Японські чиновники з кібербезпеки попередили, що сумно відома команда хакерів Lazarus Group у Північній Кореї нещодавно здійснила атаку на ланцюжок поставок, націлену на сховище програмного забезпечення PyPI для програм Python.
Зловмисники завантажили зіпсовані пакети з такими іменами, як «pycryptoenv» і «pycryptoconf» — подібні за назвою до законного інструментарію шифрування «pycrypto» для Python. Розробники, які обманом змушені завантажити шкідливі пакети на свої комп’ютери Windows, заражені небезпечним трояном, відомим як Comebacker.
«Шкідливі пакети Python, підтверджені цього разу, були завантажені приблизно від 300 до 1,200 разів», Японський CERT заявив у попередженні, виданому наприкінці минулого місяця. «Зловмисники можуть націлитися на помилки користувачів, щоб завантажити зловмисне програмне забезпечення».
Старший директор і аналітик Gartner Дейл Гарднер описує Comebacker як трояна загального призначення, який використовується для видалення програм-вимагачів, викрадення облікових даних і проникнення в конвеєр розробки.
Comebacker використовувався в інших кібератаках, пов’язаних з Північною Кореєю, зокрема атака на репозиторій розробки програмного забезпечення npm.
«Атака є формою типосквотінгу — у цьому випадку це атака плутанини залежностей. Розробників обманом змушують завантажити пакети, що містять шкідливий код», — каже Гарднер.
Останній напад на репозиторії програмного забезпечення це тип, який різко зріс за останній рік або близько того.
«Ці типи атак стрімко зростають – звіт із відкритим кодом Sonatype 2023 показує, що у 245,000 році було виявлено 2023 2019 таких пакетів, що вдвічі перевищує кількість виявлених пакунків, разом узятих, з XNUMX року», – каже Гарднер.
«Непропорційно» постраждали азійські розробники
PyPI — це централізована служба з глобальним охопленням, тому розробники в усьому світі повинні бути напоготові щодо цієї останньої кампанії від Lazarus Group.
«Ця атака — це не те, що вплине лише на розробників у Японії та сусідніх регіонах, — зазначає Гарднер. «Це те, чого розробники всюди повинні бути насторожі».
Інші експерти кажуть, що люди, для яких англійська мова не є рідною, можуть бути більш схильні до ризику цієї останньої атаки групи Lazarus.
Атака «може непропорційно вплинути на розробників в Азії» через мовні бар’єри та обмежений доступ до інформації про безпеку, каже Таймур Іджлал, технічний експерт і керівник інформаційної безпеки в Netify.
«Команди розробників з обмеженими ресурсами, зрозуміло, можуть мати меншу пропускну здатність для ретельних аналізів і аудитів коду», — каже Іджлал.
Джед Макоско, директор з досліджень Academic Influence, каже, що спільноти розробників додатків у Східній Азії «як правило, тісніше інтегровані, ніж в інших частинах світу, через спільні технології, платформи та лінгвістичні спільності».
Він каже, що зловмисники, можливо, прагнуть скористатися цими регіональними зв’язками та «довіреними відносинами».
Невеликі та стартапи програмного забезпечення в Азії зазвичай мають більш обмежені бюджети безпеки, ніж їхні колеги на Заході, зазначає Макоско. «Це означає слабші процеси, інструменти та можливості реагування на інциденти, що робить проникнення та стійкість більш досяжними цілями для досвідчених учасників загроз».
Кіберзахист
Гарднер із Gartner каже, що захистити розробників додатків від атак на ланцюжок поставок програмного забезпечення «важко і, як правило, вимагає низки стратегій і тактик».
Розробники повинні проявляти підвищену обережність і обережність під час завантаження залежностей з відкритим кодом. «Враховуючи кількість відкритого вихідного коду, який використовується сьогодні, і тиск швидкоплинних середовищ розробки, навіть добре навченому та пильному розробнику легко зробити помилку», – попереджає Гарднер.
Це робить автоматизовані підходи до «управління та перевірки відкритого коду» важливим заходом захисту, додає він.
«Інструменти аналізу складу програмного забезпечення (SCA) можна використовувати для оцінки залежностей і можуть допомогти виявити підроблені або законні пакети, які були скомпрометовані», — радить Гарднер, додаючи, що «проактивно тестувати пакети на наявність шкідливого коду» та перевіряти пакети за допомогою package менеджери також можуть зменшити ризик.
«Ми бачимо, що деякі організації створюють приватні реєстри», — каже він. «Ці системи підтримуються процесами та інструментами, які допомагають перевірити відкрите програмне забезпечення, щоб переконатися, що воно законне», і не містить вразливостей чи інших ризиків, додає він.
PiPI No Stranger to Danger
Хоча розробники можуть вжити заходів для зниження ризику, відповідальність за запобігання зловживань лягає на постачальників платформ, як-от PyPI, за словами Келлі Індах, технічного експерта та аналітика безпеки в Increditools. Це вже не перший раз шкідливі пакети були вислизнуті на платформа.
«Команди розробників у кожному регіоні покладаються на довіру та безпеку ключових сховищ», — каже Інда.
«Цей інцидент з Lazarus підриває цю довіру. Але завдяки підвищеній пильності та скоординованій реакції розробників, керівників проектів і постачальників платформ ми можемо працювати разом, щоб відновити цілісність і довіру».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
- : має
- :є
- : ні
- 000
- 1
- 200
- 2019
- 2023
- 300
- 7
- a
- зловживання
- академічний
- доступ
- За
- актори
- додати
- Додає
- Перевага
- впливати
- постраждалих
- Оповіщення
- Також
- кількість
- an
- аналіз
- аналітик
- та
- додаток
- Розробка додатків
- додаток
- підходи
- приблизно
- додатка
- ЕСТЬ
- AS
- Азія
- азіатський
- At
- атака
- нападки
- Досяжний
- аудит
- Автоматизований
- ширина смуги
- бар'єри
- BE
- було
- Бюджети
- але
- by
- Кампанія
- CAN
- можливості
- який
- випадок
- обережність
- централізована
- ланцюг
- код
- комбінований
- спільноти
- склад
- Компрометація
- довіра
- Підтверджено
- замішання
- Зв'язки
- містити
- узгоджений
- може
- аналоги
- Повноваження
- кібер-
- Кібератака
- кібератаки
- Кібербезпека
- НЕБЕЗПЕЧНО
- Небезпечний
- оборони
- залежно
- Залежність
- розгорнути
- описує
- Розробник
- розробників
- розробка
- команди розробників
- важкий
- Директор
- відкритий
- do
- байдуже
- Завантаження
- Випадання
- два
- Схід
- легко
- шифрування
- англійська
- підвищена
- забезпечувати
- середовищах
- істотний
- налагодження
- оцінювати
- Навіть
- Кожен
- скрізь
- Здійснювати
- експерт
- experts
- експонування
- Фолс
- швидкий темп
- фірми
- Перший
- перший раз
- для
- форма
- від
- Гарднер
- Gartner
- Загальне
- в цілому
- отримати
- даний
- Глобальний
- Цілі
- Group
- Зростання
- Охорона
- злом
- Мати
- he
- допомога
- HTML
- HTTPS
- Impact
- in
- В інших
- інцидент
- реагування на інциденти
- У тому числі
- збільшений
- ганебний
- заражений
- вплив
- інформація
- інформаційна безпека
- інтегрований
- цілісність
- в
- isn
- Випущений
- IT
- Japan
- JPG
- ключ
- відомий
- Корея
- мова
- останній
- Минулого року
- Пізно
- останній
- Лазар
- Група «Лазар»
- лідер
- Лідери
- законний
- менше
- як
- обмеженою
- пов'язаний
- шукати
- знизити
- Машинки для перманенту
- зробити
- РОБОТИ
- Робить
- malicious
- шкідливих програм
- Менеджери
- управління
- Може..
- засоби
- вимір
- помилка
- Пом'якшити
- місяць
- більше
- ім'я
- Імена
- немає
- немісцевий
- На північ
- Північна Корея
- примітки
- номер
- of
- чиновників
- on
- тільки
- на
- онус
- відкрити
- з відкритим вихідним кодом
- or
- організації
- Інше
- з
- над
- пакет
- пакети
- частини
- наполегливість
- трубопровід
- платформа
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- точок
- наявність
- тиск
- запобігати
- приватний
- процеси
- проект
- Захисні
- провайдери
- мета
- Python
- вимагачів
- швидко
- досягати
- нещодавно
- регіон
- регіональний
- райони
- реєстри
- Відносини
- покладатися
- звітом
- Сховище
- Вимагається
- дослідження
- ресурси
- відповідь
- відновлення
- Показали
- Відгуки
- суворий
- Risk
- ризики
- s
- Зазначений
- say
- говорить
- безпеку
- побачити
- старший
- обслуговування
- загальні
- Повинен
- аналогічний
- з
- So
- Софтвер
- розробка програмного забезпечення
- ланцюг постачання програмного забезпечення
- деякі
- що в сім'ї щось
- складний
- Source
- динаміки
- кров’янисті виділення
- введення в експлуатацію
- заходи
- незнайомець
- стратегії
- такі
- поставка
- ланцюжка поставок
- Підтриманий
- хлинули
- Systems
- тактика
- Приймати
- націлювання
- команда
- команди
- технології
- Технології
- як правило,
- Тестування
- ніж
- Що
- Команда
- Захід
- світ
- їх
- Ці
- це
- ті
- загроза
- актори загроз
- через
- щільно
- час
- times
- до
- сьогодні
- разом
- Інструментарій
- інструменти
- обманом
- троянець
- Довіряйте
- Довірений
- Двічі
- тип
- Типи
- типово
- Зрозуміло
- завантажено
- використовуваний
- користувачі
- використання
- перевірка
- ПТО
- пильність
- Уразливості
- попередили
- попередження
- Попереджає
- було
- we
- слабший
- були
- West
- коли
- який
- ВООЗ
- windows
- з
- Work
- працювати разом
- світ
- світовий
- б
- рік
- зефірнет