日本网络安全官员警告称,朝鲜臭名昭著的 Lazarus Group 黑客团队最近针对 Python 应用程序的 PyPI 软件存储库发动了供应链攻击。
威胁参与者上传了名为“pycryptoenv”和“pycryptoconf”等受污染的包,其名称与合法的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 计算机上的开发人员会感染一种名为 Comebacker 的危险特洛伊木马。
“此次确认的恶意Python包已被下载约300至1,200次,” 日本CERT在上个月末发出的警告中表示。 “攻击者可能会针对用户的拼写错误来下载恶意软件。”
Gartner 高级总监兼分析师 Dale Gardner 将 Comebacker 描述为一种通用木马,用于投放勒索软件、窃取凭证和渗透开发流程。
Comebacker 已被部署在与朝鲜有关的其他网络攻击中,包括一次 对 npm 软件开发存储库的攻击。
“这种攻击是一种误植形式——在本例中,是一种依赖性混淆攻击。开发人员被诱骗下载包含恶意代码的软件包,”加德纳说。
最新的攻击 软件仓库 是一种在过去一年左右激增的类型。
Gardner 表示:“此类攻击正在迅速增长——Sonatype 2023 开源报告显示,245,000 年发现了 2023 个此类软件包,是 2019 年以来发现的软件包数量总和的两倍。”
亚洲开发商受到“不成比例”的影响
PyPI 是一项覆盖全球的集中式服务,因此世界各地的开发人员都应该对 Lazarus Group 的最新活动保持警惕。
加德纳指出,“这次攻击不仅仅影响日本和附近地区的开发商。” “世界各地的开发商都应该对此保持警惕。”
其他专家表示,非英语母语人士可能面临拉撒路集团最新攻击的更大风险。
Netify 的技术专家兼信息安全负责人 Taimur Ijlal 表示,由于语言障碍和获取安全信息的机会较少,这次攻击“可能会对亚洲的开发人员造成不成比例的影响”。
“资源有限的开发团队可能无法进行严格的代码审查和审计,这是可以理解的,”Ijlal 说。
学术影响力研究总监杰德·马科斯科 (Jed Macosko) 表示,东亚的应用程序开发社区“由于共享技术、平台和语言共性,往往比世界其他地区更加紧密地结合在一起。”
他说,攻击者可能希望利用这些区域联系和“可信关系”。
Macosko 指出,亚洲的小型初创软件公司的安全预算通常比西方同行更有限。 “这意味着流程、工具和事件响应能力较弱,使得复杂的威胁行为者更容易实现渗透和持久目标。”
网络防御
Gartner 的加德纳表示,保护应用程序开发人员免受这些软件供应链攻击“很困难,通常需要采取多种策略和策略”。
开发人员在下载开源依赖项时应更加小心谨慎。 “考虑到当今使用的开源数量以及快节奏开发环境的压力,即使是训练有素且警惕的开发人员也很容易犯错误,”加德纳警告说。
他补充道,这使得“管理和审查开源”的自动化方法成为一项重要的保护措施。
Gardner 建议:“软件组合分析 (SCA) 工具可用于评估依赖关系,并有助于发现已被破坏的假冒或合法软件包。”他补充说,“主动测试软件包是否存在恶意代码”并使用 package 验证软件包管理者还可以降低风险。
“我们看到一些组织建立了私人登记处,”他说。他补充道,“这些系统得到了流程和工具的支持,可帮助审查开源以确保其合法性”,并且不包含漏洞或其他风险。
PiPI 对危险并不陌生
Increditools 的技术专家兼安全分析师 Kelly Indah 表示,虽然开发者可以采取措施降低风险,但 PyPI 等平台提供商有责任防止滥用。这已经不是第一次了 恶意包 已被滑到 平台.
“每个地区的开发团队都依赖关键存储库的信任和安全,”Indah 说。
“拉撒路事件破坏了这种信任。但通过提高警惕以及开发商、项目负责人和平台提供商的协调应对,我们可以共同努力恢复诚信和信心。”
- :具有
- :是
- :不是
- 000
- 1
- 200
- 2019
- 2023
- 300
- 7
- a
- 滥用
- 学者
- ACCESS
- 根据
- 演员
- 添加
- 添加
- 优点
- 影响
- 影响
- 警惕
- 还
- 量
- an
- 分析
- 分析人士
- 和
- 应用
- 应用程式开发
- 应用领域
- 方法
- 约
- 应用
- 保健
- AS
- 亚洲
- 亚洲的
- At
- 攻击
- 攻击
- 达到
- 审计
- 自动化
- 带宽
- 障碍
- BE
- 很
- 预算
- 但是
- by
- 营销活动
- CAN
- 能力
- 关心
- 案件
- 警告
- 集中
- 链
- 码
- 结合
- 地区
- 写作
- 妥协
- 信心
- CONFIRMED
- 混乱
- 连接
- 包含
- 协调
- 可以
- 同行
- 资历
- 网络
- 网络攻击
- 网络攻击
- 网络安全
- 危险
- 危险的
- 国防
- 依赖
- 依赖
- 部署
- 介绍
- 开发商
- 开发
- 研发支持
- 开发团队
- 难
- 副总经理
- 发现
- do
- 不会
- 下载
- 删除
- 两
- 东部
- 易
- 加密
- 英语
- 增强
- 确保
- 环境中
- 必要
- 建立
- 评估
- 甚至
- 所有的
- 到处
- 锻炼
- 技术专家
- 专家
- 曝光
- 下降
- 快节奏
- 企业
- (名字)
- 第一次
- 针对
- 申请
- 止
- 加德纳
- Gartner公司
- 其他咨询
- 通常
- 得到
- 特定
- 全球
- 理想中
- 团队
- 成长
- 守卫
- 黑客
- 有
- he
- 帮助
- HTML
- HTTPS
- 影响力故事
- in
- 其他
- 事件
- 事件响应
- 包含
- 增加
- 臭名昭著
- 感染
- 影响
- 信息
- 信息安全
- 集成
- 诚信
- 成
- ISN
- 发行
- IT
- 日本
- JPG
- 键
- 已知
- 韩国
- 语言
- (姓氏)
- 去年
- 晚了
- 最新
- 拉撒路
- 拉撒路集团
- 领导者
- 领导人
- 合法
- 减
- 喜欢
- 有限
- 链接
- 寻找
- 降低
- 机
- 使
- 制作
- 制作
- 恶意
- 恶意软件
- 经理
- 管理的
- 可能..
- 手段
- 衡量
- 错误
- 减轻
- 月
- 更多
- 姓名
- 名称
- 没有
- 非本地
- 北
- 北朝鲜
- 数
- of
- 官员
- on
- 仅由
- 到
- 责任
- 打开
- 开放源码
- or
- 组织
- 其他名称
- 输出
- 超过
- 包
- 包
- 部分
- 坚持
- 管道
- 平台
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 存在
- 压力
- 防止
- 私立
- 过程
- 项目
- 保护
- 供应商
- 目的
- 蟒蛇
- 勒索
- 急速
- 达到
- 最近
- 地区
- 区域性
- 地区
- 登记
- 关系
- 依靠
- 报告
- 知识库
- 需要
- 研究
- 资源
- 响应
- 恢复
- 揭密
- 评论
- 严格
- 风险
- 风险
- s
- 说
- 对工资盗窃
- 说
- 保安
- 看到
- 前辈
- 服务
- 共用的,
- 应该
- 类似
- 自
- So
- 软件
- 软件开发
- 软件供应链
- 一些
- 东西
- 极致
- 来源
- 音箱
- 斑点
- 启动
- 步骤
- 陌生人
- 策略
- 这样
- 供应
- 供应链
- 支持
- 激增
- 产品
- 策略
- 采取
- 瞄准
- 团队
- 队
- 科技
- 技术
- 易于
- 测试
- 比
- 这
- 西方
- 世界
- 其
- 博曼
- Free Introduction
- 那些
- 威胁
- 威胁者
- 通过
- 紧紧
- 次
- 时
- 至
- 今晚
- 一起
- 工具箱
- 工具
- 被骗
- 木马
- 信任
- 信任
- 两次
- 类型
- 类型
- 一般
- 可以理解
- 上传
- 用过的
- 用户
- 运用
- 证实
- VET
- 警觉
- 漏洞
- 警告
- 警告
- 警告
- 是
- we
- 较弱
- 为
- 西部
- ,尤其是
- 这
- WHO
- 窗户
- 工作
- 一起工作
- 世界
- 全世界
- 将
- 年
- 和风网