Tvrtka ReversingLabs, koja posluje u Hrvatskoj i SAD-u, objavila je novo izvješće o sigurnosti lanca nabave softvera u kojem se ukazuje na značajan skok u prijetnjama pri čemu kibernetički kriminalci, od kojih neke sponzoriraju države, napadaju komercijalne lance nabave softvera i razvoj umjetne inteligencije (AI).
Izvješće otkriva da je u 2025. otkriveno 73 posto više zlonamjernih open source paketa u usporedbi s prethodnom godinom.
“Zabilježen je i veliki porast u opsegu napada na lanac nabave softvera s pojavom prvog ikada zabilježenog nativnog malicioznog softvera, samoumnažajućeg crva Shai-hulud koji je kompromitirao neke od najpopularnijih open source paketa i hakirao istaknute open source održavatelje. Zbog tih su se incidenata rutinska ažuriranja softvera pretvorila u masovne isporuke malicioznih softvera”, navode iz tvrtke ReversingLabs.
Open source softver ili softver otvorenog koda odnosi se na programe čiji je izvorni kod javno dostupan. To znači da ga bilo tko može pregledati, mijenjati i distribuirati što potiče suradnju i inovacije. Druga varijanta je da kod bude skriven iza vlasničkih prava čime nije javno dostupan. Primjeri softvera otvorenog koda su Firefox ili WordPress.
Napadači su izvodili i ciljane napade na kriptovalute i razvojne procese za AI gdje veliki razmjeri i slabe kontrole pojačavaju učinak sigurnosnih proboja.
“Lanci nabave softvera više nisu nišna meta, oni su postali jedna od najčešće korištenih površina za kibernetičke napade. Ono što vidimo je jasan pomak u načinu na koji maliciozni akteri rade. Zloupotrebljavaju povjerenje, goleme razmjere i automatizaciju ne bi li probili u velik broj organizacija. Kao odgovor na to budućnost sigurnosti lanca nabave softvera mora tretirati lanac nabave kao živu okolinu. To podrazumijeva primjenu stalnog nadzora i provjere, ponovljivih postupaka izgradnje koda te verificiranih lanaca povjerenja koji obuhvaćaju i ljudske i automatizirane sudionike”, rekao je predsjednik uprave ReversingLabsa Mario Vuksan.
U 2025. su napadači lanca opskrbe prebacili fokus s malih, relativno nepoznatih projekata na popularne, puno korištene i aktivno održavane open source pakete.
No, prošla godina je donijela i neke znakove napretka većom količinom otkrivenih zlonamjernih softvera što se podudara s porastom ulaganja u sigurnost kao što je obavezna dvofaktorska autentifikacija (2FA), povjerljivo objavljivanje ili dodatne sigurnosne barijere za određene upravitelje paketima koje odvode maliciozne aktere i kampanje k platformama s manje sigurnosnih kontrola.
Maliciozni akteri ciljali su razvojne procese za AI koristeći mnoge od istih metoda koje su učinkovite i u napadima koji nisu usmjereni na AI.
“Neuspjeh u otkrivanju napada ove vrste ukazuje na širi skup problema koji se već javljaju i koji će biti sve teži kako se bude širila upotreba AI alata u pisanju koda. U proteklih godinu dana AI je sve više pogonio razvoj softvera te je u isto vrijeme popunio biblioteke i okuražio napadače. U raznim pogledima postalo je jasno da je AI istovjetan samom lancu nabave softvera. Premda su do sada ostvarene prednosti bile značajne, popratni sigurnosni rizici su sve alarmantniji. Dok organizacije sagledavaju takav razvoj stvari i gledaju u budućnost, ublažavanje ovih novih rizika zahtijevat će prihvaćanje modernih rješenja za sigurnost lanca nabave softvera“, izjavio je suosnivač i glavni softverski arhitekt u tvrtki ReversingLabs Tomislav Peričin.
Pročitajte još:
ReversingLabs je putem razvojnog centra u Zagrebu izgradio jednu od najvećih svjetskih baza podataka o zlonamjernom softveru. Klijenti su mu kompanije s popisa Fortune 500 i vodeći dobavljači sigurnosnih proizvoda. ReversingLabsova platforma Spectra Core daje uvide u sigurnost lanca nabave softvera i datoteka prateći dnevno više od 422 milijarde pretraživih datoteka. Kompletne softverske binarne datoteke dekonstruira u svega nekoliko sekundi do nekoliko minuta.
Tvrtka koju su 2009. osnovali Mario Vuksan i Tomislav Peričin zapošljava više od 200 ljudi u Zagrebu i više od stotinu u SAD-u.
