Japonia obwinia Koreę Północną za cyberatak na łańcuch dostaw PyPI

Japońscy urzędnicy ds. cyberbezpieczeństwa ostrzegli, że niesławny północnokoreański zespół hakerski Lazarus Group przeprowadził niedawno atak na łańcuch dostaw, którego celem było repozytorium oprogramowania PyPI dla aplikacji Python.

Podmioty zagrażające przesłały skażone pakiety o nazwach takich jak „pycryptoenv” i „pycryptoconf” – nazwach podobnych do legalnego zestawu narzędzi do szyfrowania „pycrypto” dla języka Python. Programiści, którzy dadzą się oszukać i pobiorą nikczemne pakiety na swoje komputery z systemem Windows, zostają zainfekowani niebezpiecznym trojanem znanym jako Comebacker.

„Potwierdzone tym razem złośliwe pakiety Pythona zostały pobrane około 300 do 1,200 razy” – podał Japan CERT w ostrzeżeniu wydanym pod koniec ubiegłego miesiąca. „Atakujący mogą celuć w literówki użytkowników, aby pobrać złośliwe oprogramowanie”.

Dale Gardner, starszy dyrektor i analityk firmy Gartner, opisuje Comebackera jako trojana ogólnego przeznaczenia wykorzystywanego do upuszczania oprogramowania ransomware, kradzieży danych uwierzytelniających i infiltrowania procesu programowania.

Comebacker został wykorzystany w innych cyberatakach powiązanych z Koreą Północną, w tym w atak na repozytorium rozwoju oprogramowania npm.

„Atak jest formą typosquattingu – w tym przypadku ataku polegającego na pomyleniu zależności. Programiści są oszukiwani i pobierają pakiety zawierające złośliwy kod” – mówi Gardner.

Najnowszy atak na repozytoria oprogramowania to typ, który wzrósł w ciągu ostatniego roku.

„Tego rodzaju ataki szybko rosną – raport open source Sonatype 2023 ujawnił, że w 245,000 r. odkryto 2023 2019 takich pakietów, czyli dwukrotnie więcej niż liczba wykrytych pakietów łącznie od XNUMX r.” – mówi Gardner.

Azjatyccy programiści dotknięci „nieproporcjonalnie”.

PyPI to scentralizowana usługa o globalnym zasięgu, dlatego programiści na całym świecie powinni być czujni na najnowszą kampanię Lazarus Group.

„Ten atak nie dotknie wyłącznie deweloperów w Japonii i pobliskich regionach, podkreśla Gardner. „To coś, czego programiści na całym świecie powinni mieć się na baczności”.

Inni eksperci twierdzą, że osoby, dla których język angielski nie jest rodzimym językiem, mogą być bardziej narażone na najnowszy atak Grupy Lazarus.

Atak „może nieproporcjonalnie wpłynąć na programistów w Azji” ze względu na bariery językowe i mniejszy dostęp do informacji dotyczących bezpieczeństwa, mówi Taimur Ijlal, ekspert ds. technologii i lider ds. bezpieczeństwa informacji w Netify.

„Zespoły programistów dysponujące ograniczonymi zasobami mogą, co zrozumiałe, mieć mniejszą przepustowość na potrzeby rygorystycznych przeglądów i audytów kodu” – mówi Ijlal.

Jed Macosko, dyrektor ds. badań w Academic Influence, twierdzi, że społeczności tworzące aplikacje w Azji Wschodniej „są zazwyczaj ściślej zintegrowane niż w innych częściach świata ze względu na wspólne technologie, platformy i podobieństwa językowe”.

Mówi, że napastnicy mogą chcieć wykorzystać te regionalne powiązania i „zaufane relacje”.

Macosko zauważa, że ​​małe i start-upy firmy produkujące oprogramowanie w Azji mają zazwyczaj bardziej ograniczone budżety na bezpieczeństwo niż ich odpowiednicy na Zachodzie. „Oznacza to słabsze procesy, narzędzia i możliwości reagowania na incydenty, dzięki czemu infiltracja i trwałość stają się bardziej osiągalnymi celami dla wyrafinowanych cyberprzestępców”.

Cyberobrona

Ochrona twórców aplikacji przed atakami na łańcuch dostaw oprogramowania jest „trudna i zazwyczaj wymaga szeregu strategii i taktyk” – mówi Gardner z firmy Gartner.

Twórcy powinni zachować większą ostrożność i ostrożność podczas pobierania zależności typu open source. „Biorąc pod uwagę ilość wykorzystywanego obecnie oprogramowania typu open source i presję szybko rozwijających się środowisk programistycznych, nawet dobrze wyszkolony i czujny programista łatwo może popełnić błąd” – ostrzega Gardner.

To sprawia, że ​​zautomatyzowane podejście do „zarządzania otwartym oprogramowaniem i jego sprawdzaniem” jest niezbędnym środkiem ochronnym – dodaje.

„Narzędzia do analizy składu oprogramowania (SCA) można wykorzystać do oceny zależności i pomóc w wykryciu fałszywych lub legalnych pakietów, które zostały zhakowane” – radzi Gardner, dodając, że „proaktywne testowanie pakietów pod kątem obecności złośliwego kodu” i sprawdzanie poprawności pakietów przy użyciu pakietu menedżerowie również mogą ograniczać ryzyko.

„Widzimy, że niektóre organizacje tworzą prywatne rejestry” – mówi. „Systemy te są wspierane przez procesy i narzędzia, które pomagają weryfikować oprogramowanie typu open source pod kątem jego legalności” i nie zawierają luk w zabezpieczeniach ani innych zagrożeń – dodaje.

PiPI nie jest obce niebezpieczeństwom

Chociaż programiści mogą podjąć kroki w celu ograniczenia narażenia, odpowiedzialność za zapobieganie nadużyciom spoczywa na dostawcach platform, takich jak PyPI, twierdzi Kelly Indah, ekspert ds. technologii i analityk bezpieczeństwa w Increditools. To nie jest pierwszy raz złośliwe pakiety zostały wsunięte na Platforma.

„Zespoły programistów w każdym regionie polegają na zaufaniu i bezpieczeństwie kluczowych repozytoriów” – mówi Indah.
„Incydent z Łazarzem podważa to zaufanie. Jednak dzięki zwiększonej czujności i skoordynowanej reakcji programistów, liderów projektów i dostawców platform możemy współpracować, aby przywrócić integralność i zaufanie”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack