Japan gir Nord-Korea skylden for PyPI Supply Chain Cyber-angrep

Japanske cybersikkerhetstjenestemenn advarte om at Nord-Koreas beryktede Lazarus Group-hackingteam nylig gjennomførte et forsyningskjedeangrep rettet mot PyPI-programvarelageret for Python-apper.

Trusselaktører lastet opp forurensede pakker med navn som «pycryptoenv» og «pycryptoconf» – lignende navn som det legitime «pycrypto»-krypteringsverktøysettet for Python. Utviklere som blir lurt til å laste ned de uhyggelige pakkene til sine Windows-maskiner, blir infisert med en farlig trojaner kjent som Comebacker.

"De ondsinnede Python-pakkene bekreftet denne gangen har blitt lastet ned omtrent 300 til 1,200 ganger," Japan CERT sa i en advarsel utstedt i slutten av forrige måned. "Angripere kan være rettet mot brukernes skrivefeil for å få lastet ned skadelig programvare."

Gartners seniordirektør og analytiker Dale Gardner beskriver Comebacker som en trojaner for generell bruk som brukes til å droppe løsepengeprogramvare, stjele legitimasjon og infiltrere utviklingsrørledningen.

Comebacker har blitt utplassert i andre nettangrep knyttet til Nord-Korea, inkludert en angrep på et npm-programvareutviklingslager.

"Angrepet er en form for skrivefeil – i dette tilfellet et avhengighetsforvirringsangrep. Utviklere blir lurt til å laste ned pakker som inneholder ondsinnet kode, sier Gardner.

Det siste angrepet på programvarelager er en type som har økt det siste året eller så.

"Disse typer angrep vokser raskt - Sonatype 2023 åpen kildekode-rapport avslørte at 245,000 2023 slike pakker ble oppdaget i 2019, som var dobbelt så mange pakker som ble oppdaget, til sammen, siden XNUMX," sier Gardner.

Asiatiske utviklere "uforholdsmessig" berørt

PyPI er en sentralisert tjeneste med global rekkevidde, så utviklere over hele verden bør være på vakt for denne siste kampanjen til Lazarus Group.

"Dette angrepet er ikke noe som bare vil påvirke utviklere i Japan og nærliggende regioner, påpeker Gardner. "Det er noe som utviklere overalt bør være på vakt for."

Andre eksperter sier at personer som ikke har engelsk som morsmål kan være mer utsatt for dette siste angrepet fra Lazarus Group.

Angrepet «kan uforholdsmessig påvirke utviklere i Asia» på grunn av språkbarrierer og mindre tilgang til sikkerhetsinformasjon, sier Taimur Ijlal, en teknologiekspert og informasjonssikkerhetsleder i Netify.

"Utviklingsteam med begrensede ressurser kan forståelig nok ha mindre båndbredde for strenge kodegjennomganger og revisjoner," sier Ijlal.

Jed Macosko, forskningsdirektør ved Academic Influence, sier apputviklingsmiljøer i Øst-Asia «har en tendens til å være tettere integrert enn i andre deler av verden på grunn av delte teknologier, plattformer og språklige fellestrekk».

Han sier at angripere kan være ute etter å dra nytte av disse regionale forbindelsene og «pålitelige relasjoner».

Små og oppstartsprogramvarefirmaer i Asia har vanligvis mer begrensede sikkerhetsbudsjetter enn deres motparter i Vesten, bemerker Macosko. "Dette betyr svakere prosesser, verktøy og evne til å reagere på hendelser - noe som gjør infiltrasjon og utholdenhet mer oppnåelige mål for sofistikerte trusselaktører."

Cyber ​​Defense

Å beskytte applikasjonsutviklere mot disse programvareforsyningskjedeangrepene er "vanskelig og krever generelt en rekke strategier og taktikker," sier Gartners Gardner.

Utviklere bør utvise økt forsiktighet og forsiktighet når de laster ned åpen kildekode-avhengigheter. "Gitt mengden åpen kildekode som brukes i dag og presset fra fartsfylte utviklingsmiljøer, er det lett for selv en godt trent og årvåken utvikler å gjøre en feil," advarer Gardner.

Dette gjør automatiserte tilnærminger til å "administrere og kontrollere åpen kildekode" til et viktig beskyttelsestiltak, legger han til.

"Verktøy for programvaresammensetningsanalyse (SCA) kan brukes til å evaluere avhengigheter og kan hjelpe til med å oppdage forfalskninger eller legitime pakker som har blitt kompromittert," råder Gardner, og legger til at "proaktivt teste pakker for tilstedeværelse av ondsinnet kode" og validere pakker ved hjelp av pakker ledere kan også redusere risiko.

"Vi ser at noen organisasjoner etablerer private registre," sier han. "Disse systemene støttes av prosesser og verktøy som hjelper veterinæren med åpen kildekode for å sikre at den er legitim" og inneholder ikke sårbarheter eller andre risikoer, legger han til.

PiPI No Stranger to Danger

Mens utviklere kan ta skritt for å redusere eksponeringen, faller ansvaret på plattformleverandører som PyPI for å forhindre misbruk, ifølge Kelly Indah, en teknologiekspert og sikkerhetsanalytiker hos Increditools. Dette er ikke første gang ondsinnede pakker har blitt sklidd inn på plattform.

"Utviklerteam i hver region er avhengig av tilliten og sikkerheten til nøkkellager," sier Indah.
«Denne Lasarus-hendelsen undergraver denne tilliten. Men gjennom økt årvåkenhet og en koordinert respons fra utviklere, prosjektledere og plattformleverandører, kan vi samarbeide for å gjenopprette integritet og tillit.»

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack