Японские представители кибербезопасности предупредили, что печально известная хакерская группа Lazarus Group из Северной Кореи недавно провела атаку на цепочку поставок, нацеленную на репозиторий программного обеспечения PyPI для приложений Python.
Злоумышленники загружали зараженные пакеты с такими именами, как «pycryptoenv» и «pycryptoconf» — по названию похожие на законный набор инструментов шифрования «pycrypto» для Python. Разработчики, которых обманом заставляют загрузить вредоносные пакеты на свои компьютеры с Windows, заражаются опасным трояном, известным как Comebacker.
«Подтверждено, что вредоносные пакеты Python на этот раз были загружены примерно от 300 до 1,200 раз», Об этом говорится в предупреждении Japan CERT, опубликованном в конце прошлого месяца. «Злоумышленники могут использовать опечатки пользователей, чтобы загрузить вредоносное ПО».
Старший директор и аналитик Gartner Дейл Гарднер описывает Comebacker как трояна общего назначения, используемого для установки программ-вымогателей, кражи учетных данных и проникновения в конвейер разработки.
Comebacker использовался и в других кибератаках, связанных с Северной Кореей, в том числе в атака на репозиторий разработки программного обеспечения npm.
«Атака является формой опечатки – в данном случае атакой с путаницей зависимостей. Разработчиков обманом заставляют загружать пакеты, содержащие вредоносный код», — говорит Гарднер.
Последняя атака на репозитории программного обеспечения это тип, который резко увеличился за последний год или около того.
«Такие типы атак быстро растут: отчет с открытым исходным кодом Sonatype 2023 показал, что в 245,000 году было обнаружено 2023 2019 таких пакетов, что вдвое больше, чем общее количество обнаруженных пакетов с XNUMX года», — говорит Гарднер.
Азиатские девелоперы пострадали «непропорционально»
PyPI — это централизованный сервис с глобальным охватом, поэтому разработчики по всему миру должны быть в курсе этой последней кампании Lazarus Group.
«Эта атака затронет не только разработчиков в Японии и близлежащих регионах, — отмечает Гарднер. «Это то, чего разработчики во всем мире должны быть начеку».
Другие эксперты говорят, что те, для кого английский язык не является родным, могут подвергаться большему риску в результате последней атаки Lazarus Group.
Атака «может непропорционально сильно повлиять на разработчиков в Азии» из-за языковых барьеров и ограниченного доступа к информации о безопасности, говорит Таймур Иджлал, технический эксперт и руководитель информационной безопасности Netify.
«По понятным причинам команды разработчиков с ограниченными ресурсами могут иметь меньшую пропускную способность для тщательного анализа кода и аудита», — говорит Иджлал.
Джед Макоско, директор по исследованиям Academic Influence, говорит, что сообщества разработчиков приложений в Восточной Азии «имеют тенденцию быть более тесно интегрированными, чем в других частях мира, из-за общих технологий, платформ и лингвистических общностей».
Он говорит, что злоумышленники могут попытаться воспользоваться этими региональными связями и «доверительными отношениями».
Макоско отмечает, что небольшие и начинающие компании-разработчики программного обеспечения в Азии обычно имеют более ограниченные бюджеты на безопасность, чем их коллеги на Западе. «Это означает более слабые процессы, инструменты и возможности реагирования на инциденты, что делает проникновение и устойчивость более достижимыми целями для сложных субъектов угроз».
Кибер-обороны
Защита разработчиков приложений от этих атак на цепочку поставок программного обеспечения «сложна и обычно требует ряда стратегий и тактик», говорит Гарднер из Gartner.
Разработчикам следует проявлять повышенную осторожность и осторожность при загрузке зависимостей с открытым исходным кодом. «Учитывая количество используемого сегодня открытого исходного кода и давление быстро меняющейся среды разработки, даже хорошо обученному и бдительному разработчику легко допустить ошибку», — предупреждает Гарднер.
Это делает автоматизированные подходы к «управлению и проверке открытого исходного кода» важной защитной мерой, добавляет он.
«Инструменты анализа состава программного обеспечения (SCA) могут использоваться для оценки зависимостей и могут помочь в обнаружении поддельных или законных пакетов, которые были скомпрометированы», — советует Гарднер, добавляя, что «активное тестирование пакетов на наличие вредоносного кода» и проверка пакетов с помощью пакета менеджеры также могут снизить риск.
«Мы видим, как некоторые организации создают частные реестры», — говорит он. «Эти системы поддерживаются процессами и инструментами, которые помогают проверять открытый исходный код на предмет его легитимности» и отсутствия уязвимостей или других рисков, добавляет он.
PiPI не чужд опасности
По словам Келли Инда, технического эксперта и аналитика по безопасности в Increditools, хотя разработчики могут предпринять шаги для снижения риска заражения, ответственность за предотвращение злоупотреблений ложится на поставщиков платформ, таких как PyPI. Это не первый раз вредоносные пакеты были подсунуты на Платформа.
«Команды разработчиков в каждом регионе полагаются на доверие и безопасность ключевых репозиториев», — говорит Инда.
«Инцидент с Лазарусом подрывает это доверие. Но благодаря повышенной бдительности и скоординированному реагированию со стороны разработчиков, руководителей проектов и поставщиков платформ мы можем работать вместе, чтобы восстановить целостность и доверие».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
- :имеет
- :является
- :нет
- 000
- 1
- 200
- 2019
- 2023
- 300
- 7
- a
- злоупотребление
- академический
- доступ
- По
- актеры
- добавить
- Добавляет
- плюс
- влиять на
- пострадавших
- Оповещение
- причислены
- количество
- an
- анализ
- аналитик
- и
- приложение
- Разработка приложений
- Применение
- подходы
- примерно
- Программы
- МЫ
- AS
- Азия
- азиатский
- At
- атаковать
- нападки
- Достижимый
- аудит
- Автоматизированный
- Пропускная способность
- барьеры
- BE
- было
- Бюджеты
- но
- by
- Кампания
- CAN
- возможности
- заботится
- случаев
- осторожность
- централизованная
- цепь
- код
- сочетании
- Сообщества
- композиция
- Ослабленный
- доверие
- ПОДТВЕРЖДЕНО
- замешательство
- Коммутация
- содержать
- согласованный
- может
- коллегами
- Полномочия
- кибер-
- Кибератака
- кибератаки
- Информационная безопасность
- ОПАСНО!
- опасно
- Защита
- Зависимости
- Зависимость
- развернуть
- описывает
- Застройщик
- застройщиков
- Развитие
- команды разработчиков
- трудный
- директор
- открытый
- do
- Безразлично
- загрузка
- Опустившись
- два
- восток
- легко
- шифрование
- Английский
- расширение
- обеспечивать
- средах
- существенный
- налаживание
- оценивать
- Даже
- Каждая
- везде
- Упражнение
- эксперту
- эксперты
- Экспозиция
- Водопад
- быстрый темп
- Компаний
- First
- Впервые
- Что касается
- форма
- от
- Гарднер
- Gartner
- Общие
- в общем
- получить
- данный
- Глобальный
- Цели
- группы
- Рост
- Охрана
- взлом
- Есть
- he
- помощь
- HTML
- HTTPS
- Влияние
- in
- В других
- инцидент
- реакция на инцидент
- В том числе
- расширились
- позорный
- инфицированный
- повлиять
- информация
- информационная безопасность
- интегрированный
- целостность
- в
- мобильной
- Выпущен
- IT
- Япония
- JPG
- Основные
- известный
- Корея
- язык
- Фамилия
- В прошлом году
- Поздно
- последний
- Лазарь
- Лазарь Групп
- лидер
- Лидеры
- законный
- Меньше
- такое как
- Ограниченный
- связанный
- искать
- ниже
- Продукция
- сделать
- ДЕЛАЕТ
- Создание
- злонамеренный
- вредоносных программ
- Менеджеры
- управления
- Май..
- означает
- проводить измерение
- ошибка
- смягчать
- Месяц
- БОЛЕЕ
- имя
- имена
- нет
- не родной
- север
- Северная Корея
- Заметки
- номер
- of
- чиновников
- on
- только
- на
- ответственность
- открытый
- с открытым исходным кодом
- or
- организации
- Другое
- внешний
- за
- пакет
- пакеты
- части
- настойчивость
- трубопровод
- Платформа
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- присутствие
- давление
- предотвращать
- частная
- Процессы
- Проект
- защитный
- поставщики
- цель
- Питон
- вымогателей
- быстро
- достигать
- недавно
- область
- региональный
- районы
- реестры
- Отношения
- полагаться
- отчету
- хранилище
- требуется
- исследованиям
- Полезные ресурсы
- ответ
- восстановление
- Показали
- Отзывы
- тщательный
- Снижение
- рисках,
- s
- Сказал
- сообщили
- говорит
- безопасность
- посмотреть
- старший
- обслуживание
- общие
- должен
- аналогичный
- с
- So
- Software
- разработка программного обеспечения
- цепочка поставок программного обеспечения
- некоторые
- удалось
- сложный
- Источник
- динамики
- обнаружение
- ввод в эксплуатацию
- Шаги
- незнакомец
- стратегий
- такие
- поставка
- цепочками поставок
- Поддержанный
- хлынули
- системы
- тактика
- взять
- направлены
- команда
- команды
- технологии
- технологии
- Тенденцию
- Тестирование
- чем
- который
- Ассоциация
- Запад,
- мир
- их
- Эти
- этой
- те
- угроза
- актеры угрозы
- Через
- плотно
- время
- раз
- в
- сегодня
- вместе
- Инструментарий
- инструменты
- обманули
- троянец
- Доверие
- надежных
- Дважды
- напишите
- Типы
- типично
- По вполне понятным причинам
- загружено
- используемый
- пользователей
- через
- проверки
- VET
- зоркость
- Уязвимости
- предупреждал
- предупреждение
- предупреждает
- законопроект
- we
- слабее
- были
- запад
- когда
- который
- КТО
- окна
- Работа
- работать вместе
- Мир
- по всему миру
- бы
- год
- зефирнет