Güvenlik araştırmacıları, açık kaynak paket depolarında sistematik tedarik zinciri saldırısı örüntülerini belgeleyen kapsamlı bir rapor yayımladı. Açık kaynak tedarik zinciri saldırısı vektörlerinin çeşitlendiğini ve sofistike hale geldiğini ortaya koyan bulgular, yazılım geliştirme ekosisteminde ciddi kaygılara yol açtı. Raporun odağındaki temel saldırı teknikleri arasında typosquatting (paket isimlerinin kasıtlı yanlış yazımından yararlanan sahte paketler), bağımlılık karışıklığı (dependency confusion) ve meşru paket hesaplarının ele geçirilmesi yer alıyor. Açık kaynak tedarik zinciri saldırısı amacıyla hazırlanmış bu sahte paketler, milyonlarca indirmeye ulaşabildi. En yüksek risk taşıyan depolar arasında npm, PyPI ve RubyGems sayıldı. Bu platformlarda paket yayımlamanın görece düşük engeli, kötü niyetli aktörlerin sahte kütüphaneleri kolayca dağıtmasına olanak tanıyor. Güvenlik ekiplerinin tespitinden önce zararlı paketlerin üretim ortamlarına sızma süresi ortalama 18 gün olarak ölçüldü. Açık kaynak tedarik zinciri saldırısı örüntülerinin analizi, jeopolitik motivasyonlu aktörlerin de bu vektörü benimsediğine işaret ediyor. Devlet destekli olduğundan şüphelenilen grupların geliştirici araçlarını, CI/CD boru hatlarını ve derleme ortamlarını hedef aldığı gözlemlendi. Savunma tarafında bağımlılık imzalama ve yazılım malzeme listesi (SBOM) oluşturma giderek daha fazla kurumun politikasına girdi. Bazı kamu ihalelerinde yazılım tedarikçilerinden SBOM sunmaları artık şart koşuluyor. Depo operatörleri de önlemleri artırdı. İki faktörlü kimlik doğrulama zorunluluğu, yüksek indirme sayılı paketler için otomatik kötü amaçlı yazılım taraması ve şüpheli davranış analizi devreden çıkan paket hesaplarının tespitinde kullanılıyor. Ancak araştırmacılar, bu önlemlerin henüz yeterli olmadığını, açık kaynak tedarik zinciri saldırısı riskini tamamen ortadan kaldırmak için ekosistem genelinde koordineli bir yaklaşımın gerektiğini belirtiyor.