Търсене
Close this search box.

Япония обвинява Северна Корея за кибератаката по веригата за доставки на PyPI

Компрометирането на екосистемата за софтуер с отворен код излага на риск разработчиците в Азия и по света.

Японски служители по киберсигурност предупредиха, че небезизвестният севернокорейски хакерски екип Lazarus Group наскоро е осъществил атака по веригата за доставки, насочена към софтуерното хранилище PyPI за приложения на Python.

Хакерите са качили опорочени пакети с имена като „pycryptoenv“ и „pycryptoconf“ – сходни по име с легитимния набор от инструменти за криптиране „pycrypto“ за Python. Разработчиците, които се подлъгват да изтеглят неправомерните пакети на своите машини с Windows, се заразяват с опасен троянски кон, известен като Comebacker.

„Потвърдените този път зловредни пакети Python са били изтеглени приблизително от 300 до 1200 пъти“, се казва в предупреждение на Japan CERT, публикувано в края на миналия месец. „Възможно е нападателите да се целят в печатни грешки на потребителите, за да бъде изтеглен зловредният софтуер“.

Старши директорът и анализатор на Gartner Дейл Гарднър описва Comebacker като троянски кон с общо предназначение, използван за пускане на ransomware, кражба на идентификационни данни и проникване в развойния конвейер.

Comebacker е бил използван в други кибератаки, свързани със Северна Корея, включително атака срещу хранилище за разработка на софтуер npm.

„Атаката е форма на typosquatting – в този случай атака за объркване на зависимости. Разработчиците са подмамени да изтеглят пакети, съдържащи зловреден код“, казва Гарднър.

Последната атака срещу софтуерни хранилища е вид атака, която рязко нарасна през последната година.

„Тези видове атаки нарастват бързо – докладът за отворения код Sonatype 2023 разкри, че през 2023 г. са открити 245 000 такива пакета, което е два пъти повече от броя на пакетите, открити, взети заедно, от 2019 г. насам“, казва Гарднър.

Азиатските разработчици са „непропорционално“ засегнати

PyPI е централизирана услуга с глобален обхват, така че разработчиците от цял свят трябва да са нащрек за тази последна кампания на Lazarus Group.

„Тази атака не е нещо, което би засегнало само разработчиците в Япония и близките региони, посочва Гарднър. „Това е нещо, за което разработчиците навсякъде трябва да бъдат нащрек.“

Други експерти казват, че лицата, за които английският език не е майчин, могат да бъдат по-застрашени от тази последна атака на Lazarus Group.

Атаката „може да засегне непропорционално разработчиците в Азия“ поради езиковите бариери и по-малкия достъп до информация за сигурността, казва Таймур Иджлал, технологичен експерт и ръководител на информационната сигурност в Netify.

„Екипите от разработчици с ограничени ресурси по обясними причини могат да разполагат с по-малко средства за строги прегледи на кода и одити“, казва Иджлал.

Джед Макоско, директор по изследванията в Academic Influence, казва, че общностите за разработване на приложения в Източна Азия „са склонни да бъдат по-тясно интегрирани, отколкото в други части на света, поради общите технологии, платформи и езикови сходства“.

Той казва, че нападателите може да се стремят да се възползват от тези регионални връзки и „доверени отношения“.

Малките и стартиращите софтуерни фирми в Азия обикновено разполагат с по-ограничени бюджети за сигурност, отколкото техните колеги на Запад, отбелязва Макоско. „Това означава по-слаби процеси, инструменти и възможности за реагиране на инциденти – което прави проникването и постоянството по-достижими цели за сложните  заплахи.“

Киберзащита

Защитата на разработчиците на приложения от тези атаки по веригата за доставка на софтуер е „трудна и обикновено изисква редица стратегии и тактики“, казва Гарднър от Gartner.

Разработчиците трябва да проявяват повишена предпазливост и внимание при изтеглянето на зависимости с отворен код. „Като се има предвид количеството на отворения код, използван днес, и натискът на бързо развиващите се среди за разработка, е лесно дори добре обучен и бдителен разработчик да допусне грешка“, предупреждава Гарднър.

Това прави автоматизираните подходи за „управление и проверка на отворения код“ съществена защитна мярка, добавя той.

„Инструментите за анализ на състава на софтуера (SCA) могат да се използват за оценка на зависимостите и могат да помогнат при откриването на фалшификати или легитимни пакети, които са били компрометирани“, съветва Гарднър, като добавя, че „проактивното тестване на пакетите за наличие на злонамерен код“ и валидирането на пакетите с помощта на мениджъри на пакети също могат да намалят риска.

„Виждаме, че някои организации създават частни регистри“, казва той. „Тези системи се поддържат от процеси и инструменти, които помагат да се провери отвореният код, за да се гарантира, че той е легитимен“ и не съдържа уязвимости или други рискове, добавя той.

PyPI не е чужд на опасността

Макар че разработчиците могат да предприемат стъпки за намаляване на излагането на риск, според Кели Индах, технологичен експерт и анализатор по сигурността в Increditools, отговорността за предотвратяване на злоупотребите пада върху доставчиците на платформи като PyPI. Това не е първият случай, в който в платформата се вкарват зловредни пакети.

„Екипите от разработчици във всеки регион разчитат на доверието и сигурността на ключовите хранилища“, казва Индах.
„Този инцидент с Lazarus подкопава това доверие. Но чрез повишена бдителност и координиран отговор от страна на разработчиците, ръководителите на проекти и доставчиците на платформи можем да работим заедно, за да възстановим целостта и доверието.“

Източник: DARKReading

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
Бъдете социални
Още по темата
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
05/04/2024

Как и защо да правите резер...

Защитата на данните продължава да бъде...
29/03/2024

Надпреварата за нулеви дни ...

Според Google напредналите противници все повече...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!