Japonska za kibernetski napad na dobavno verigo PyPI krivi Severno Korejo

Japonski uradniki za kibernetsko varnost so opozorili, da je severnokorejska zloglasna hekerska skupina Lazarus Group pred kratkim izvedla napad na dobavno verigo, katerega cilj je bil repozitorij programske opreme PyPI za aplikacije Python.

Akterji groženj so naložili pokvarjene pakete z imeni, kot sta »pycryptoenv« in »pycryptoconf« – po imenu podobno zakonitemu kompletu orodij za šifriranje »pycrypto« za Python. Razvijalci, ki jih prevarajo, da prenesejo zlobne pakete na svoje računalnike z operacijskim sistemom Windows, so okuženi z nevarnim trojancem, znanim kot Comebacker.

"Tokrat potrjeni zlonamerni paketi Python so bili preneseni približno 300- do 1,200-krat," Japonski CERT je dejal v opozorilu, izdanem konec prejšnjega meseca. "Napadalci morda ciljajo na tipkarske napake uporabnikov, da bi prenesli zlonamerno programsko opremo."

Gartnerjev višji direktor in analitik Dale Gardner opisuje Comebacker kot trojanca za splošne namene, ki se uporablja za odpuščanje izsiljevalske programske opreme, krajo poverilnic in infiltracijo v razvojni cevovod.

Comebacker je bil uporabljen v drugih kibernetskih napadih, povezanih s Severno Korejo, vključno z napad na repozitorij za razvoj programske opreme npm.

»Napad je oblika typosquattinga – v tem primeru napad zmede zaradi odvisnosti. Razvijalci so zavedeni v prenos paketov, ki vsebujejo zlonamerno kodo,« pravi Gardner.

Zadnji napad na repozitoriji programske opreme je vrsta, ki se je v zadnjem letu ali tako povečala.

»Te vrste napadov hitro naraščajo – odprtokodno poročilo Sonatype 2023 je pokazalo, da je bilo leta 245,000 odkritih 2023 takšnih paketov, kar je dvakrat več od skupnega števila odkritih paketov od leta 2019,« pravi Gardner.

Azijski razvijalci "nesorazmerno" prizadeti

PyPI je centralizirana storitev z globalnim dosegom, zato bi morali biti razvijalci po vsem svetu pozorni na to najnovejšo kampanjo skupine Lazarus.

»Ta napad ni nekaj, kar bi vplivalo samo na razvijalce na Japonskem in v bližnjih regijah, poudarja Gardner. "To je nekaj, na kar bi morali biti razvijalci povsod pozorni."

Drugi strokovnjaki pravijo, da so neznanci angleško govoreči lahko bolj ogroženi zaradi tega zadnjega napada skupine Lazarus.

Napad "lahko nesorazmerno vpliva na razvijalce v Aziji," zaradi jezikovnih ovir in manjšega dostopa do varnostnih informacij, pravi Taimur Ijlal, tehnični strokovnjak in vodja informacijske varnosti pri Netify.

»Razvojne ekipe z omejenimi viri imajo lahko razumljivo manjšo pasovno širino za stroge preglede kode in revizije,« pravi Ijlal.

Jed Macosko, raziskovalni direktor pri Academic Influence, pravi, da so skupnosti za razvoj aplikacij v vzhodni Aziji "zaradi skupnih tehnologij, platform in jezikovnih skupnih značilnosti "ponavadi tesneje povezane kot v drugih delih sveta."

Pravi, da napadalci morda želijo izkoristiti te regionalne povezave in »zaupanja vredne odnose«.

Mala in zagonska podjetja za programsko opremo v Aziji imajo običajno bolj omejen proračun za varnost kot njihovi kolegi na Zahodu, ugotavlja Macosko. "To pomeni šibkejše postopke, orodja in zmogljivosti za odzivanje na incidente - zaradi česar sta infiltracija in obstojnost bolj dosegljiva cilja za sofisticirane akterje groženj."

Cyber ​​Defense

Zaščita razvijalcev aplikacij pred temi napadi v dobavni verigi programske opreme je "težka in na splošno zahteva številne strategije in taktike," pravi Gardner iz Gartnerja.

Razvijalci morajo biti bolj previdni in previdni pri prenosu odprtokodnih odvisnosti. »Glede na količino odprtokodnosti, ki se danes uporablja, in pritiske hitrih razvojnih okolij lahko celo dobro usposobljen in pazljiv razvijalec zlahka naredi napako,« opozarja Gardner.

Zaradi tega so avtomatizirani pristopi k "upravljanju in preverjanju odprtokodnosti" bistven zaščitni ukrep, dodaja.

»Orodja za analizo sestave programske opreme (SCA) se lahko uporabljajo za ovrednotenje odvisnosti in lahko pomagajo pri odkrivanju ponaredkov ali legitimnih paketov, ki so bili ogroženi,« svetuje Gardner in dodaja, da »proaktivno testiranje paketov za prisotnost zlonamerne kode« in preverjanje paketov s paketom menedžerji lahko tudi zmanjšajo tveganje.

"Vidimo, da nekatere organizacije vzpostavljajo zasebne registre," pravi. "Ti sistemi so podprti s procesi in orodji, ki pomagajo preveriti odprto kodo, da se zagotovi, da je zakonita" in ne vsebuje ranljivosti ali drugih tveganj, dodaja.

PiPI No Stranger to Danger

Medtem ko razvijalci lahko sprejmejo ukrepe za zmanjšanje izpostavljenosti, je odgovornost za preprečevanje zlorab na ponudnikih platform, kot je PyPI, pravi Kelly Indah, tehnični strokovnjak in varnostni analitik pri Increditools. To ni prvič zlonamerne pakete so zdrsnili na platforma.

»Ekipe razvijalcev v vsaki regiji se zanašajo na zaupanje in varnost ključnih skladišč,« pravi Indah.
»Ta Lazarjev incident spodkopava to zaupanje. Toda z okrepljeno pazljivostjo in usklajenim odzivom razvijalcev, vodij projektov in ponudnikov platform lahko sodelujemo, da ponovno vzpostavimo integriteto in zaupanje.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack