Japán Észak-Koreát hibáztatja a PyPI ellátási lánc kibertámadásáért

Japán kiberbiztonsági tisztviselők arra figyelmeztettek, hogy a hírhedt észak-koreai Lazarus Group hackercsapat a közelmúltban ellátási lánc támadást indított a PyPI Python-alkalmazások tárolója ellen.

A fenyegetés szereplői szennyezett csomagokat töltöttek fel olyan nevekkel, mint a „pycryptoenv” és a „pycryptoconf” – a név hasonló a Python legitim „pycrypto” titkosítási eszközkészletéhez. Azokat a fejlesztőket, akiket becsapnak azzal, hogy letöltsék a rosszindulatú csomagokat Windows-gépeikre, egy veszélyes trójai, a Comebacker megfertőzik.

"Az ezúttal megerősített rosszindulatú Python-csomagokat körülbelül 300-1,200 alkalommal töltötték le" A japán CERT figyelmeztetést adott ki a múlt hónap végén. "Lehet, hogy a támadók a felhasználók gépelési hibáit célozzák meg, hogy letöltsék a rosszindulatú programot."

A Gartner vezető igazgatója és elemzője, Dale Gardner a Comebackert egy általános célú trójai programnak írja le, amelyet zsarolóvírusok eldobására, hitelesítő adatok ellopására és a fejlesztési folyamatba való behatolásra használnak.

A Comebackert más, Észak-Koreához köthető kibertámadásokban is bevetették, köztük egy támadás egy npm szoftverfejlesztési adattár ellen.

„A támadás a typosquatting egyik formája – ebben az esetben egy függőségi zavaros támadás. A fejlesztőket becsapják, hogy rosszindulatú kódot tartalmazó csomagokat töltsenek le” – mondja Gardner.

A legújabb támadás szoftver tárolók egy olyan típus, amely az elmúlt egy évben megugrott.

„Az ilyen típusú támadások rohamosan nőnek – a Sonatype 2023 nyílt forráskódú jelentés szerint 245,000-ban 2023 2019 ilyen csomagot fedeztek fel, ami kétszer annyi, mint XNUMX óta összesen” – mondja Gardner.

Az ázsiai fejlesztők „aránytalanul” érintettek

A PyPI egy globálisan elérhető központosított szolgáltatás, ezért a fejlesztőknek világszerte figyelniük kell a Lazarus Group legújabb kampányára.

„Ez a támadás nem csak a japán és a környező régiók fejlesztőit érintené” – mutat rá Gardner. „Ez olyasvalami, amelyre a fejlesztőknek mindenhol résen kell lenniük.”

Más szakértők szerint a nem angol anyanyelvűek nagyobb veszélynek vannak kitéve a Lazarus Group legújabb támadása miatt.

Taimur Ijlal, a Netify technológiai szakértője és információbiztonsági vezetője szerint a támadás „aránytalanul nagy hatással lehet az ázsiai fejlesztőkre” a nyelvi akadályok és a biztonsági információkhoz való kevésbé hozzáférés miatt.

„A korlátozott erőforrásokkal rendelkező fejlesztőcsapatok érthető módon kevesebb sávszélességgel rendelkeznek a szigorú kódellenőrzésekhez és auditokhoz” – mondja Ijlal.

Jed Macosko, az Academic Influence kutatási igazgatója szerint a kelet-ázsiai alkalmazásfejlesztő közösségek „a megosztott technológiák, platformok és nyelvi közös jellemzők miatt általában szorosabban integrálódnak, mint a világ más részein”.

Azt mondja, hogy a támadók megpróbálhatják kihasználni ezeket a regionális kapcsolatokat és „megbízható kapcsolatokat”.

Az ázsiai kis és startup szoftvercégek általában korlátozottabb biztonsági költségvetéssel rendelkeznek, mint nyugati társaik, jegyzi meg Macosko. „Ez gyengébb folyamatokat, eszközöket és incidensreagálási képességeket jelent – ​​ami a beszivárgást és a kitartást elérhetőbbé teszi a kifinomult fenyegetési szereplők számára.”

Kibervédelem

Az alkalmazásfejlesztők védelme ezekkel a szoftverellátási lánc támadásokkal szemben „nehéz, és általában számos stratégiát és taktikát igényel” – mondja a Gartner Gardner.

A fejlesztőknek fokozott óvatossággal és körültekintéssel kell eljárniuk a nyílt forráskódú függőségek letöltésekor. „Tekintettel a ma használt nyílt forráskódok mennyiségére és a gyors ütemű fejlesztői környezetek nyomására, még egy jól képzett és éber fejlesztő is könnyen hibázhat” – figyelmeztet Gardner.

Ez a „nyílt forráskód kezelésének és ellenőrzésének” automatizált megközelítését alapvető védelmi intézkedéssé teszi – teszi hozzá.

"A szoftverösszetétel-elemző (SCA) eszközök használhatók a függőségek értékelésére, és segíthetnek a hamisítványok vagy a feltört jogos csomagok felderítésében" - tanácsolja Gardner, hozzátéve, hogy "a csomagok proaktív tesztelése rosszindulatú kód jelenlétére", és a csomagok érvényesítése csomag használatával. a menedzserek is mérsékelhetik a kockázatot.

„Azt látjuk, hogy egyes szervezetek magánnyilvántartásokat hoznak létre” – mondja. "Ezeket a rendszereket olyan folyamatok és eszközök támogatják, amelyek segítenek a nyílt forráskód ellenőrzésében, hogy megbizonyosodjanak arról, hogy azok legitimek", és nem tartalmaznak sebezhetőséget vagy egyéb kockázatokat, teszi hozzá.

PiPI No Stranger to Danger

Kelly Indah, az Increditools technológiai szakértője és biztonsági elemzője szerint bár a fejlesztők lépéseket tehetnek a kitettség csökkentése érdekében, a felelősség az olyan platformszolgáltatókra hárul, mint a PyPI, hogy megakadályozzák a visszaéléseket. Nem ez az első alkalom rosszindulatú csomagok rácsúsztak a emelvény.

„A fejlesztői csapatok minden régióban a kulcsfontosságú adattárak bizalmára és biztonságára támaszkodnak” – mondja Indah.
„Ez a Lázár-incidens aláássa ezt a bizalmat. De a fokozott éberség és a fejlesztők, projektvezetők és platformszolgáltatók összehangolt válaszai révén együtt dolgozhatunk az integritás és a bizalom helyreállításán.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack