Японія звинувачує Північну Корею в кібератаці на ланцюг поставок PyPI

Японські чиновники з кібербезпеки попередили, що сумно відома команда хакерів Lazarus Group у Північній Кореї нещодавно здійснила атаку на ланцюжок поставок, націлену на сховище програмного забезпечення PyPI для програм Python.

Зловмисники завантажили зіпсовані пакети з такими іменами, як «pycryptoenv» і «pycryptoconf» — подібні за назвою до законного інструментарію шифрування «pycrypto» для Python. Розробники, які обманом змушені завантажити шкідливі пакети на свої комп’ютери Windows, заражені небезпечним трояном, відомим як Comebacker.

«Шкідливі пакети Python, підтверджені цього разу, були завантажені приблизно від 300 до 1,200 разів», Японський CERT заявив у попередженні, виданому наприкінці минулого місяця. «Зловмисники можуть націлитися на помилки користувачів, щоб завантажити зловмисне програмне забезпечення».

Старший директор і аналітик Gartner Дейл Гарднер описує Comebacker як трояна загального призначення, який використовується для видалення програм-вимагачів, викрадення облікових даних і проникнення в конвеєр розробки.

Comebacker використовувався в інших кібератаках, пов’язаних з Північною Кореєю, зокрема атака на репозиторій розробки програмного забезпечення npm.

«Атака є формою типосквотінгу — у цьому випадку це атака плутанини залежностей. Розробників обманом змушують завантажити пакети, що містять шкідливий код», — каже Гарднер.

Останній напад на репозиторії програмного забезпечення це тип, який різко зріс за останній рік або близько того.

«Ці типи атак стрімко зростають – звіт із відкритим кодом Sonatype 2023 показує, що у 245,000 році було виявлено 2023 2019 таких пакетів, що вдвічі перевищує кількість виявлених пакунків, разом узятих, з XNUMX року», – каже Гарднер.

«Непропорційно» постраждали азійські розробники

PyPI — це централізована служба з глобальним охопленням, тому розробники в усьому світі повинні бути напоготові щодо цієї останньої кампанії від Lazarus Group.

«Ця атака — це не те, що вплине лише на розробників у Японії та сусідніх регіонах, — зазначає Гарднер. «Це те, чого розробники всюди повинні бути насторожі».

Інші експерти кажуть, що люди, для яких англійська мова не є рідною, можуть бути більш схильні до ризику цієї останньої атаки групи Lazarus.

Атака «може непропорційно вплинути на розробників в Азії» через мовні бар’єри та обмежений доступ до інформації про безпеку, каже Таймур Іджлал, технічний експерт і керівник інформаційної безпеки в Netify.

«Команди розробників з обмеженими ресурсами, зрозуміло, можуть мати меншу пропускну здатність для ретельних аналізів і аудитів коду», — каже Іджлал.

Джед Макоско, директор з досліджень Academic Influence, каже, що спільноти розробників додатків у Східній Азії «як правило, тісніше інтегровані, ніж в інших частинах світу, через спільні технології, платформи та лінгвістичні спільності».

Він каже, що зловмисники, можливо, прагнуть скористатися цими регіональними зв’язками та «довіреними відносинами».

Невеликі та стартапи програмного забезпечення в Азії зазвичай мають більш обмежені бюджети безпеки, ніж їхні колеги на Заході, зазначає Макоско. «Це означає слабші процеси, інструменти та можливості реагування на інциденти, що робить проникнення та стійкість більш досяжними цілями для досвідчених учасників загроз».

Кіберзахист

Гарднер із Gartner каже, що захистити розробників додатків від атак на ланцюжок поставок програмного забезпечення «важко і, як правило, вимагає низки стратегій і тактик».

Розробники повинні проявляти підвищену обережність і обережність під час завантаження залежностей з відкритим кодом. «Враховуючи кількість відкритого вихідного коду, який використовується сьогодні, і тиск швидкоплинних середовищ розробки, навіть добре навченому та пильному розробнику легко зробити помилку», – попереджає Гарднер.

Це робить автоматизовані підходи до «управління та перевірки відкритого коду» важливим заходом захисту, додає він.

«Інструменти аналізу складу програмного забезпечення (SCA) можна використовувати для оцінки залежностей і можуть допомогти виявити підроблені або законні пакети, які були скомпрометовані», — радить Гарднер, додаючи, що «проактивно тестувати пакети на наявність шкідливого коду» та перевіряти пакети за допомогою package менеджери також можуть зменшити ризик.

«Ми бачимо, що деякі організації створюють приватні реєстри», — каже він. «Ці системи підтримуються процесами та інструментами, які допомагають перевірити відкрите програмне забезпечення, щоб переконатися, що воно законне», і не містить вразливостей чи інших ризиків, додає він.

PiPI No Stranger to Danger

Хоча розробники можуть вжити заходів для зниження ризику, відповідальність за запобігання зловживань лягає на постачальників платформ, як-от PyPI, за словами Келлі Індах, технічного експерта та аналітика безпеки в Increditools. Це вже не перший раз шкідливі пакети були вислизнуті на платформа.

«Команди розробників у кожному регіоні покладаються на довіру та безпеку ключових сховищ», — каже Інда.
«Цей інцидент з Lazarus підриває цю довіру. Але завдяки підвищеній пильності та скоординованій реакції розробників, керівників проектів і постачальників платформ ми можемо працювати разом, щоб відновити цілісність і довіру».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack