日本将 PyPI 供应链网络攻击归咎于朝鲜

日本网络安全官员警告称，朝鲜臭名昭著的 Lazarus Group 黑客团队最近针对 Python 应用程序的 PyPI 软件存储库发动了供应链攻击。

威胁参与者上传了名为“pycryptoenv”和“pycryptoconf”等受污染的包，其名称与合法的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 计算机上的开发人员会感染一种名为 Comebacker 的危险特洛伊木马。

“此次确认的恶意Python包已被下载约300至1,200次，” 日本CERT在上个月末发出的警告中表示。 “攻击者可能会针对用户的拼写错误来下载恶意软件。”

Gartner 高级总监兼分析师 Dale Gardner 将 Comebacker 描述为一种通用木马，用于投放勒索软件、窃取凭证和渗透开发流程。

Comebacker 已被部署在与朝鲜有关的其他网络攻击中，包括一次 对 npm 软件开发存储库的攻击。

“这种攻击是一种误植形式——在本例中，是一种依赖性混淆攻击。开发人员被诱骗下载包含恶意代码的软件包，”加德纳说。

最新的攻击 软件仓库 是一种在过去一年左右激增的类型。

Gardner 表示：“此类攻击正在迅速增长——Sonatype 2023 开源报告显示，245,000 年发现了 2023 个此类软件包，是 2019 年以来发现的软件包数量总和的两倍。”

亚洲开发商受到“不成比例”的影响

PyPI 是一项覆盖全球的集中式服务，因此世界各地的开发人员都应该对 Lazarus Group 的最新活动保持警惕。

加德纳指出，“这次攻击不仅仅影响日本和附近地区的开发商。” “世界各地的开发商都应该对此保持警惕。”

其他专家表示，非英语母语人士可能面临拉撒路集团最新攻击的更大风险。

Netify 的技术专家兼信息安全负责人 Taimur Ijlal 表示，由于语言障碍和获取安全信息的机会较少，这次攻击“可能会对亚洲的开发人员造成不成比例的影响”。

“资源有限的开发团队可能无法进行严格的代码审查和审计，这是可以理解的，”Ijlal 说。

学术影响力研究总监杰德·马科斯科 (Jed Macosko) 表示，东亚的应用程序开发社区“由于共享技术、平台和语言共性，往往比世界其他地区更加紧密地结合在一起。”

他说，攻击者可能希望利用这些区域联系和“可信关系”。

Macosko 指出，亚洲的小型初创软件公司的安全预算通常比西方同行更有限。 “这意味着流程、工具和事件响应能力较弱，使得复杂的威胁行为者更容易实现渗透和持久目标。”

网络防御

Gartner 的加德纳表示，保护应用程序开发人员免受这些软件供应链攻击“很困难，通常需要采取多种策略和策略”。

开发人员在下载开源依赖项时应更加小心谨慎。 “考虑到当今使用的开源数量以及快节奏开发环境的压力，即使是训练有素且警惕的开发人员也很容易犯错误，”加德纳警告说。

他补充道，这使得“管理和审查开源”的自动化方法成为一项重要的保护措施。

Gardner 建议：“软件组合分析 (SCA) 工具可用于评估依赖关系，并有助于发现已被破坏的假冒或合法软件包。”他补充说，“主动测试软件包是否存在恶意代码”并使用 package 验证软件包管理者还可以降低风险。

“我们看到一些组织建立了私人登记处，”他说。他补充道，“这些系统得到了流程和工具的支持，可帮助审查开源以确保其合法性”，并且不包含漏洞或其他风险。

PiPI 对危险并不陌生

Increditools 的技术专家兼安全分析师 Kelly Indah 表示，虽然开发者可以采取措施降低风险，但 PyPI 等平台提供商有责任防止滥用。这已经不是第一次了 恶意包 已被滑到 平台.

“每个地区的开发团队都依赖关键存储库的信任和安全，”Indah 说。
“拉撒路事件破坏了这种信任。但通过提高警惕以及开发商、项目负责人和平台提供商的协调应对，我们可以共同努力恢复诚信和信心。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack