日本のサイバーセキュリティ当局者は、北朝鮮の悪名高いLazarus Groupハッキングチームが最近、PythonアプリのPyPIソフトウェアリポジトリを標的としたサプライチェーン攻撃を行ったと警告した。
攻撃者は、「pycryptoenv」や「pycryptoconf」などの名前の汚染されたパッケージをアップロードしました。これは、Python 用の正規の「pycrypto」暗号化ツールキットと名前が似ています。だまされて極悪なパッケージを Windows マシンにダウンロードさせられた開発者は、Comebacker として知られる危険なトロイの木馬に感染します。
「今回確認された悪意のあるPythonパッケージは、約300~1,200回ダウンロードされています。」 日本のCERTは先月末に出された警告の中でこう述べた。 「攻撃者はユーザーのタイプミスを狙ってマルウェアをダウンロードさせている可能性があります。」
Gartner シニア ディレクター兼アナリストの Dale Gardner 氏は、Comebacker について、ランサムウェアの投下、資格情報の窃取、開発パイプラインへの侵入に使用される汎用トロイの木馬であると説明しています。
Comebacker は、北朝鮮に関連する他のサイバー攻撃にも導入されています。 npm ソフトウェア開発リポジトリに対する攻撃。
「この攻撃はタイポスクワッティングの一種であり、この場合は依存関係を混乱させる攻撃です。開発者はだまされて悪意のあるコードを含むパッケージをダウンロードさせられます」とガードナー氏は言う。
最新の攻撃 ソフトウェアリポジトリ ここ1年ほどで急増したタイプです。
「この種の攻撃は急速に増加しています。Sonatype 2023 オープンソース レポートによると、245,000 年にはそのようなパッケージが 2023 個発見されました。これは、2019 年以降に発見されたパッケージを合わせた数の XNUMX 倍です」とガードナー氏は言います。
アジアの開発者が「不当に」影響を受ける
PyPI はグローバルに展開する集中型サービスであるため、世界中の開発者は Lazarus Group によるこの最新のキャンペーンに警戒する必要があります。
「この攻撃は日本とその近隣地域の開発者だけに影響を与えるものではないとガードナー氏は指摘します。 「これは世界中の開発者が警戒すべきことです。」
他の専門家は、英語を母国語としない人々はラザラス・グループによる今回の攻撃の危険にさらされる可能性があると述べている。
Netify の技術専門家であり情報セキュリティ リーダーである Taimur Ijlal 氏は、言語の壁とセキュリティ情報へのアクセスが少ないため、この攻撃は「アジアの開発者に過度の影響を与える可能性がある」と述べています。
「リソースが限られている開発チームでは、当然のことながら、厳密なコード レビューや監査のための帯域幅が少なくなる可能性があります」と Ijlal 氏は言います。
Academic Influence のリサーチディレクター、ジェド・マコスコ氏は、東アジアのアプリ開発コミュニティは「テクノロジー、プラットフォーム、言語の共通点が共有されているため、世界の他の地域よりも緊密に統合される傾向がある」と述べています。
同氏は、攻撃者はこうした地域的なつながりや「信頼関係」を利用しようとしている可能性があると述べている。
アジアの小規模な新興ソフトウェア会社は、通常、西側諸国に比べてセキュリティ予算が限られているとマコスコ氏は指摘する。 「これは、プロセス、ツール、インシデント対応能力が弱くなることを意味し、洗練された脅威アクターにとって侵入と永続化がより達成可能な目標になります。」
サイバーディフェンス
こうしたソフトウェア サプライ チェーン攻撃からアプリケーション開発者を保護することは「困難であり、一般に多くの戦略と戦術が必要です」と Gartner の Gardner 氏は述べています。
開発者は、オープンソースの依存関係をダウンロードする際には、より細心の注意を払う必要があります。 「今日使用されているオープンソースの量と、ペースの速い開発環境のプレッシャーを考慮すると、十分な訓練を受け、用心深い開発者であっても間違いを犯すのは簡単です」とガードナー氏は警告します。
このため、「オープンソースの管理と精査」に対する自動化されたアプローチが不可欠な保護手段となる、と同氏は付け加えた。
「ソフトウェア構成分析 (SCA) ツールは依存関係を評価するために使用でき、侵害された偽のパッケージや正規のパッケージを発見するのに役立ちます」とガードナー氏はアドバイスし、「悪意のあるコードの存在についてパッケージを積極的にテスト」し、パッケージを使用してパッケージを検証することを付け加えました。管理者もリスクを軽減できます。
「いくつかの組織が非公開のレジストリを確立しているのを目にします」と彼は言います。 「これらのシステムは、オープンソースを精査して合法であることを確認するのに役立つプロセスとツールによってサポートされており」、脆弱性やその他のリスクが含まれていないと同氏は付け加えた。
PiPI ノー・ストレンジャー・トゥ・デンジャー
Increditools の技術専門家でセキュリティ アナリストの Kelly Indah 氏によると、開発者は露出を減らすための措置を講じることができますが、悪用を防ぐ責任は PyPI などのプラットフォーム プロバイダーにあります。これは初めてではありません 悪意のあるパッケージ に滑り落ちてしまった プラットフォーム.
「どの地域の開発者チームも、主要なリポジトリの信頼性とセキュリティに依存しています」と Indah 氏は言います。
「今回のラザロの事件はその信頼を揺るがすものです。しかし、警戒を強化し、開発者、プロジェクトリーダー、プラットフォームプロバイダーが連携して対応することで、私たちは協力して誠実さと信頼を回復することができます。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
- :持っている
- :は
- :not
- 000
- 1
- 200
- 2019
- 2023
- 300
- 7
- a
- 虐待
- アカデミック
- アクセス
- 従った
- 俳優
- 追加
- 追加
- 利点
- 影響を及ぼす
- 影響を受けました
- 警告
- また
- 量
- an
- 分析
- アナリスト
- および
- アプリ
- アプリ開発
- 申し込み
- アプローチ
- 約
- アプリ
- です
- AS
- アジア
- アジアン
- At
- 攻撃
- 攻撃
- 達成できる
- 監査
- 自動化
- 帯域幅
- 障壁
- BE
- き
- 予算
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- キャンペーン
- 缶
- 機能
- これ
- 場合
- 注意
- 集中型の
- チェーン
- コード
- 組み合わせた
- コミュニティ
- 構図
- 損害を受けた
- 信頼
- 確認済み
- 混乱
- Connections
- 含む
- コーディネート
- 可能性
- 対応
- Credentials
- サイバー
- サイバー攻撃
- サイバー攻撃
- サイバーセキュリティ
- 危険
- 危険な
- 防衛
- 依存関係
- 依存関係
- 展開
- 説明する
- Developer
- 開発者
- 開発
- 開発チーム
- 難しい
- 取締役
- 発見
- do
- doesnの
- ダウンロード
- 落ちる
- 原因
- 東
- 簡単に
- 暗号化
- 英語
- 強化された
- 確保
- 環境
- 本質的な
- 確立
- 評価する
- さらに
- あらゆる
- 運動
- エキスパート
- 専門家
- 暴露
- フォールズ
- テンポの速い
- 企業
- 名
- 初回
- フォーム
- から
- ガードナー
- ガートナー
- 一般に
- 取得する
- 与えられた
- グローバル
- 目標
- グループ
- 成長
- ガード
- ハッキング
- 持ってる
- he
- 助けます
- HTML
- HTTPS
- 影響
- in
- その他の
- 事件
- インシデント対応
- 含めて
- 増加した
- 悪名高いです
- 感染します
- 影響
- 情報
- 情報セキュリティー
- 統合された
- 整合性
- に
- ISN
- 発行済み
- IT
- 日本
- JPG
- キー
- 既知の
- 韓国
- 言語
- 姓
- 昨年
- 遅く
- 最新の
- ラザロ
- ラザログループ
- リーダー
- リーダー
- 正当な
- less
- ような
- 限定的
- リンク
- 探して
- 下側
- マシン
- make
- 作る
- 作成
- 悪意のある
- マルウェア
- マネージャー
- 管理する
- 五月..
- 手段
- だけど
- ミス
- 軽減する
- 月
- 他には?
- 名
- 名
- いいえ
- 非ネイティブ
- ノース
- 北朝鮮
- ノート
- 数
- of
- 関係者
- on
- の
- 〜に
- 責任
- 開いた
- オープンソース
- or
- 組織
- その他
- でる
- が
- パッケージ
- パッケージ
- 部品
- 持続性
- パイプライン
- プラットフォーム
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- プレゼンス
- 圧力
- 防ぐ
- プライベート
- ラボレーション
- プロジェクト
- 保護
- プロバイダ
- 目的
- Python
- ランサムウェア
- 急速に
- リーチ
- 最近
- 地域
- 地域の
- 地域
- レジストリ
- の関係
- 頼る
- レポート
- 倉庫
- 必要
- 研究
- リソース
- 応答
- リストア
- 明らかに
- レビュー
- 厳しい
- リスク
- リスク
- s
- 前記
- 言う
- 言う
- セキュリティ
- シニア
- サービス
- shared
- すべき
- 同様の
- から
- So
- ソフトウェア
- ソフトウェア開発
- ソフトウェアサプライチェーン
- 一部
- 何か
- 洗練された
- ソース
- スピーカー
- スポッティング
- スタートアップ
- ステップ
- 見知らぬ人
- 作戦
- そのような
- 供給
- サプライチェーン
- サポート
- 急上昇
- システム
- 戦術
- 取る
- ターゲット
- チーム
- チーム
- テク
- テクノロジー
- 傾向があります
- テスト
- より
- それ
- ウェスト
- 世界
- アプリ環境に合わせて
- ボーマン
- この
- それらの
- 脅威
- 脅威アクター
- 介して
- しっかり
- 時間
- <font style="vertical-align: inherit;">回数</font>
- 〜へ
- 今日
- 一緒に
- ツールキット
- 豊富なツール群
- だまさ
- トロイの
- 信頼
- 信頼されている
- Twice
- type
- 一般的に
- 理解しやすい
- アップロード
- 中古
- users
- 検証
- VET
- 警戒
- 脆弱性
- 警告
- 警告
- 警告する
- ました
- we
- 弱い
- した
- ウェスト
- いつ
- which
- 誰
- ウィンドウズ
- 仕事
- 共に働く
- 世界
- でしょう
- 年
- ゼファーネット