Розробник отримує повідомлення в LinkedIn від рекрутера. Вакансія виглядає цілком законною. Для виконання тестового завдання необхідно встановити пакет. Цей пакет викрадає всі облікові дані хмарних середовищ з машини розробника — персональні токени доступу GitHub, ключі API AWS, сервісні принципали Azure та багато іншого. Зловмисник отримує доступ до хмарного середовища за лічені хвилини.
Ваш поштовий захист цього не помітив. Ваш сканер залежностей, можливо, і позначив пакет, але ніхто не спостерігав за подальшими діями.
Ланцюжок атак швидко став відомий як “ідентифікаційний поворот” (IAM pivot), і він демонструє фундаментальну прогалину в тому, як підприємства відстежують атаки, що базуються на ідентифікації. Дослідження CrowdStrike Intelligence, опубліковане 29 січня, документує, як групи зловмисників масштабували цю атаку. Кіберзлочинці маскують доставку троянізованих пакетів Python та npm через шахрайство з найму, а потім використовують викрадені облікові дані розробників для повного компрометування хмарного IAM.
В одному з випадків наприкінці 2024 року зловмисники доставили шкідливі пакети Python до європейської фінтех-компанії за допомогою приманок, пов’язаних з рекрутингом, перейшли до конфігурацій хмарного IAM та перенаправили криптовалюту на гаманці, контрольовані зловмисниками.
Шлях від проникнення до виходу жодного разу не торкнувся корпоративного поштового шлюзу, і не залишилося жодних цифрових доказів.
В одному з останніх епізодів подкасту CrowdStrike “Adversary Universe” Адам Майєрс, старший віце-президент з розвідки та керівник відділу контррозвідувальних операцій компанії, описав масштаб: понад 2 мільярди доларів, пов’язаних з операціями з криптовалютою, якими керує один підрозділ зловмисників. Децентралізована валюта, пояснив Майєрс, ідеально підходить, оскільки дозволяє зловмисникам одночасно уникати санкцій та виявлення. Крістіан Родрігес, технічний директор CrowdStrike в Америці, пояснив, що успіх у генерації доходу призвів до організаційної спеціалізації. Те, що колись було єдиною групою загроз, розділилося на три окремі підрозділи, які спеціалізуються на криптовалютах, фінтеху та шпигунстві.
Цей випадок не був поодиноким. Агентство з кібербезпеки та захисту інфраструктури (CISA) та компанія JFrog відстежували паралельні кампанії в екосистемі npm, причому JFrog виявив 796 скомпрометованих пакетів у самовідтворюваному хробаку, який поширювався через заражені залежності. Дослідження також документує використання обміну повідомленнями WhatsApp як основного вектора початкового компрометування, коли зловмисники доставляють шкідливі ZIP-архіви, що містять троянізовані застосунки, через цю платформу. Корпоративний поштовий захист ніколи не перехоплює цей канал.
Більшість систем безпеки оптимізовані для точки входу, яку ці зловмисники повністю залишили.
Коли сканування залежностей вже недостатньо
Зловмисники в режимі реального часу змінюють вектори входу. Троянізовані пакети більше не надходять через typosquatting, як це було раніше — вони доставляються вручну через особисті канали обміну повідомленнями та соціальні платформи, які не охоплюються корпоративними поштовими шлюзами. CrowdStrike задокументував, як зловмисники адаптують приманки, пов’язані з працевлаштуванням, під конкретні галузі та ролі, і спостерігали розгортання спеціалізованого шкідливого програмного забезпечення у фінтех-компаніях ще у червні 2025 року.
CISA зафіксувало це в масштабі у вересні, видавши попередження про масштабне компрометування ланцюжка поставок npm, націлене на персональні токени доступу GitHub та ключі API AWS, GCP та Azure. Шкідливий код сканував на наявність облікових даних під час встановлення пакетів та викрадав їх на зовнішні домени.
Сканування залежностей виявляє пакет. Це перший контроль, і він є у більшості організацій. Майже жодна не має другого — моніторингу поведінки в реальному часі, який виявляє викрадення облікових даних під час самого процесу встановлення.
«Якщо звести цю атаку до її суті, вражає не проривна техніка, — зазначив Шейн Барні, CISO в Keeper Security, аналізуючи нещодавній ланцюжок хмарних атак. — Це те, наскільки незначним був опір середовища, як тільки зловмисник отримав легітимний доступ».
Зловмисники стають кращими у створенні смертоносних, невідстежуваних “поворотів”
Звіт Google Cloud “Threat Horizons Report” показав, що слабкі або відсутні облікові дані становили 47,1% хмарних інцидентів у першій половині 2025 року, а неправильні конфігурації додали ще 29,4%. Ці цифри залишалися стабільними протягом послідовних звітних періодів. Це хронічна проблема, а не нова загроза. Зловмисники з дійсними обліковими даними не потребують експлуатації. Вони просто входять до системи.
Дослідження, опубліковане на початку цього місяця, продемонструвало, наскільки швидко відбувається цей “поворот”. Sysdig задокументував ланцюжок атак, де скомпрометовані облікові дані досягли привілеїв хмарного адміністратора за вісім хвилин, пройшовши через 19 IAM-ролей, перш ніж перерахувати моделі Amazon Bedrock AI та вимкнути логування викликів моделей.
Вісім хвилин. Жодного шкідливого ПЗ. Жодної експлуатації. Лише дійсні облікові дані та відсутність базових показників поведінки IAM.
Рам Варадараджан, генеральний директор Acalvio, висловився прямо: швидкість порушення безпеки змістилася з днів на хвилини, і захист від цього класу атак вимагає технологій, здатних мислити та реагувати з такою ж швидкістю, як автоматизовані зловмисники.
Рішення для виявлення та реагування на загрози ідентифікації (ITDR) усувають цей розрив, відстежуючи поведінку ідентифікаторів у хмарних середовищах, а не лише те, чи успішно вони автентифіковані. Дослідження KuppingerCole “2025 Leadership Compass on ITDR” показало, що більшість інцидентів з ідентифікаторами зараз походить від скомпрометованих нелюдських ідентифікаторів, але впровадження ITDR на підприємствах залишається нерівномірним.
Морган Адамскі, заступник керівника відділу кібербезпеки, даних та технологічних ризиків PwC, висловив ставки в операційних термінах. Правильне управління ідентифікацією, включаючи AI-агентів, означає контроль над тим, хто і що може робити на машинній швидкості. Гасіння сповіщень з усіх джерел не встигатиме за мультихмарним розширенням та атаками, що зосереджені на ідентифікації.
Чому AI-шлюзи не зупиняють цього
AI-шлюзи чудово перевіряють автентифікацію. Вони перевіряють, чи має ідентифікатор, який запитує доступ до кінцевої точки моделі або конвеєра навчання, правильний токен та привілеї на термін, визначений адміністраторами та політиками управління. Вони не перевіряють, чи відповідає поведінка цього ідентифікатора його історичному шаблону, чи він випадково досліджує інфраструктуру.
Уявіть розробника, який зазвичай двічі на день надсилає запити до моделі доповнення коду, а потім раптом перераховує всі моделі Bedrock в обліковому записі, попередньо вимкнувши логування. AI-шлюз бачить дійсний токен. ITDR бачить аномалію.
Блог CrowdStrike підкреслює, чому це важливо зараз. Групи зловмисників, які вони відстежують, еволюціонували від вибіркового викрадення облікових даних до операторів хмарних вторгнень. Вони здійснюють “поворот” від скомпрометованих робочих станцій розробників безпосередньо до конфігурацій хмарного IAM, тих самих конфігурацій, які керують доступом до AI-інфраструктури. Спільні інструменти між окремими підрозділами та спеціалізоване шкідливе ПЗ для хмарних середовищ свідчать про те, що це не експерименти. Це індустріалізація.
Офіс CISO Google Cloud безпосередньо звернувся до цього у своєму прогнозі кібербезпеки на грудень 2025 року, зазначивши, що ради директорів тепер запитують про бізнес-стійкість проти атак на машинній швидкості. Управління як людськими, так і нелюдськими ідентифікаторами є необхідним для зменшення ризиків від недетермінованих систем.
Жоден повітряний проміжок не розділяє IAM обчислень від AI-інфраструктури. Коли хмарна ідентифікація розробника викрадена, зловмисник може отримати доступ до ваг моделі, даних для навчання, кінцевих точок виведення та будь-яких інструментів, до яких підключені ці моделі через протоколи, такі як протокол контексту моделі (MCP).
Це MCP-з’єднання вже не є теоретичним. OpenClaw, автономний AI-агент з відкритим кодом, який за тиждень перетнув позначку у 180 000 зірок на GitHub, підключається до електронної пошти, платформ обміну повідомленнями, календарів та середовищ виконання коду через MCP та прямі інтеграції. Розробники встановлюють його на корпоративні машини без перевірки безпеки.
Команда досліджень безпеки AI від Cisco назвала інструмент “революційним” з точки зору можливостей та “абсолютним кошмаром” з точки зору безпеки, відображаючи саме той тип агентної інфраструктури, до якої може дістатися викрадена хмарна ідентифікація.
Наслідки для IAM прямі. В аналізі, опублікованому 4 лютого, технічний директор CrowdStrike Еліа Зайцев попередив, що “успішна ін’єкція промпту проти AI-агента — це не просто вектор витоку даних. Це потенційна точка входу для автоматизованого латерального переміщення, де скомпрометований агент продовжує виконувати цілі зловмисника в інфраструктурі”.
Легітимний доступ агента до API, баз даних та бізнес-систем стає доступом зловмисника. Цей ланцюжок атак не закінчується на кінцевій точці моделі. Якщо за ним стоїть агентний інструмент, радіус вибуху розширюється до всього, до чого може дістатися агент.
Де є прогалини в контролі
Цей ланцюжок атак охоплює три стадії, кожна з яких має чітку прогалину в контролі та конкретну дію.
- Вхід: Троянізовані пакети, що доставляються через WhatsApp, LinkedIn та інші не-поштові канали, повністю обходять поштовий захист. CrowdStrike задокументував приманки, пов’язані з працевлаштуванням, адаптовані під конкретні галузі, з WhatsApp як основним механізмом доставки. Прогалина: Сканування залежностей виявляє пакет, але не викрадення облікових даних під час виконання. Запропонована дія: Розгорніть моніторинг поведінки під час виконання на робочих станціях розробників, який виявляє шаблони доступу до облікових даних під час встановлення пакетів.
- Поворот: Викрадені облікові дані дозволяють отримати доступ до IAM-ролей, непомітний для периферійного захисту. У задокументованому CrowdStrike випадку європейської фінтех-компанії зловмисники перейшли з скомпрометованого середовища розробника безпосередньо до конфігурацій хмарного IAM та пов’язаних з ними ресурсів. Прогалина: Відсутні базові показники поведінки для використання хмарної ідентифікації. Запропонована дія: Розгорніть ITDR, який відстежує поведінку ідентифікаторів у хмарних середовищах, виявляючи шаблони латерального переміщення, такі як 19-разове проходження ролей, задокументоване в дослідженні Sysdig.
- Мета: AI-інфраструктура довіряє автентифікованому ідентифікатору, не оцінюючи узгодженість поведінки. Прогалина: AI-шлюзи перевіряють токени, але не шаблони використання. Запропонована дія: Впровадьте специфічні для AI засоби контролю доступу, які корелюють запити на доступ до моделей з профілями поведінки ідентифікаторів та забезпечують логування, яке ідентифікатор, що здійснює доступ, не може вимкнути.
Джейсон Сороко, старший науковий співробітник Sectigo, визначив першопричину: подивіться далі за новизною AI-допомоги, і ви побачите банальну помилку, яка це уможливила. Дійсні облікові дані викладені у загальнодоступних S3-відрах. Затятий відмова освоїти основи безпеки.
Що перевірити протягом наступних 30 днів
Проведіть аудит свого стека моніторингу IAM на відповідність цьому тристадійному ланцюжку. Якщо у вас є сканування залежностей, але немає моніторингу поведінки під час виконання, ви можете виявити шкідливий пакет, але пропустити викрадення облікових даних. Якщо ви автентифікуєте хмарні ідентифікатори, але не встановлюєте їх поведінкові базові показники, ви не побачите латерального переміщення. Якщо ваш AI-шлюз перевіряє токени, але не шаблони використання, викрадені облікові дані потраплять прямо до ваших моделей.
Периметр — це вже не місце, де відбувається ця боротьба. Боротьба відбувається за ідентифікацію.
Порада від ІТ-Блог:
Ця інформація надзвичайно важлива для будь-кого, хто працює з хмарними технологіями та розробляє програмне забезпечення. Розуміння нових методів атак, які використовують шахрайство з наймом для отримання доступу до хмарних середовищ, допоможе вам вжити превентивних заходів. Зосередьтеся на моніторингу поведінки, а не лише на перевірці пакетів, і завжди пам’ятайте про безпеку своїх облікових даних.
За матеріалами: venturebeat.com