Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

Útoky cieliace na vývojárov softvéru

Varovanie pred zvýšeným rizikom výskytu útokov na dodávateľský reťazec

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred zvýšenou frekvenciou výskytu útokov na dodávateľský reťazec (supply-chain útokov), špecificky cieliacich na vývojárov softvéru alebo produktov s digitálnym prvkom.

Od konca roku 2025 pozorujeme celosvetový nárast infekcií zariadení vývojárov prostredníctvom malvéru zameraného na kradnutie údajov (infostealer). Útočníci prostredníctvom tohto malvéru získajú prihlasovacie údaje, prístupové tokeny, API kľúče a kryptografický materiál. Tie následne zneužívajú na implantáciu škodlivého kódu do softvéru viacerými technikami:

  • Priama úprava zdrojového kódu v repozitároch (globálnych – github, gitlab, ale aj lokálnych – self hosted gitlab, gitea, gitbucket a podobne)
  • Úprava CI/CD procesu s pridaním škodlivej funkcionality počas procesu tvorby softvéru (build, kompilácia, zostavovanie balíkov) alebo distribúcii (trojanizovaná verzia balíka, dostupného na oficiálnych distribučných bodoch)
  • Šírenie škodlivého kódu cez prístup do repozitárov a knižníc (napr. NPM, PyPI, RubyGems, Maven Central, NuGet, CPAN)
  • Šírenie škodlivého kódu prostredníctvom oficiálnych „trhovísk“ s rozšíreniami do prehliadačov a vývojových prostredí (napr. VS Studio Marketplace, Open VSX Registry, Chrome Web Store, Firefox Add-ons, WordPress Plugin Directory, Atlassian Marketplace a iné)
  • Napadnutie kontajnerových repozitárov (Docker Hub, GitHub Container Registry, Amazon Web Services Elastic Container Registry – ECR, Microsoft Azure Container Registry – ACR, …)
  • paradoxne, napádané sú aj nástroje na kontrolu zdrojového kódu na softvérové zraniteľnosti.

Popularita zasiahnutého produktu priamo úmerne ovplyvňuje rozsah následkov útoku. Ochrana pred týmto typom hrozby vyžaduje špecifický prístup, nakoľko rýchla aktualizácia knižníc a modulov je v súčasnosti priemyselným štandardom, čo útočníci využívajú vo svoj prospech.

Na predmetný trend sme upozornili napríklad v článku „Hrozby v kybernetickom priestore 2026“, voľne dostupnom na https://www.nbu.gov.sk/hrozby-v-kybernetickom-priestore-2026/

Od začiatku tohto roku evidujeme významný celosvetový nárast využívania tejto techniky. Napríklad najvýraznejšia malvérová kampaň Glassworm z januára a marca cielila na

  • OpenVSX
  • VS Code Marketplace
  • NPM
  • PyPi

Závažný dopad mali aj aktivity aktéra Team PCP z marca 2026, kedy boli kompromitované:

  • Checkmarx
  • Trivy
  • LiteLLM

Odporúčania

Vzhľadom na rastúcu početnosť ale aj závažnosť predmetných útokov Národné centrum kybernetickej bezpečnosti SK-CERT odporúča:

Softvérové závislosti

  1. Mať prehľad o všetkých závislostiach softvéru, ktorý vyvíjate (knižnice, vývojárske nástroje – prekladače, vývojové prostredia, testovacie prostredia) a pravidelne sledovať zverejnené informácie o ich zraniteľnostiach
    1. Pre vlastný softvér udržiavať dynamicky aktualizovaný zoznam používaného softvéru vrátane závislostí, tzv. SBOM (Software Bill of Materials),
    2. Pre nástroje používané v procese vývoja evidovať ich zoznam a verzie,
  2. Zredukovať attack surface odstránením nepoužívaných závislostí a komponentov,
  3. Zohľadniť životný cyklus použitých komponentov a priebežne upravovať vlastné aplikácie tak, aby vždy používali komponenty s aktívnou podporou (vyhnúť sa „mŕtvym“ projektom bez bezpečnostných aktualizácií)

Overovanie integrity

  1. Využívať iba oficiálne repozitáre, online trhoviská a distribučné body,
  2. Overovať kryptografické podpisy využívaných aplikácií a komponentov,
  3. Pri potrebe využívať vo webových aplikáciách služby CDN špecifikovať v referencii presnú verziu a hash použitého komponentu,
  4. Vo všeobecnosti aplikovať „Zero Trust“ princíp pre všetok používaný kód od tretích strán – overovať pôvod, integritu aj správanie,

Bezpečnosť CI/CD procesu

  1. Zvýšiť ochranu kontroly prístupu k pipeline (najnižšie nutné privilégiá, viacfaktorová autentifikácia, žiadne zdieľané prihlasovacie údaje),
  2. Chrániť prihlasovacie a kryptografické údaje (pravidelne rotovať, nikdy neukladať v skriptoch či zdrojovom kóde), používať predpísané spôsoby ochrany týchto údajov závislé od konkrétnej platformy (Kubernetes Secrets, Ansible Vault, Git-crypt, Cloud secret manažéri, HSM, …)
  3. Rozdeliť zodpovednosti tak, aby žiadny jednotlivec nemal pod kontrolou celú cestu commit → build → nasadenie bez dozoru), kontinuálne monitorovať správanie, nie len zraniteľnosti
  4. Využívať automatizované bezpečnostné skenovanie,

Procesné zabezpečenie

  1. Využívať bezpečnostné rámce ako SSDLC (NIST SSDF, MS SDL, OWASP CLASP), SLSA,
  2. Vyhodnocovať dodávateľov, históriu bezpečnosti ich produktov, frekvenciu údržby, ich reakcie na odhalené zraniteľnosti,
  3. Zaobchádzať s CI/CD pipeline ako s vysoko rizikovým prostredím (má prístup ku kryptografickému materiálu, podpisovým kľúčom a deployment systémom),
  4. Definovať bezpečnostnú politiku pre supply-chain (schválené závislosti, procesy aktualizácie, incident response),
  5. Zaviesť silný manažment záplat, zostavovať vlastnú aplikáciu nielen kvôli pridaniu nových funkcií ale aj pre aktualizáciu závislostí na bezpečné verzie,
  6. Vytvoriť formálny postup prijímania hlásení o bezpečnostných zraniteľnostiach a udalostiach (bezpečnostné kontakty na webe, v repozitári, security.txt podľa RFC9116). V pokročilejších organizáciách aj bug bounty program.
  7. Vyhnúť sa príliš širokému nasadeniu nových závislostí a novú funkcionalitu testovať postupne.

Ak už incident nastal

V prípade potvrdenej kompromitácie zariadení a služieb, využívaných vývojármi, či priamo vyvíjaných produktov, odporúčame iniciovať komplexnú odozvu, zameranú na dva primárne smery:

  1. Riešenie incidentu priamo v organizácii a produkte
    1. Identifikácia vektoru prieniku, priebehu incidentu a dopadov
    2. Kontrola integrity softvéru, CI/CD procesu, vývojových a podporných prostredí
    3. Kontrola integrity distribučných kanálov
    4. Zmena všetkého kryptografického materiálu (podpisové kľúče, heslá, API tokeny a iné)
    5. Implementácia dodatočných opatrení a bezpečnostných prvkov
    6. Zvýšený bezpečnostný dohľad
  2. Ochrana a zodpovedné informovanie používateľov produktu
    1. V prípade limitovanej skupiny zákazníkov, adresné varovanie zákazníkom s plným popisom incidentu a možných dopadov,
    2. V prípade všeobecne dostupného softvéru zodpovedné verejné oznámenie,
    3. V každom prípade oznámenie príslušnému CSIRT tímu (na Slovensku SK-CERT, sk-cert.sk)

« Späť na zoznam
Našli ste na stránke chybu?

Dôležité odkazy

Národný bezpečnostný úrad
ENISA
FIRST
TF-CSIRT

Copyright © 2026 Všetky práva vyhradené - Posledná aktualizácia 27. 03. 2026 14:44