Япония обвиняет Северную Корею в кибератаке на цепочку поставок PyPI

Японские представители кибербезопасности предупредили, что печально известная хакерская группа Lazarus Group из Северной Кореи недавно провела атаку на цепочку поставок, нацеленную на репозиторий программного обеспечения PyPI для приложений Python.

Злоумышленники загружали зараженные пакеты с такими именами, как «pycryptoenv» и «pycryptoconf» — по названию похожие на законный набор инструментов шифрования «pycrypto» для Python. Разработчики, которых обманом заставляют загрузить вредоносные пакеты на свои компьютеры с Windows, заражаются опасным трояном, известным как Comebacker.

«Подтверждено, что вредоносные пакеты Python на этот раз были загружены примерно от 300 до 1,200 раз», Об этом говорится в предупреждении Japan CERT, опубликованном в конце прошлого месяца. «Злоумышленники могут использовать опечатки пользователей, чтобы загрузить вредоносное ПО».

Старший директор и аналитик Gartner Дейл Гарднер описывает Comebacker как трояна общего назначения, используемого для установки программ-вымогателей, кражи учетных данных и проникновения в конвейер разработки.

Comebacker использовался и в других кибератаках, связанных с Северной Кореей, в том числе в атака на репозиторий разработки программного обеспечения npm.

«Атака является формой опечатки – в данном случае атакой с путаницей зависимостей. Разработчиков обманом заставляют загружать пакеты, содержащие вредоносный код», — говорит Гарднер.

Последняя атака на репозитории программного обеспечения это тип, который резко увеличился за последний год или около того.

«Такие типы атак быстро растут: отчет с открытым исходным кодом Sonatype 2023 показал, что в 245,000 году было обнаружено 2023 2019 таких пакетов, что вдвое больше, чем общее количество обнаруженных пакетов с XNUMX года», — говорит Гарднер.

Азиатские девелоперы пострадали «непропорционально»

PyPI — это централизованный сервис с глобальным охватом, поэтому разработчики по всему миру должны быть в курсе этой последней кампании Lazarus Group.

«Эта атака затронет не только разработчиков в Японии и близлежащих регионах, — отмечает Гарднер. «Это то, чего разработчики во всем мире должны быть начеку».

Другие эксперты говорят, что те, для кого английский язык не является родным, могут подвергаться большему риску в результате последней атаки Lazarus Group.

Атака «может непропорционально сильно повлиять на разработчиков в Азии» из-за языковых барьеров и ограниченного доступа к информации о безопасности, говорит Таймур Иджлал, технический эксперт и руководитель информационной безопасности Netify.

«По понятным причинам команды разработчиков с ограниченными ресурсами могут иметь меньшую пропускную способность для тщательного анализа кода и аудита», — говорит Иджлал.

Джед Макоско, директор по исследованиям Academic Influence, говорит, что сообщества разработчиков приложений в Восточной Азии «имеют тенденцию быть более тесно интегрированными, чем в других частях мира, из-за общих технологий, платформ и лингвистических общностей».

Он говорит, что злоумышленники могут попытаться воспользоваться этими региональными связями и «доверительными отношениями».

Макоско отмечает, что небольшие и начинающие компании-разработчики программного обеспечения в Азии обычно имеют более ограниченные бюджеты на безопасность, чем их коллеги на Западе. «Это означает более слабые процессы, инструменты и возможности реагирования на инциденты, что делает проникновение и устойчивость более достижимыми целями для сложных субъектов угроз».

Кибер-обороны

Защита разработчиков приложений от этих атак на цепочку поставок программного обеспечения «сложна и обычно требует ряда стратегий и тактик», говорит Гарднер из Gartner.

Разработчикам следует проявлять повышенную осторожность и осторожность при загрузке зависимостей с открытым исходным кодом. «Учитывая количество используемого сегодня открытого исходного кода и давление быстро меняющейся среды разработки, даже хорошо обученному и бдительному разработчику легко допустить ошибку», — предупреждает Гарднер.

Это делает автоматизированные подходы к «управлению и проверке открытого исходного кода» важной защитной мерой, добавляет он.

«Инструменты анализа состава программного обеспечения (SCA) могут использоваться для оценки зависимостей и могут помочь в обнаружении поддельных или законных пакетов, которые были скомпрометированы», — советует Гарднер, добавляя, что «активное тестирование пакетов на наличие вредоносного кода» и проверка пакетов с помощью пакета менеджеры также могут снизить риск.

«Мы видим, как некоторые организации создают частные реестры», — говорит он. «Эти системы поддерживаются процессами и инструментами, которые помогают проверять открытый исходный код на предмет его легитимности» и отсутствия уязвимостей или других рисков, добавляет он.

PiPI не чужд опасности

По словам Келли Инда, технического эксперта и аналитика по безопасности в Increditools, хотя разработчики могут предпринять шаги для снижения риска заражения, ответственность за предотвращение злоупотреблений ложится на поставщиков платформ, таких как PyPI. Это не первый раз вредоносные пакеты были подсунуты на Платформа.

«Команды разработчиков в каждом регионе полагаются на доверие и безопасность ключевых репозиториев», — говорит Инда.
«Инцидент с Лазарусом подрывает это доверие. Но благодаря повышенной бдительности и скоординированному реагированию со стороны разработчиков, руководителей проектов и поставщиков платформ мы можем работать вместе, чтобы восстановить целостность и доверие».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack