Phần mềm nguồn mở (Open Source Software - OSS) là một phần mềm mà mã nguồn có thể được công chúng xem và thay đổi, hay có nghĩa là "mở". OSS cho phép các lập trình viên cùng hợp tác cải thiện phần mềm như tìm lỗi, sửa lỗi (bug), cập nhật với các công nghệ mới hoặc tạo ra các tính năng mới. Hoạt động nhóm trên các dự án mã nguồn mở như vậy mang đến lợi ích là việc sửa lỗi thường diễn ra nhanh, tính năng mới được bổ sung thường xuyên, phần mềm ổn định hơn, các bản vá bảo mật cũng được đưa ra nhanh chóng hơn các phần mềm độc quyền.
Trong vài năm trở lại đây, OSS ngày càng được sử dụng phổ biến trong thế giới công nghệ và chính điều này đã khiến các dự án phần mềm nguồn mở nói chung thu hút sự chú ý của giới tin tặc.
Theo báo cáo "Trạng thái của chuỗi cung ứng phần mềm nguồn mở" mới nhất của tổ chức bảo mật Sonatype, số lượng các cuộc tấn công mạng tinh vi nhằm mục đích chủ động xâm nhập vào chuỗi cung ứng phần mềm nguồn mở đã tăng tới 430% chỉ trong khoảng thời gian ngắn. Nghiên cứu được tổng hợp từ kết quả phân tích 24.000 dự án nguồn mở và 15.000 tổ chức phát triển cùng với các cuộc phỏng vấn 5.600 nhà phát triển phần mềm.
Theo báo cáo, dự kiến sẽ có 1,5 nghìn tỷ yêu cầu tải xuống OSS vào năm 2020 trên tất cả các hệ sinh thái nguồn mở chính. Trong đó, Node.js (npm) và Python (PyPI) được cho là những kho lưu trữ bị tội phạm mạng nhắm mục tiêu nhất, vì mã độc có thể dễ dàng được kích hoạt trong quá trình cài đặt gói.
Kiểu tấn công chuỗi cung ứng phần mềm nguồn mở này có thể dễ dàng xảy ra bởi vì trong thế giới nguồn mở rất khó phân biệt giữa các tác nhân tốt và xấu, và do tính chất liên kết của các dự án, Sonatype tuyên bố.
Mặt khác, các dự án mã nguồn mở có thể có hàng trăm hoặc hàng nghìn các phụ thuộc vào các dự án khác mà có thể chứa các lỗ hổng đã biết và bị khai thác.
Cũng theo báo cáo của Sonatype, vào năm 2019, hơn 10% lượt tải xuống Java OSS trên toàn cầu có ít nhất một lỗ hổng mã nguồn mở, với các lỗ hổng mới đã bị khai thác trong vòng ba ngày kể từ khi công khai, báo cáo tuyên bố.
Hiện nay, 90% thành phần của một ứng dụng là mã nguồn mở và 11% trong số đó được biết là có lỗ hổng bảo mật.
Gia tăng tấn công nhằm vào chuỗi cung ứng phần mềm thế hệ mới
Báo cáo của Sonatype cho thấy đã có tới 929 cuộc tấn công chuỗi cung ứng (supply chain attack) phần mềm thế hệ mới được ghi nhận trong khoảng thời gian từ tháng 7/2019 đến tháng 5/2020. Đây là mức tăng đáng báo động bởi trước đó, chỉ có 216 cuộc tấn công như vậy được ghi nhận trong vòng 4 năm, từ tháng 2/2015 đến tháng 6/2019.
Tiêu chí chỉ ra sự khác biệt giữa các cuộc tấn công chuỗi cung ứng phần mềm nguồn mở thế hệ mới và cũ rất đơn giản nhưng không kém phần phức tạp: Các cuộc tấn công thế hệ mới như Octopus Scanner được tiến hành dưới dạng chiến lược và có liên quan đến việc những kẻ tấn công cố tình nhắm mục tiêu cũng như lén lút xâm phạm "ngược dòng" vào các dự án mã nguồn mở, để sau đó chúng có thể nắm trong tay khả năng khai thác các lỗ hổng tồn tại trong dự án.
