Stare metody w nowych rozmiarach: podczas gdy obrońcy gonili za trendami, atakujący dopracowali podstawy
Stare wektory, nowa skala
Przemysł bezpieczeństwa chętnie dyskutuje o „nowych” zagrożeniach: atakach opartych na AI, szyfrowaniu odpornym na komputery kwantowe czy architekturach zero‑trust. W praktyce jednak najskuteczniejsze ataki w 2025 roku wyglądają bardzo podobnie do tych sprzed dekady — podstawowe wektory wciąż działają, tyle że atakujący robią to szybciej i z większą precyzją. Zamiast wynajdywać zupełnie nowe sposoby włamań, optymalizują to, co już działało.
Łańcuch dostaw: problem nadal się rozlewa
Przykłady takie jak kampania Shai Hulud w ekosystemie npm pokazują, że łańcuch dostaw oprogramowania pozostaje jednym z największych punktów podatnych na atak. Jedno zainfekowane pakietu może przebić się przez całą drzewiastą sieć zależności i dotrzeć do tysięcy projektów zależnych downstream. Sam wektor ataku nie uległ zmianie — zmieniła się szybkość i skuteczność wykrywania okazji przez napastników.
AI obniżyła próg wejścia do cyberprzestępczości. To, co kiedyś wymagało dużej, zorganizowanej grupy, dziś można wykonać przez pojedynczą osobę lub mały zespół. Istnieją przesłanki, że niektóre ataki na pakiety npm, w tym Shai Hulud, mogły być przeprowadzone przez jedną osobę. Wraz z uproszczeniem narzędzi do tworzenia oprogramowania i rosnącą skłonnością napastników do „długiej gry” — jak miało to miejsce w przypadku ataku na XZ Utils — spodziewajmy się więcej przypadków, gdy autorzy publikują zaufane, pozornie legalne pakiety, budują w nich reputację, a następnie jednym ruchem wprowadzają złośliwe funkcje, które rozchodzą się na wszystkie projekty downstream.
Phishing: jeden klik nadal wystarcza
Phishing pozostaje skuteczny, ponieważ ludzie wciąż są najsłabszym ogniwem. Skutki jednak nabrały nowych rozmiarów. W opisanym ataku na npm jeden programista kliknął zainfekowany link, podał swoje dane uwierzytelniające i stracił kontrolę nad kontem. W efekcie pakiety mające dziesiątki milionów pobrań tygodniowo zostały zainfekowane. Mimo że incydent został publicznie zgłoszony do infrastruktury npm, usunięcie zagrożenia i działania naprawcze zajęły czas — a w tym oknie atak rozprzestrzenił się na dużą skalę.
Sklepy oficjalne nie gwarantują bezpieczeństwa
Najbardziej frustrujące jest to, że złośliwe oprogramowanie dalej potrafi omijać oficjalne mechanizmy kontroli. Badania wykazały, że złośliwe rozszerzenia do przeglądarek kradną rozmowy z narzędzi takimi jak ChatGPT i DeepSeek. To potwierdza to, co już widzieliśmy na rynku aplikacji mobilnych: automatyczne systemy weryfikacji i moderatorzy nie nadążają za rosnącą finezją atakujących.
Problem uprawnień jest tu kluczowy i jednocześnie rozwiązywalny — systemy mobilne (Android, iOS) pozwalają użytkownikom na precyzyjną kontrolę: zezwolenie na lokalizację, ale blokowanie mikrofonu; dostęp do kamery tylko podczas aktywnego używania aplikacji, a nie w tle. Technicznie podobny model da się wprowadzić dla rozszerzeń przeglądarek, jednak wymaga to woli i priorytetyzacji po stronie twórców platform. Obecnie użytkownik stoi przed binarnym wyborem, gdy rozszerzenie żąda uprawnienia „czytania informacji ze wszystkich stron”. Jeśli rozszerzenie potrzebuje takiego zakresu, najczęściej będzie on wykorzystywany w sposób złośliwy lub zostanie nadużyty po późniejszej aktualizacji.
Atakujący nie szukają „błyszczących” narzędzi — usprawnili podstawy
Pojawienie się AI nie odrzuciło starego repertuaru ataków — pozwoliło go zautomatyzować i zwiększyć skalę działania. Atakujący wciąż wykorzystują łańcuchy dostaw, phishing czy omijanie mechanizmów weryfikacji, ale robią to przy ułamku dotychczasowych zasobów. Efekt: operacje, które kiedyś wymagały dużych zespołów, dziś są osiągalne dla pojedynczych napastników.
Dlatego zamiast gonić za każdą „nową” strategią obrony, należy skupić się na naprawie podstawowych mechanizmów: przeprojektować modele uprawnień, wzmocnić weryfikację łańcucha dostaw oraz uczynić uwierzytelnianie odporne na phishing domyślnym wyborem. Fundamenty bezpieczeństwa mają dziś większe znaczenie niż kiedykolwiek wcześniej.
Co priorytetowo wprowadzić w życie?
Praktyczne priorytety obrony wynikające z obserwowanych trendów są proste, ale wymagają konsekwentnej realizacji. Po pierwsze — dopracować model uprawnień tak, by użytkownik miał granularną kontrolę nad dostępem rozszerzeń i aplikacji. Po drugie — wprowadzić i wymuszać twardsze mechanizmy weryfikacji pakietów w łańcuchu dostaw, które utrudnią lub opóźnią możliwość „ukrycia” złośliwego kodu. Po trzecie — promować i ustawiać jako domyślne metody uwierzytelniania odporne na phishing, tak by pojedyncze kliknięcie nie prowadziło do kompromitacji kont krytycznych dla rozwoju i dystrybucji oprogramowania.
Zainteresowanych tematem zapraszamy na bezpłatne webinarium „Aktualizacja Threat Intelligence: co działa u hakerów, a co robią obrońcy?” Podczas spotkania omówione zostaną techniki ataków zyskujące na popularności, mechanizmy, które rzeczywiście je powstrzymują, oraz wskazówki, jak priorytetyzować działania, gdy zasobów jest ograniczona ilość. Zarejestruj się, aby wziąć udział.
Uwaga: artykuł został przygotowany przez Moshe Siman Tov Bustan, kierownika zespołu badań bezpieczeństwa.
