Jepang Menyalahkan Korea Utara atas Serangan Siber Rantai Pasokan PyPI

Pejabat keamanan siber Jepang memperingatkan bahwa tim peretas Lazarus Group yang terkenal di Korea Utara baru-baru ini melancarkan serangan rantai pasokan yang menargetkan repositori perangkat lunak PyPI untuk aplikasi Python.

Pelaku ancaman mengunggah paket tercemar dengan nama seperti “pycryptoenv” dan “pycryptoconf” — namanya mirip dengan perangkat enkripsi “pycrypto” yang sah untuk Python. Pengembang yang tertipu untuk mengunduh paket jahat ke mesin Windows mereka terinfeksi Trojan berbahaya yang dikenal sebagai Comebacker.

“Paket Python berbahaya yang dikonfirmasi kali ini telah diunduh sekitar 300 hingga 1,200 kali,” Japan CERT mengatakan dalam peringatan yang dikeluarkan akhir bulan lalu. “Penyerang mungkin menargetkan kesalahan ketik pengguna agar malware dapat diunduh.”

Direktur senior dan analis Gartner Dale Gardner menggambarkan Comebacker sebagai Trojan tujuan umum yang digunakan untuk menjatuhkan ransomware, mencuri kredensial, dan menyusup ke jalur pengembangan.

Comebacker telah dikerahkan dalam serangan siber lain yang terkait dengan Korea Utara, termasuk serangan pada repositori pengembangan perangkat lunak npm.

“Serangan ini merupakan salah satu bentuk kesalahan ketik – dalam hal ini, serangan kebingungan ketergantungan. Pengembang tertipu untuk mengunduh paket yang berisi kode berbahaya,” kata Gardner.

Serangan terbaru pada repositori perangkat lunak adalah jenis yang telah melonjak selama setahun terakhir ini.

“Jenis serangan ini berkembang pesat – laporan sumber terbuka Sonatype 2023 mengungkapkan 245,000 paket serupa ditemukan pada tahun 2023, dua kali lipat jumlah paket yang ditemukan, jika digabungkan, sejak tahun 2019,” kata Gardner.

Pengembang di Asia “Sangat Terkena Dampaknya”.

PyPI adalah layanan terpusat dengan jangkauan global, sehingga pengembang di seluruh dunia harus waspada terhadap kampanye terbaru dari Lazarus Group ini.

“Serangan ini bukanlah sesuatu yang hanya akan berdampak pada pengembang di Jepang dan wilayah sekitarnya, Gardner menekankan. “Ini adalah sesuatu yang harus diwaspadai oleh pengembang di mana pun.”

Pakar lain mengatakan bahwa mereka yang bukan penutur asli bahasa Inggris mungkin lebih berisiko terkena serangan terbaru yang dilakukan oleh Lazarus Group.

Serangan tersebut “dapat berdampak secara tidak proporsional terhadap pengembang di Asia,” karena kendala bahasa dan kurangnya akses terhadap informasi keamanan, kata Taimur Ijlal, pakar teknologi dan pemimpin keamanan informasi di Netify.

“Tim pengembangan dengan sumber daya terbatas mungkin memiliki bandwidth yang lebih sedikit untuk peninjauan dan audit kode yang ketat,” kata Ijlal.

Jed Macosko, direktur penelitian di Academic Influence, mengatakan komunitas pengembangan aplikasi di Asia Timur “cenderung lebih terintegrasi dibandingkan di belahan dunia lain karena kesamaan teknologi, platform, dan kesamaan bahasa.”

Dia mengatakan para penyerang mungkin ingin memanfaatkan koneksi regional dan “hubungan tepercaya” tersebut.

Perusahaan-perusahaan perangkat lunak kecil dan baru di Asia biasanya memiliki anggaran keamanan yang lebih terbatas dibandingkan perusahaan-perusahaan di negara-negara Barat, kata Macosko. “Hal ini berarti proses, alat, dan kemampuan respons terhadap insiden menjadi lebih lemah – menjadikan infiltrasi dan persistensi menjadi tujuan yang lebih mudah dicapai oleh pelaku ancaman yang canggih.”

Pertahanan Cyber

Melindungi pengembang aplikasi dari serangan rantai pasokan perangkat lunak ini “sulit dan umumnya memerlukan sejumlah strategi dan taktik,” kata Gardner dari Gartner.

Pengembang harus lebih berhati-hati dan berhati-hati saat mengunduh dependensi sumber terbuka. “Mengingat jumlah open source yang digunakan saat ini dan tekanan lingkungan pengembangan yang bergerak cepat, bahkan pengembang yang terlatih dan waspada pun mudah melakukan kesalahan,” Gardner memperingatkan.

Hal ini menjadikan pendekatan otomatis untuk “mengelola dan memeriksa open source” sebagai tindakan perlindungan yang penting, tambahnya.

“Alat analisis komposisi perangkat lunak (SCA) dapat digunakan untuk mengevaluasi ketergantungan dan dapat membantu mengenali paket palsu atau sah yang telah disusupi,” saran Gardner, menambahkan bahwa “secara proaktif menguji paket untuk mengetahui keberadaan kode berbahaya” dan memvalidasi paket menggunakan package manajer juga dapat memitigasi risiko.

“Kami melihat beberapa organisasi mendirikan registrasi swasta,” katanya. “Sistem ini didukung oleh proses dan alat yang membantu memeriksa sumber terbuka untuk memastikan keabsahannya” dan tidak mengandung kerentanan atau risiko lainnya, tambahnya.

PiPI Tidak Asing dengan Bahaya

Meskipun pengembang dapat mengambil langkah-langkah untuk mengurangi paparan, penyedia platform seperti PyPI bertanggung jawab untuk mencegah penyalahgunaan, menurut Kelly Indah, pakar teknologi dan analis keamanan di Increditools. Ini bukanlah kali pertama paket berbahaya telah tergelincir ke Platform.

“Tim pengembang di setiap wilayah mengandalkan kepercayaan dan keamanan repositori utama,” kata Indah.
“Insiden Lazarus ini merusak kepercayaan itu. Namun melalui peningkatan kewaspadaan dan respons terkoordinasi dari pengembang, pemimpin proyek, dan penyedia platform, kita dapat bekerja sama untuk memulihkan integritas dan kepercayaan.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack