Japan giver Nordkorea skylden for PyPI Supply Chain Cyberattack

Japanske cybersikkerhedsembedsmænd advarede om, at Nordkoreas berygtede Lazarus Group-hackingteam for nylig gennemførte et forsyningskædeangreb rettet mod PyPI-softwarelageret til Python-apps.

Trusselsaktører uploadede plettede pakker med navne som "pycryptoenv" og "pycryptoconf" - lignende navn til det legitime "pycrypto"-krypteringsværktøj til Python. Udviklere, der bliver narret til at downloade de uhyggelige pakker til deres Windows-maskiner, er inficeret med en farlig trojaner kendt som Comebacker.

"De ondsindede Python-pakker, der blev bekræftet denne gang, er blevet downloadet cirka 300 til 1,200 gange," Japan CERT sagde i en advarsel udstedt i slutningen af ​​sidste måned. "Angribere kan være rettet mod brugernes tastefejl for at få malwaren downloadet."

Gartners seniordirektør og analytiker Dale Gardner beskriver Comebacker som en trojaner til generelle formål, der bruges til at droppe ransomware, stjæle legitimationsoplysninger og infiltrere udviklingspipelinen.

Comebacker er blevet indsat i andre cyberangreb knyttet til Nordkorea, herunder en angreb på et npm-softwareudviklingsarkiv.

"Angrebet er en form for typosquatting - i dette tilfælde et afhængighedsforvirringsangreb. Udviklere bliver narret til at downloade pakker, der indeholder ondsindet kode,” siger Gardner.

Det seneste angreb på softwarelager er en type, der er steget i løbet af det sidste år eller deromkring.

"Disse typer angreb vokser hurtigt - Sonatype 2023 open source-rapporten afslørede, at 245,000 sådanne pakker blev opdaget i 2023, hvilket var det dobbelte af antallet af opdagede pakker tilsammen siden 2019," siger Gardner.

Asiatiske udviklere "uforholdsmæssigt" berørt

PyPI er en centraliseret tjeneste med en global rækkevidde, så udviklere verden over bør være opmærksomme på denne seneste kampagne fra Lazarus Group.

"Dette angreb er ikke noget, der kun vil påvirke udviklere i Japan og nærliggende regioner," påpeger Gardner. "Det er noget, som udviklere overalt bør være på vagt for."

Andre eksperter siger, at personer, der ikke har engelsk som modersmål, kan være mere udsatte for dette seneste angreb fra Lazarus-gruppen.

Angrebet "kan påvirke udviklere i Asien uforholdsmæssigt meget" på grund af sprogbarrierer og mindre adgang til sikkerhedsinformation, siger Taimur Ijlal, en tech-ekspert og informationssikkerhedsleder hos Netify.

"Udviklingsteams med begrænsede ressourcer kan forståeligt nok have mindre båndbredde til strenge kodegennemgange og revisioner," siger Ijlal.

Jed Macosko, en forskningsdirektør hos Academic Influence, siger, at app-udviklingssamfund i Østasien "har tendens til at være tættere integreret end i andre dele af verden på grund af delte teknologier, platforme og sproglige fællestræk."

Han siger, at angribere måske søger at drage fordel af disse regionale forbindelser og "betroede forhold."

Små og nystartede softwarefirmaer i Asien har typisk mere begrænsede sikkerhedsbudgetter end deres modparter i Vesten, bemærker Macosko. "Dette betyder svagere processer, værktøjer og hændelsesresponskapaciteter - hvilket gør infiltration og vedholdenhed mere opnåelige mål for sofistikerede trusselsaktører."

Cyberforsvar

At beskytte applikationsudviklere mod disse softwareforsyningskædeangreb er "vanskeligt og kræver generelt en række strategier og taktikker," siger Gartners Gardner.

Udviklere bør udvise øget forsigtighed og omhu, når de downloader open source-afhængigheder. "I betragtning af mængden af ​​open source, der bruges i dag og presset fra tempofyldte udviklingsmiljøer, er det nemt for selv en veltrænet og årvågen udvikler at begå en fejl," advarer Gardner.

Dette gør automatiserede tilgange til at "administrere og kontrollere open source" til en væsentlig beskyttelsesforanstaltning, tilføjer han.

"SCA-værktøjer (Softwaresammensætningsanalyse) kan bruges til at evaluere afhængigheder og kan hjælpe med at finde forfalskede eller lovlige pakker, der er blevet kompromitteret," rådgiver Gardner og tilføjer, at "proaktivt teste pakker for tilstedeværelsen af ​​ondsindet kode" og validere pakker ved hjælp af pakke ledere kan også mindske risikoen.

"Vi ser nogle organisationer, der etablerer private registre," siger han. "Disse systemer er understøttet af processer og værktøjer, der hjælper dyrlægen med open source for at sikre, at det er legitimt" og indeholder ikke sårbarheder eller andre risici, tilføjer han.

PiPI No Stranger to Danger

Mens udviklere kan tage skridt til at sænke eksponeringen, påhviler det platformudbydere som PyPI at forhindre misbrug, ifølge Kelly Indah, en teknisk ekspert og sikkerhedsanalytiker hos Increditools. Det er ikke første gang ondsindede pakker er blevet smuttet ind på perron.

"Udviklerteams i alle regioner stoler på tilliden og sikkerheden i nøglelagre," siger Indah.
"Denne Lazarus-hændelse underminerer den tillid. Men gennem øget årvågenhed og en koordineret reaktion fra udviklere, projektledere og platformsudbydere kan vi arbejde sammen om at genoprette integritet og tillid."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack