверяют больше всего — открытый код и инструменты ИИ — стали самым простым способом атаки на них.

      1,000 отравленных пакетов

      Первая группа называется TeamPCP. За менее чем четыре месяца она внедрила вредоносный код в более чем 1,000 пакетов открытого программного обеспечения, согласно CyberScoop. Все началось с одного инструмента в феврале, и с тех пор группа едва замедлилась.

      Метод не является хитрым, и в этом вся суть. Большинство компаний автоматически загружает код и редко проверяет, безопасен ли он. TeamPCP просто злоупотребляет этой слепой верой. Вместе отравленные пакеты накапливают примерно 500 миллионов загрузок в неделю.

      Названные жертвы — это известные имена: Bitwarden, Red Hat, SAP, PyTorch Lightning, даже сам GitHub. Тем не менее, группа, похоже, не гонится за деньгами. Исследователи говорят, что она стремится к хаосу и известности, заработав всего около 90,000 долларов на вымогательстве. Одна из компаний по безопасности теперь оценивает вероятность того, что любой пакет, установленный организацией, может вызвать активную атаку, примерно в 1 из 10.

      ИИ усугубляет ситуацию

      ИИ подливает масла в огонь. Ранее разработчики проверяли свои зависимости, хоть и не слишком тщательно. Теперь кодирующие агенты устанавливают пакеты самостоятельно, часто без проверки со стороны человека. «В некоторых случаях практически нет человека в процессе», — сказал Феросс Абухадидж из Socket в интервью CyberScoop.

      Эти же агенты также становятся целями. Исследователи показали, что поддельный отчет об ошибке может захватить ИИ-кодирующего агента и заставить его выполнять команды злоумышленника. Самораспространяющиеся черви уже разрывают кодовые реестры, а недавно отравленное расширение редактора позволило злоумышленникам украсть тысячи репозиториев GitHub.

      Даже Claude стал оружием

      Вторая кампания более хитрая. Хакеры обернули Claude от Anthropic против его собственных пользователей. Они злоупотребили функцией «Общие чаты», которая позволяет людям публиковать публичные ссылки на прошлые разговоры.

      Вот как это работало. Злоумышленники организовали поддельные чаты «Поддержки Apple» на claude.ai, говоря разработчикам macOS вставить команду в их терминал. Затем они купили рекламу в Google для поисков вроде «Claude Code на Mac», чтобы отправить жертв туда. Поскольку ссылки находились на доверенном домене Claude, они выглядели безопасными.

      Trend Micro насчитала более 2,000 жертв, большинство из которых находились в Азиатско-Тихоокеанском регионе. Anthropic с тех пор заблокировала аккаунты и отключила разговоры.

      Почему это важно

      Нить, связывающая все это, — доверие. Злоумышленникам больше не нужны хитрые эксплойты. Им нужно лишь то, во что вы уже верите: реестр пакетов, кодирующий агент, знакомый домен. Как говорится в одном отраслевом бюллетене, «легитимный» не равно «безопасный».

      Для отрасли это неудобный сброс. Это означает, что нужно следить за инструментами, которым люди доверяют, а не только за файлами, которые они загружают. Это означает, что установка пакета должна рассматриваться как выполнение кода, а ИИ-агент — как учетная запись пользователя. Веб не сломался на этой неделе. Он просто использовался именно так, как и задумывалось, что может быть более сложной проблемой для решения.