Precíziós ellátási lánc támadás a DevSecOps infrastruktúra ellen
A CloudSEK elemzése szerint a támadók már nem a fejlesztett alkalmazásokat támadják, hanem magát a DevSecOps biztonsági infrastruktúrát, különösen azokat az eszközöket, amelyekben implicit bizalom van.
A kutatás szerint egy 36 hónapon át tartó, célzott kampány során a támadók módszeresen kompromittálták a fejlesztési lánc kulcselemeit, például kódellenőrző eszközöket, security scannereket és CI/CD pipeline komponenseket. Ezek az eszközök maguk váltak támadási vektorrá.
A támadási modell lényege a trusted tool abuse. A támadók nem közvetlenül juttattak be malware-t a célrendszerekbe, hanem kompromittált vagy manipulált security eszközökön keresztül szereztek hozzáférést. Mivel ezek az eszközök eleve magas jogosultsággal futnak, kompromittálásuk aránytalanul nagy hatást eredményez.
A kampány egyik kulcseleme a credential harvesting DevSecOps környezetben. A támadók hozzáfértek API kulcsokhoz, CI/CD tokenekhez és egyéb hitelesítő adatokhoz, amelyekkel később további rendszerekbe léptek be. Ez jól illeszkedik a modern trendhez, ahol a támadások elsődleges célja nem exploit, hanem identitás és hozzáférés megszerzése.
A jelentés szerint több mint 23 000 repository érintett, ami azt mutatja, hogy nem célzott, egyedi műveletekről van szó, hanem részben automatizált, ipari méretű kampányról.
