Компрометирането на екосистемата за софтуер с отворен код излага на риск разработчиците в Азия и по света.

Японски служители по киберсигурност предупредиха, че небезизвестният севернокорейски хакерски екип Lazarus Group наскоро е осъществил атака по веригата за доставки, насочена към софтуерното хранилище PyPI за приложения на Python.

Хакерите са качили опорочени пакети с имена като „pycryptoenv“ и „pycryptoconf“ – сходни по име с легитимния набор от инструменти за криптиране „pycrypto“ за Python. Разработчиците, които се подлъгват да изтеглят неправомерните пакети на своите машини с Windows, се заразяват с опасен троянски кон, известен като Comebacker.

„Потвърдените този път зловредни пакети Python са били изтеглени приблизително от 300 до 1200 пъти“, се казва в предупреждение на Japan CERT, публикувано в края на миналия месец. „Възможно е нападателите да се целят в печатни грешки на потребителите, за да бъде изтеглен зловредният софтуер“.

Старши директорът и анализатор на Gartner Дейл Гарднър описва Comebacker като троянски кон с общо предназначение, използван за пускане на ransomware, кражба на идентификационни данни и проникване в развойния конвейер.

Comebacker е бил използван в други кибератаки, свързани със Северна Корея, включително атака срещу хранилище за разработка на софтуер npm.

„Атаката е форма на typosquatting – в този случай атака за объркване на зависимости. Разработчиците са подмамени да изтеглят пакети, съдържащи зловреден код“, казва Гарднър.

Последната атака срещу софтуерни хранилища е вид атака, която рязко нарасна през последната година.

„Тези видове атаки нарастват бързо – докладът за отворения код Sonatype 2023 разкри, че през 2023 г. са открити 245 000 такива пакета, което е два пъти повече от броя на пакетите, открити, взети заедно, от 2019 г. насам“, казва Гарднър.

Азиатските разработчици са „непропорционално“ засегнати

PyPI е централизирана услуга с глобален обхват, така че разработчиците от цял свят трябва да са нащрек за тази последна кампания на Lazarus Group.

„Тази атака не е нещо, което би засегнало само разработчиците в Япония и близките региони, посочва Гарднър. „Това е нещо, за което разработчиците навсякъде трябва да бъдат нащрек.“

Други експерти казват, че лицата, за които английският език не е майчин, могат да бъдат по-застрашени от тази последна атака на Lazarus Group.

Атаката „може да засегне непропорционално разработчиците в Азия“ поради езиковите бариери и по-малкия достъп до информация за сигурността, казва Таймур Иджлал, технологичен експерт и ръководител на информационната сигурност в Netify.

„Екипите от разработчици с ограничени ресурси по обясними причини могат да разполагат с по-малко средства за строги прегледи на кода и одити“, казва Иджлал.

Джед Макоско, директор по изследванията в Academic Influence, казва, че общностите за разработване на приложения в Източна Азия „са склонни да бъдат по-тясно интегрирани, отколкото в други части на света, поради общите технологии, платформи и езикови сходства“.

Той казва, че нападателите може да се стремят да се възползват от тези регионални връзки и „доверени отношения“.

Малките и стартиращите софтуерни фирми в Азия обикновено разполагат с по-ограничени бюджети за сигурност, отколкото техните колеги на Запад, отбелязва Макоско. „Това означава по-слаби процеси, инструменти и възможности за реагиране на инциденти – което прави проникването и постоянството по-достижими цели за сложните  заплахи.“

Киберзащита

Защитата на разработчиците на приложения от тези атаки по веригата за доставка на софтуер е „трудна и обикновено изисква редица стратегии и тактики“, казва Гарднър от Gartner.

Разработчиците трябва да проявяват повишена предпазливост и внимание при изтеглянето на зависимости с отворен код. „Като се има предвид количеството на отворения код, използван днес, и натискът на бързо развиващите се среди за разработка, е лесно дори добре обучен и бдителен разработчик да допусне грешка“, предупреждава Гарднър.

Това прави автоматизираните подходи за „управление и проверка на отворения код“ съществена защитна мярка, добавя той.

„Инструментите за анализ на състава на софтуера (SCA) могат да се използват за оценка на зависимостите и могат да помогнат при откриването на фалшификати или легитимни пакети, които са били компрометирани“, съветва Гарднър, като добавя, че „проактивното тестване на пакетите за наличие на злонамерен код“ и валидирането на пакетите с помощта на мениджъри на пакети също могат да намалят риска.

„Виждаме, че някои организации създават частни регистри“, казва той. „Тези системи се поддържат от процеси и инструменти, които помагат да се провери отвореният код, за да се гарантира, че той е легитимен“ и не съдържа уязвимости или други рискове, добавя той.

PyPI не е чужд на опасността

Макар че разработчиците могат да предприемат стъпки за намаляване на излагането на риск, според Кели Индах, технологичен експерт и анализатор по сигурността в Increditools, отговорността за предотвратяване на злоупотребите пада върху доставчиците на платформи като PyPI. Това не е първият случай, в който в платформата се вкарват зловредни пакети.

„Екипите от разработчици във всеки регион разчитат на доверието и сигурността на ключовите хранилища“, казва Индах.
„Този инцидент с Lazarus подкопава това доверие. Но чрез повишена бдителност и координиран отговор от страна на разработчиците, ръководителите на проекти и доставчиците на платформи можем да работим заедно, за да възстановим целостта и доверието.“