Japani syyttää Pohjois-Koreaa PyPI-toimitusketjun kyberhyökkäyksestä

Japanin kyberturvallisuusviranomaiset varoittivat, että Pohjois-Korean pahamaineinen Lazarus Group -hakkerointitiimi teki äskettäin toimitusketjuhyökkäyksen Python-sovellusten PyPI-ohjelmistovarastoon.

Uhkatoimijat latasivat pilaantuneita paketteja, joiden nimi oli "pycryptoenv" ja "pycryptoconf" – samanlainen nimi kuin Pythonin laillinen "pycrypto"-salaustyökalupaketti. Kehittäjät, jotka joutuvat huijatuksi lataamaan ilkeitä paketteja Windows-koneilleen, ovat saaneet vaarallisen troijalaisen, joka tunnetaan nimellä Comebacker, tartunnan.

"Tällä kertaa vahvistetut haitalliset Python-paketit on ladattu noin 300 - 1,200 XNUMX kertaa." Japani CERT sanoi varoituksessaan viime kuun lopussa. "Hyökkääjät saattavat kohdistaa käyttäjien kirjoitusvirheisiin haittaohjelman lataamisen."

Gartnerin vanhempi johtaja ja analyytikko Dale Gardner kuvailee Comebackeria yleiskäyttöiseksi troijalaiseksi, jota käytetään lunnasohjelmien pudotukseen, valtuustietojen varastamiseen ja kehitysputkiin soluttautumiseen.

Comebackeria on käytetty muissa Pohjois-Koreaan liittyvissä kyberhyökkäuksissa, mukaan lukien hyökkäys npm-ohjelmistokehitystietovarastoon.

”Hyökkäys on eräänlainen kirjoitusvirhehyökkäys – tässä tapauksessa riippuvuushäiriöhyökkäys. Kehittäjiä huijataan lataamaan haitallista koodia sisältäviä paketteja”, Gardner sanoo.

Viimeisin hyökkäys ohjelmistovarastot on tyyppi, joka on lisääntynyt viimeisen vuoden aikana.

"Tämäntyyppiset hyökkäykset lisääntyvät nopeasti – Sonatype 2023:n avoimen lähdekoodin raportti paljasti, että vuonna 245,000 löydettiin 2023 2019 tällaista pakettia, mikä on kaksi kertaa enemmän kuin löydettyjä paketteja yhteensä vuodesta XNUMX", Gardner sanoo.

Vaikutus aasialaisiin kehittäjiin "suhteettoman paljon".

PyPI on keskitetty palvelu, jolla on maailmanlaajuinen kattavuus, joten kehittäjien maailmanlaajuisesti tulisi olla valppaana tämän Lazarus Groupin viimeisimmän kampanjan suhteen.

"Tämä hyökkäys ei kosketa vain Japanin ja lähialueiden kehittäjiä", Gardner huomauttaa. "Se on jotain, jota kehittäjien tulee kaikkialla olla varuillaan."

Muut asiantuntijat sanovat, että englannin äidinkielenään puhujat voivat olla suuremmassa vaarassa tämän Lazarus-ryhmän viimeisimmän hyökkäyksen vuoksi.

Hyökkäys "voi vaikuttaa suhteettoman paljon Aasian kehittäjiin" kielimuurien ja heikentyneen tietoturvatietojen vuoksi, Netifyn tekninen asiantuntija ja tietoturvajohtaja Taimur Ijlal sanoo.

"Kehitystiimeillä, joilla on rajalliset resurssit, voi ymmärrettävästi olla vähemmän kaistanleveyttä tiukkoja koodintarkastuksia ja auditointeja varten", Ijlal sanoo.

Academic Influencen tutkimusjohtaja Jed Macosko sanoo, että Itä-Aasian sovelluskehitysyhteisöt ovat "yleensä integroituneita tiiviimmin kuin muualla maailmassa yhteisten teknologioiden, alustojen ja kielellisten yhteisten piirteiden vuoksi".

Hän sanoo, että hyökkääjät saattavat pyrkiä hyödyntämään näitä alueellisia yhteyksiä ja "luotettuja suhteita".

Pienillä ja startup-ohjelmistoyrityksillä Aasiassa on tyypillisesti rajoitetummat tietoturvabudjetit kuin lännen vastaavilla, Macosko huomauttaa. "Tämä tarkoittaa heikompia prosesseja, työkaluja ja häiriötilanteiden reagointivalmiuksia – mikä tekee soluttautumisen ja pysyvyyden saavutettavissa olevista tavoitteista kehittyneille uhkatoimijoille."

Kyberpuolustus

Sovelluskehittäjien suojaaminen näiltä ohjelmistojen toimitusketjun hyökkäyksiltä on "vaikeaa ja vaatii yleensä useita strategioita ja taktiikoita", Gartnerin Gardner sanoo.

Kehittäjien tulee olla erityisen varovaisia ​​ja varovaisia ​​lataaessaan avoimen lähdekoodin riippuvuuksia. "Tänään käytetyn avoimen lähdekoodin määrän ja nopeatempoisten kehitysympäristöjen paineet huomioon ottaen jopa hyvin koulutetun ja valppaan kehittäjän on helppo tehdä virhe", Gardner varoittaa.

Tämä tekee automaattisista lähestymistavoista "avoimen lähdekoodin hallintaan ja tarkistamiseen" välttämättömän suojatoimenpiteen, hän lisää.

"Ohjelmiston koostumuksen analysointityökaluja (SCA) voidaan käyttää riippuvuuksien arvioimiseen, ja ne voivat auttaa havaitsemaan väärennöksiä tai laillisia paketteja, jotka ovat vaarantuneet", Gardner neuvoo ja lisää, että "tarkistaa paketit ennakoivasti haitallisen koodin esiintymisen varalta" ja tarkistamalla paketit paketin avulla. johtajat voivat myös vähentää riskejä.

"Näemme joidenkin organisaatioiden perustavan yksityisiä rekistereitä", hän sanoo. "Näitä järjestelmiä tukevat prosessit ja työkalut, jotka auttavat tarkastamaan avoimen lähdekoodin sen laillisuuden" ja eivät sisällä haavoittuvuuksia tai muita riskejä, hän lisää.

PiPI No Stranger to Danger

Vaikka kehittäjät voivat ryhtyä toimiin vähentääkseen altistumista, taakka on alustan tarjoajilla, kuten PyPI:llä, estää väärinkäytökset, sanoo Kelly Indah, Increditoolsin teknologia-asiantuntija ja tietoturva-analyytikko. Tämä ei ole ensimmäinen kerta haitallisia paketteja on sujahtanut päälle foorumi.

"Kehittäjätiimit kaikilla alueilla luottavat avaintietovarastojen luottamukseen ja turvallisuuteen", Indah sanoo.
"Tämä Lasaruksen tapaus horjuttaa tätä luottamusta. Mutta tehostetun valppauden ja kehittäjien, projektijohtajien ja alustan tarjoajien koordinoidun vastauksen avulla voimme työskennellä yhdessä palauttaaksemme eheyden ja luottamuksen."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack