ژاپن کره شمالی را مسئول حمله سایبری زنجیره تامین PyPI می‌داند

مقامات امنیت سایبری ژاپن هشدار دادند که تیم هکر بدنام Lazarus در کره شمالی اخیراً یک حمله زنجیره تامین را با هدف قرار دادن مخزن نرم افزار PyPI برای برنامه های پایتون انجام داده است.

عوامل تهدید بسته‌های آلوده را با نام‌هایی مانند "pycryptoenv" و "pycryptoconf" بارگذاری کردند - از نظر نام مشابه با ابزار رمزگذاری قانونی "pycrypto" برای پایتون. توسعه‌دهندگانی که فریب می‌خورند تا بسته‌های شرور را روی دستگاه‌های ویندوز خود دانلود کنند، به یک تروجان خطرناک به نام Comebacker آلوده می‌شوند.

بسته‌های مخرب پایتون که این بار تأیید شده است تقریباً 300 تا 1,200 بار دانلود شده‌اند. CERT ژاپن در اخطاری که اواخر ماه گذشته صادر کرد، گفت. "ممکن است مهاجمان اشتباهات تایپی کاربران را هدف قرار دهند تا بدافزار دانلود شود."

دیل گاردنر، مدیر ارشد و تحلیلگر گارتنر، Comebacker را به عنوان یک تروجان عمومی برای حذف باج افزار، سرقت اعتبار و نفوذ به خط لوله توسعه توصیف می کند.

Comebacker در سایر حملات سایبری مرتبط با کره شمالی، از جمله حملات سایبری، مستقر شده است حمله به مخزن توسعه نرم افزار npm

"حمله نوعی از typosquatting است - در این مورد، یک حمله سردرگمی وابستگی است. گاردنر می‌گوید، توسعه‌دهندگان فریب خورده‌اند تا بسته‌های حاوی کدهای مخرب را دانلود کنند.

آخرین حمله به مخازن نرم افزار نوعی است که در یک سال گذشته یا بیشتر افزایش یافته است.

گاردنر می‌گوید: «این نوع حملات به سرعت در حال رشد هستند – گزارش سوناتایپ 2023 منبع باز نشان داد که 245,000 بسته از این دست در سال 2023 کشف شد که دو برابر تعداد بسته‌های کشف‌شده، مجموعاً از سال 2019 بود.

توسعه دهندگان آسیایی "به طور نامتناسبی" تحت تأثیر قرار گرفتند

PyPI یک سرویس متمرکز با دسترسی جهانی است، بنابراین توسعه دهندگان در سراسر جهان باید برای این آخرین کمپین Lazarus Group هوشیار باشند.

گاردنر خاطرنشان می کند: «این حمله چیزی نیست که فقط توسعه دهندگان ژاپن و مناطق اطراف را تحت تأثیر قرار دهد. "این چیزی است که توسعه دهندگان در همه جا باید مراقب آن باشند."

کارشناسان دیگر می گویند که غیر انگلیسی زبانان می توانند بیشتر در معرض خطر حمله اخیر گروه لازاروس باشند.

تیمور اجلال، کارشناس فناوری و رهبر امنیت اطلاعات در نتفای، می‌گوید این حمله به دلیل موانع زبانی و دسترسی کمتر به اطلاعات امنیتی، ممکن است بر توسعه‌دهندگان در آسیا تأثیر نامتناسبی بگذارد.

ایجلال می‌گوید: «تیم‌های توسعه با منابع محدود ممکن است پهنای باند کمتری برای بررسی‌ها و ممیزی‌های دقیق کد داشته باشند.

جید ماکوسکو، مدیر تحقیقات در Academic Influence، می‌گوید که جوامع توسعه اپلیکیشن در شرق آسیا «به دلیل فناوری‌ها، پلتفرم‌ها و اشتراکات زبانی مشترک، تمایل بیشتری نسبت به سایر نقاط جهان دارند.»

او می گوید مهاجمان ممکن است به دنبال سوء استفاده از این ارتباطات منطقه ای و "روابط قابل اعتماد" باشند.

ماکوسکو خاطرنشان می کند که شرکت های نرم افزاری کوچک و نوپا در آسیا معمولاً بودجه امنیتی محدودتری نسبت به همتایان خود در غرب دارند. این به معنای ضعیف‌تر شدن فرآیندها، ابزارها و قابلیت‌های واکنش به حادثه است - باعث می‌شود نفوذ و تداوم اهداف قابل‌دستیابی‌تر برای بازیگران تهدیدکننده پیچیده‌تر شود.»

دفاع سایبری

گاردنر گارتنر می‌گوید محافظت از توسعه‌دهندگان برنامه‌ها در برابر این حملات زنجیره تأمین نرم‌افزار «دشوار است و عموماً به تعدادی استراتژی‌ها و تاکتیک‌ها نیاز دارد».

توسعه دهندگان باید در هنگام دانلود وابستگی های منبع باز احتیاط و دقت بیشتری به خرج دهند. گاردنر هشدار می‌دهد: «با توجه به مقدار منبع باز استفاده شده امروزه و فشار محیط‌های توسعه سریع، حتی برای یک توسعه‌دهنده آموزش‌دیده و هوشیار نیز اشتباه کردن آسان است».

او اضافه می کند که این رویکردهای خودکار برای "مدیریت و بررسی منبع باز" را به یک اقدام حفاظتی ضروری تبدیل می کند.

گاردنر توصیه می‌کند: «ابزارهای تجزیه و تحلیل ترکیب نرم‌افزار (SCA) می‌توانند برای ارزیابی وابستگی‌ها مورد استفاده قرار گیرند و می‌توانند به شناسایی بسته‌های تقلبی یا قانونی که در معرض خطر قرار گرفته‌اند کمک کنند، و افزود که «آزمایش فعال بسته‌ها برای وجود کد مخرب» و تأیید بسته‌ها با استفاده از بسته. مدیران همچنین می توانند ریسک را کاهش دهند.

او می‌گوید: «ما می‌بینیم که برخی سازمان‌ها ثبت‌های خصوصی ایجاد می‌کنند. او می‌افزاید: «این سیستم‌ها توسط فرآیندها و ابزارهایی پشتیبانی می‌شوند که به بررسی منبع باز برای اطمینان از قانونی بودن آن کمک می‌کنند» و حاوی آسیب‌پذیری یا خطرات دیگری نیستند.

PiPI برای خطر غریبه نیست

به گفته کلی ایندا، کارشناس فناوری و تحلیلگر امنیتی در Increditools، در حالی که توسعه دهندگان می توانند اقداماتی را برای کاهش قرار گرفتن در معرض انجام دهند، مسئولیت جلوگیری از سوء استفاده بر عهده ارائه دهندگان پلتفرم مانند PyPI است. این اولین بار نیست بسته های مخرب بر روی لغزیده شده اند سکو.

ایندا می‌گوید: «تیم‌های توسعه‌دهنده در هر منطقه به اعتماد و امنیت مخازن کلیدی متکی هستند.
"این حادثه لازاروس این اعتماد را تضعیف می کند. اما از طریق افزایش هوشیاری و پاسخی هماهنگ از سوی توسعه‌دهندگان، رهبران پروژه و ارائه‌دهندگان پلتفرم، می‌توانیم برای بازگرداندن یکپارچگی و اعتماد با یکدیگر همکاری کنیم.»

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack