مقامات امنیت سایبری ژاپن هشدار دادند که تیم هکر بدنام Lazarus در کره شمالی اخیراً یک حمله زنجیره تامین را با هدف قرار دادن مخزن نرم افزار PyPI برای برنامه های پایتون انجام داده است.
عوامل تهدید بستههای آلوده را با نامهایی مانند "pycryptoenv" و "pycryptoconf" بارگذاری کردند - از نظر نام مشابه با ابزار رمزگذاری قانونی "pycrypto" برای پایتون. توسعهدهندگانی که فریب میخورند تا بستههای شرور را روی دستگاههای ویندوز خود دانلود کنند، به یک تروجان خطرناک به نام Comebacker آلوده میشوند.
بستههای مخرب پایتون که این بار تأیید شده است تقریباً 300 تا 1,200 بار دانلود شدهاند. CERT ژاپن در اخطاری که اواخر ماه گذشته صادر کرد، گفت. "ممکن است مهاجمان اشتباهات تایپی کاربران را هدف قرار دهند تا بدافزار دانلود شود."
دیل گاردنر، مدیر ارشد و تحلیلگر گارتنر، Comebacker را به عنوان یک تروجان عمومی برای حذف باج افزار، سرقت اعتبار و نفوذ به خط لوله توسعه توصیف می کند.
Comebacker در سایر حملات سایبری مرتبط با کره شمالی، از جمله حملات سایبری، مستقر شده است حمله به مخزن توسعه نرم افزار npm
"حمله نوعی از typosquatting است - در این مورد، یک حمله سردرگمی وابستگی است. گاردنر میگوید، توسعهدهندگان فریب خوردهاند تا بستههای حاوی کدهای مخرب را دانلود کنند.
آخرین حمله به مخازن نرم افزار نوعی است که در یک سال گذشته یا بیشتر افزایش یافته است.
گاردنر میگوید: «این نوع حملات به سرعت در حال رشد هستند – گزارش سوناتایپ 2023 منبع باز نشان داد که 245,000 بسته از این دست در سال 2023 کشف شد که دو برابر تعداد بستههای کشفشده، مجموعاً از سال 2019 بود.
توسعه دهندگان آسیایی "به طور نامتناسبی" تحت تأثیر قرار گرفتند
PyPI یک سرویس متمرکز با دسترسی جهانی است، بنابراین توسعه دهندگان در سراسر جهان باید برای این آخرین کمپین Lazarus Group هوشیار باشند.
گاردنر خاطرنشان می کند: «این حمله چیزی نیست که فقط توسعه دهندگان ژاپن و مناطق اطراف را تحت تأثیر قرار دهد. "این چیزی است که توسعه دهندگان در همه جا باید مراقب آن باشند."
کارشناسان دیگر می گویند که غیر انگلیسی زبانان می توانند بیشتر در معرض خطر حمله اخیر گروه لازاروس باشند.
تیمور اجلال، کارشناس فناوری و رهبر امنیت اطلاعات در نتفای، میگوید این حمله به دلیل موانع زبانی و دسترسی کمتر به اطلاعات امنیتی، ممکن است بر توسعهدهندگان در آسیا تأثیر نامتناسبی بگذارد.
ایجلال میگوید: «تیمهای توسعه با منابع محدود ممکن است پهنای باند کمتری برای بررسیها و ممیزیهای دقیق کد داشته باشند.
جید ماکوسکو، مدیر تحقیقات در Academic Influence، میگوید که جوامع توسعه اپلیکیشن در شرق آسیا «به دلیل فناوریها، پلتفرمها و اشتراکات زبانی مشترک، تمایل بیشتری نسبت به سایر نقاط جهان دارند.»
او می گوید مهاجمان ممکن است به دنبال سوء استفاده از این ارتباطات منطقه ای و "روابط قابل اعتماد" باشند.
ماکوسکو خاطرنشان می کند که شرکت های نرم افزاری کوچک و نوپا در آسیا معمولاً بودجه امنیتی محدودتری نسبت به همتایان خود در غرب دارند. این به معنای ضعیفتر شدن فرآیندها، ابزارها و قابلیتهای واکنش به حادثه است - باعث میشود نفوذ و تداوم اهداف قابلدستیابیتر برای بازیگران تهدیدکننده پیچیدهتر شود.»
دفاع سایبری
گاردنر گارتنر میگوید محافظت از توسعهدهندگان برنامهها در برابر این حملات زنجیره تأمین نرمافزار «دشوار است و عموماً به تعدادی استراتژیها و تاکتیکها نیاز دارد».
توسعه دهندگان باید در هنگام دانلود وابستگی های منبع باز احتیاط و دقت بیشتری به خرج دهند. گاردنر هشدار میدهد: «با توجه به مقدار منبع باز استفاده شده امروزه و فشار محیطهای توسعه سریع، حتی برای یک توسعهدهنده آموزشدیده و هوشیار نیز اشتباه کردن آسان است».
او اضافه می کند که این رویکردهای خودکار برای "مدیریت و بررسی منبع باز" را به یک اقدام حفاظتی ضروری تبدیل می کند.
گاردنر توصیه میکند: «ابزارهای تجزیه و تحلیل ترکیب نرمافزار (SCA) میتوانند برای ارزیابی وابستگیها مورد استفاده قرار گیرند و میتوانند به شناسایی بستههای تقلبی یا قانونی که در معرض خطر قرار گرفتهاند کمک کنند، و افزود که «آزمایش فعال بستهها برای وجود کد مخرب» و تأیید بستهها با استفاده از بسته. مدیران همچنین می توانند ریسک را کاهش دهند.
او میگوید: «ما میبینیم که برخی سازمانها ثبتهای خصوصی ایجاد میکنند. او میافزاید: «این سیستمها توسط فرآیندها و ابزارهایی پشتیبانی میشوند که به بررسی منبع باز برای اطمینان از قانونی بودن آن کمک میکنند» و حاوی آسیبپذیری یا خطرات دیگری نیستند.
PiPI برای خطر غریبه نیست
به گفته کلی ایندا، کارشناس فناوری و تحلیلگر امنیتی در Increditools، در حالی که توسعه دهندگان می توانند اقداماتی را برای کاهش قرار گرفتن در معرض انجام دهند، مسئولیت جلوگیری از سوء استفاده بر عهده ارائه دهندگان پلتفرم مانند PyPI است. این اولین بار نیست بسته های مخرب بر روی لغزیده شده اند سکو.
ایندا میگوید: «تیمهای توسعهدهنده در هر منطقه به اعتماد و امنیت مخازن کلیدی متکی هستند.
"این حادثه لازاروس این اعتماد را تضعیف می کند. اما از طریق افزایش هوشیاری و پاسخی هماهنگ از سوی توسعهدهندگان، رهبران پروژه و ارائهدهندگان پلتفرم، میتوانیم برای بازگرداندن یکپارچگی و اعتماد با یکدیگر همکاری کنیم.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
- : دارد
- :است
- :نه
- 000
- 1
- 200
- 2019
- 2023
- 300
- 7
- a
- سو استفاده کردن
- دانشگاهی
- دسترسی
- مطابق
- بازیگران
- اضافه کردن
- می افزاید:
- مزیت - فایده - سود - منفعت
- اثر
- تحت تاثیر قرار
- هوشیار
- همچنین
- مقدار
- an
- تحلیل
- روانکاو
- و
- نرم افزار
- توسعه برنامه
- کاربرد
- رویکردها
- تقریبا
- برنامه های
- هستند
- AS
- آسیا
- آسیایی
- At
- حمله
- حمله
- قابل دستیابی است
- ممیزی
- خودکار
- پهنای باند
- موانع
- BE
- بوده
- بودجه
- اما
- by
- کمپین بین المللی حقوق بشر
- CAN
- قابلیت های
- اهميت دادن
- مورد
- احتیاط
- متمرکز
- زنجیر
- رمز
- ترکیب شده
- جوامع
- ترکیب
- در معرض خطر
- اعتماد به نفس
- تایید شده
- گیجی
- اتصالات
- شامل
- هماهنگ
- میتوانست
- همتایان
- مجوزها و اعتبارات
- سایبر
- حمله سایبری
- حملات سایبری
- امنیت سایبری
- خطر
- خطرناک
- دفاع
- وابستگی
- وابستگی
- مستقر
- توصیف
- توسعه دهنده
- توسعه دهندگان
- پروژه
- تیم های توسعه
- مشکل
- مدیر
- کشف
- do
- ندارد
- دانلود
- رها کردن
- دو
- شرق
- ساده
- رمزگذاری
- انگلیسی
- افزایش
- اطمینان حاصل شود
- محیط
- ضروری است
- ایجاد
- ارزیابی
- حتی
- هر
- در همه جا
- ورزش
- کارشناس
- کارشناسان
- ارائه
- آبشار
- سریع گام
- شرکت ها
- نام خانوادگی
- بار اول
- برای
- فرم
- از جانب
- گاردنر
- گارتنر
- سوالات عمومی
- عموما
- دریافت کنید
- داده
- جهانی
- اهداف
- گروه
- در حال رشد
- گارد
- هک
- آیا
- he
- کمک
- HTML
- HTTPS
- تأثیر
- in
- در دیگر
- حادثه
- پاسخ حادثه
- از جمله
- افزایش
- ننگین
- عفونی
- نفوذ
- اطلاعات
- امنیت اطلاعات
- یکپارچه
- تمامیت
- به
- نیست
- صادر
- IT
- ژاپن
- JPG
- کلید
- شناخته شده
- کشور کره
- زبان
- نام
- پارسال
- دیر
- آخرین
- جذامی
- گروه لازاروس
- رهبر
- رهبران
- قانونی
- کمتر
- پسندیدن
- محدود شده
- مرتبط
- به دنبال
- کاهش
- ماشین آلات
- ساخت
- باعث می شود
- ساخت
- مخرب
- نرم افزارهای مخرب
- مدیران
- مدیریت
- ممکن است..
- به معنی
- اندازه
- اشتباه
- کاهش
- ماه
- بیش
- نام
- نام
- نه
- غیر بومی
- شمال
- کره شمالی
- یادداشت
- عدد
- of
- مقامات
- on
- فقط
- به سوی
- تعهد
- باز کن
- منبع باز
- or
- سازمان های
- دیگر
- خارج
- روی
- بسته
- بسته
- بخش
- اصرار
- خط لوله
- سکو
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- حضور
- فشار
- جلوگیری از
- خصوصی
- فرآیندهای
- پروژه
- محافظ
- ارائه دهندگان
- هدف
- پــایتــون
- باجافزار
- سریعا
- رسیدن به
- تازه
- منطقه
- منطقهای
- مناطق
- ثبت نام
- روابط
- تکیه
- گزارش
- مخزن
- نیاز
- تحقیق
- منابع
- پاسخ
- بازیابی
- نشان داد
- بررسی
- دقیق
- خطر
- خطرات
- s
- سعید
- گفتن
- می گوید:
- تیم امنیت لاتاری
- دیدن
- ارشد
- سرویس
- به اشتراک گذاشته شده
- باید
- مشابه
- پس از
- So
- نرم افزار
- توسعه نرم افزار
- زنجیره تامین نرم افزار
- برخی از
- چیزی
- مصنوعی
- منبع
- سخنرانان
- لکه بینی
- شروع
- مراحل
- بیگانه
- استراتژی ها
- چنین
- عرضه
- زنجیره تامین
- پشتیبانی
- رسید
- سیستم های
- تاکتیک
- گرفتن
- هدف گذاری
- تیم
- تیم ها
- فن آوری
- فن آوری
- تمایل
- تست
- نسبت به
- که
- La
- غرب
- جهان
- شان
- اینها
- این
- کسانی که
- تهدید
- بازیگران تهدید
- از طریق
- محکم
- زمان
- بار
- به
- امروز
- با هم
- ابزار
- ابزار
- فریب خورده
- تروجان
- اعتماد
- مورد اعتماد
- دو برابر
- نوع
- انواع
- به طور معمول
- قابل درک است
- آپلود شده
- استفاده
- کاربران
- با استفاده از
- اعتبار سنجی
- آموزش و پرورش
- هوشیاری
- آسیب پذیری ها
- هشدار داد
- هشدار
- هشدارها
- بود
- we
- ضعیف تر
- بود
- غرب
- چه زمانی
- که
- WHO
- پنجره
- با
- مهاجرت کاری
- همکاری
- جهان
- در سرتاسر جهان
- خواهد بود
- سال
- زفیرنت