Jaapan süüdistab PyPI tarneahela küberrünnakus Põhja-Koread

Jaapani küberjulgeolekuametnikud hoiatasid, et Põhja-Korea kurikuulus Lazarus Groupi häkkimismeeskond korraldas hiljuti tarneahela rünnaku, mis oli suunatud PyPI tarkvarahoidlale Pythoni rakenduste jaoks.

Ohutegijad laadisid üles rikutud pakette nimedega "pycryptoenv" ja "pycryptoconf", mis on nime poolest sarnased Pythoni jaoks mõeldud seadusliku "pycrypto" krüptimise tööriistakomplektiga. Arendajad, kes saavad pettusega õelaid pakette oma Windowsi masinatesse alla laadima, on nakatunud ohtliku troojalasega, mida tuntakse Comebackeri nime all.

"Seekord kinnitatud pahatahtlikke Pythoni pakette on alla laaditud umbes 300 kuni 1,200 korda," Jaapan CERT ütles eelmise kuu lõpus välja antud hoiatuses. „Ründajad võivad pahavara allalaadimiseks sihtida kasutajate kirjavigu.”

Gartneri vanemdirektor ja analüütik Dale Gardner kirjeldab Comebackerit kui üldotstarbelist troojalast, mida kasutatakse lunavara eemaldamiseks, volikirjade varastamiseks ja arendustorusse tungimiseks.

Comebackerit on kasutatud teistes Põhja-Koreaga seotud küberrünnakutes, sealhulgas rünnak npm tarkvaraarenduse hoidla vastu.

„Rünnak on kirjakeele rünnak – antud juhul sõltuvussegaduse rünnak. Arendajaid meelitatakse alla laadima pahatahtlikku koodi sisaldavaid pakette, ”ütleb Gardner.

Viimane rünnak tarkvarahoidlad on tüüp, mis on viimase aasta jooksul hüppeliselt kasvanud.

"Seda tüüpi rünnakute arv kasvab kiiresti – Sonatype 2023 avatud lähtekoodiga aruanne näitas, et 245,000. aastal avastati 2023 2019 sellist paketti, mis on kaks korda suurem kui XNUMX. aastaga võrreldes," ütleb Gardner.

Aasia arendajad "ebaproportsionaalselt" mõjutatud

PyPI on globaalse haardega tsentraliseeritud teenus, nii et arendajad kogu maailmas peaksid olema Lazarus Groupi viimase kampaania suhtes valvel.

Gardner märgib, et see rünnak ei mõjuta ainult Jaapani ja lähipiirkondade arendajaid. "See on midagi, mille eest peaksid arendajad kõikjal valvel olema."

Teised eksperdid väidavad, et grupi Lazarus viimane rünnak ohustab rohkem inimesi, kelle emakeel inglise keelt ei räägi.

Netify tehnoloogiaekspert ja infoturbe juht Taimur Ijlal ütleb, et rünnak "võib ebaproportsionaalselt mõjutada Aasia arendajaid" keelebarjääride ja vähema juurdepääsu tõttu turvateabele.

"Piiratud ressurssidega arendusmeeskondadel võib arusaadavalt olla vähem ribalaiust rangete koodiülevaatuste ja auditite jaoks, " ütleb Ijlal.

Academic Influence'i uurimisdirektor Jed Macosko ütleb, et Ida-Aasia rakenduste arenduskogukonnad on jagatud tehnoloogiate, platvormide ja keeleliste ühisjoonte tõttu tavaliselt tihedamalt integreeritud kui mujal maailmas.

Ta ütleb, et ründajad võivad püüda neid piirkondlikke sidemeid ja "usaldusväärseid suhteid" ära kasutada.

Macosko märgib, et Aasia väikestel ja alustavatel tarkvaraettevõtetel on tavaliselt piiratud turbeeelarve kui nende analoogidel läänes. "See tähendab nõrgemaid protsesse, tööriistu ja intsidentidele reageerimise võimeid – muutes sissetungimise ja püsivuse keerukamate ohus osalejate jaoks saavutatavamaks eesmärkideks."

Küberkaitse

Rakenduste arendajate kaitsmine nende tarkvara tarneahela rünnakute eest on "raske ja nõuab üldiselt mitmeid strateegiaid ja taktikaid," ütleb Gartneri Gardner.

Arendajad peaksid olema avatud lähtekoodiga sõltuvuste allalaadimisel ettevaatlikud ja ettevaatlikud. "Arvestades tänapäeval kasutatava avatud lähtekoodiga arvu ja kiirete arenduskeskkondade survet, on isegi hästi koolitatud ja valvsa arendaja jaoks lihtne viga teha," hoiatab Gardner.

See muudab automatiseeritud lähenemisviisid "avatud lähtekoodiga haldamiseks ja kontrollimiseks" oluliseks kaitsemeetmeks, lisab ta.

"Tarkvara koostise analüüsi (SCA) tööriistu saab kasutada sõltuvuste hindamiseks ja need võivad aidata tuvastada võltsinguid või seaduslikke pakette, mis on ohustatud," soovitab Gardner, lisades, et "paketide ennetav testimine pahatahtliku koodi olemasolu suhtes" ja pakettide valideerimine pakettide abil. ka juhid saavad riske maandada.

"Näeme, et mõned organisatsioonid loovad eraregistreid," ütleb ta. "Neid süsteeme toetavad protsessid ja tööriistad, mis aitavad avatud lähtekoodiga kontrollida, et see oleks legitiimne" ega sisalda turvaauke ega muid riske, lisab ta.

PiPI No Stranger to Danger

Increditoolsi tehnoloogiaeksperdi ja turbeanalüütiku Kelly Indah sõnul võivad arendajad astuda samme kokkupuute vähendamiseks, kuid kuritarvitamise ärahoidmise kohustus langeb platvormi pakkujatele, nagu PyPI. See pole esimene kord pahatahtlikud paketid on peale libisenud inimesele.

"Iga piirkonna arendusmeeskonnad toetuvad võtmehoidlate usaldusele ja turvalisusele, " ütleb Indah.
„See Lazaruse juhtum õõnestab seda usaldust. Kuid tänu täiustatud valvsusele ja arendajate, projektijuhtide ja platvormide pakkujate koordineeritud reageerimisele saame teha koostööd terviklikkuse ja usalduse taastamiseks.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack