Atac cibernetic prin supply chain: Ce pot invata firmele din cazul Mastra AI

În cei peste 17 ani de activitate la Activ.NET, am văzut cum peisajul amenințărilor s-a transformat radical: de la viruși simpli la atacuri complexe asupra lanțului de aprovizionare (supply chain). Recent, Microsoft a atribuit atacul asupra pachetelor npm Mastra AI grupării nord-coreene Sapphire Sleet. Deși pare o știre destinată exclusiv dezvoltatorilor de software, impactul pentru firmele mici și mijlocii din Arad și din întreaga țară este real. Atunci când componentele software pe care le folosim pentru a ne rula afacerile sunt compromise, securitatea întregii infrastructuri IT este în pericol. Este momentul să înțelegem că securitatea nu mai înseamnă doar un antivirus bun, ci o vigilență constantă asupra a tot ceea ce instalăm și rulăm.

#Ce s-a intamplat

Atacatorii au preluat controlul contului unui întreținător de pachete npm, reușind să publice actualizări malițioase pentru peste 140 de pachete din ecosistemul Mastra AI. Aceștia au utilizat o tehnică numită „typosquatting”, injectând o dependență malițioasă intitulată „easy-day-js”, care imită o bibliotecă legitimă foarte utilizată, „dayjs”. Odată instalată, această componentă executa un script ascuns care descărca malware pentru Windows, Linux și macOS. Scopul final? Furtul de credențiale, chei API și portofele de criptomonede, toate transmise către serverele atacatorilor. Această metodă demonstrează o sofisticare ridicată, transformând un proces de actualizare aparent banal într-o poartă de acces pentru atacatorii state-sponsored.

#Impact pentru firme

Pentru o firmă medie din România, un astfel de atac poate însemna pierderea controlului asupra propriilor sisteme fără a bănui măcar sursa. Dacă angajații voștri lucrează cu unelte de dezvoltare sau soluții care se bazează pe biblioteci externe (foarte comun în soluțiile moderne de automatizare sau site-uri web complexe), riscați ca serverele voastre să devină parte dintr-o rețea de botnet sau să expuneți datele clienților. Costul? Nu este doar cel financiar, ci și cel de reputație și timpul enorm pierdut pentru refacerea infrastructurii. La Activ.NET, vedem des firme care neglijează actualizările sau care nu au o strategie clară de gestionare a dependențelor software, considerând că „dacă funcționează, nu trebuie atins”.

#Recomandari concrete

Pentru a evita să deveniți victime colaterale, iată ce puteți face imediat:

1. Implementați politici de verificare a dependențelor: Înainte de a instala orice pachet software, verificați sursa. Nu rulați scripturi „post-install” fără a înțelege ce fac. În cadrul serviciilor noastre de Administrare servere, noi aplicăm filtre stricte pentru bibliotecile utilizate.
2. Activați MFA (Multi-Factor Authentication): Este bariera critică. Chiar dacă un atacator fură o parolă, MFA-ul îi va bloca accesul. Activați MFA pe conturile de administrare M365 sau GitHub/npm chiar astăzi.
3. Monitorizare și log-uri: Nu așteptați să se întâmple ceva. Un sistem de monitorizare activ poate detecta procese neobișnuite, cum ar fi încercările de comunicare cu servere necunoscute (C2). Dacă aveți nevoie de ajutor, echipa Activ.NET oferă consultanță pentru Service IT pentru firme, asigurându-ne că infrastructura voastră este protejată proactiv.

#Concluziile noastre

Atacurile de tip supply chain sunt „noua normalitate” în cybersecurity. Nu este vorba doar de a avea un firewall, ci de a înțelege riscul din fiecare piesă de software pe care o integrăm în afacere. La Activ.NET, credem că securitatea este un proces continuu, nu un produs pe care îl cumperi o singură dată. Vă recomandăm să evaluați periodic mediul IT, să faceți audituri de securitate și să nu subestimați niciodată riscul pe care îl poate aduce o componentă software „minoră”. Siguranța afacerii tale din Arad depinde de atenția la detalii pe care o acorzi astăzi sistemelor pe care le folosești.

Inspirat din: BleepingComputer