פקידי אבטחת סייבר יפנים הזהירו כי צוות הפריצה הידוע לשמצה של קבוצת Lazarus Group של צפון קוריאה ביצע לאחרונה מתקפת שרשרת אספקה המכוונת למאגר התוכנה PyPI עבור אפליקציות Python.
שחקני איומים העלו חבילות מזוהמות עם שמות כמו "pycryptoenv" ו-"pycryptoconf" - בדומה לשם לערכת הכלים הלגיטימית להצפנה "pycrypto" עבור Python. מפתחים שמטעים אותם להוריד את החבילות המרושעות למכונות ה-Windows שלהם נגועים בטרויאני מסוכן המכונה Comebacker.
"חבילות Python הזדוניות שאושרו הפעם הורדו כ-300 עד 1,200 פעמים," כך אמר יפן CERT באזהרה שפורסמה בסוף החודש שעבר. "ייתכן שתוקפים מכוונים לשגיאות הקלדה של משתמשים כדי להוריד את התוכנה הזדונית."
המנהל הבכיר והאנליסט של גרטנר, דייל גרדנר, מתאר את Comebacker כטרויאני למטרות כלליות המשמש להורדת תוכנות כופר, גניבת אישורים והסתננות לצינור הפיתוח.
Comebacker נפרס בהתקפות סייבר אחרות הקשורות לצפון קוריאה, כולל התקפה על מאגר פיתוח תוכנה של npm.
"ההתקפה היא סוג של שגיאת הקלדה - במקרה הזה, התקפת בלבול תלות. מפתחים מרמים להוריד חבילות המכילות קוד זדוני", אומר גרדנר.
ההתקפה האחרונה על מאגרי תוכנה הוא סוג שעלה במהלך השנה האחרונה בערך.
"סוגי התקפות אלה גדלים במהירות - דו"ח הקוד הפתוח של Sonatype 2023 חשף ש-245,000 חבילות כאלה התגלו בשנת 2023, שזה פי שניים ממספר החבילות שהתגלו, ביחד, מאז 2019", אומר גרדנר.
מפתחים אסייתים הושפעו באופן "לא פרופורציונלי".
PyPI הוא שירות מרכזי עם טווח הגעה עולמי, כך שמפתחים ברחבי העולם צריכים להיות ערניים לקראת הקמפיין האחרון של Lazarus Group.
"המתקפה הזו אינה משהו שישפיע רק על מפתחים ביפן ובאזורים סמוכים", מציין גרדנר. "זה משהו שמפתחים בכל מקום צריכים לעמוד על המשמר."
מומחים אחרים אומרים שדוברי אנגלית שאינם שפת אם עלולים להיות בסיכון גבוה יותר להתקפה האחרונה של קבוצת לזרוס.
המתקפה "עשויה להשפיע באופן לא פרופורציונלי על מפתחים באסיה", עקב מחסומי שפה ופחות גישה למידע אבטחה, אומר תאימור איג'ל, מומחה טכנולוגי ומוביל אבטחת מידע ב-Netify.
"לצוותי פיתוח עם משאבים מוגבלים, ייתכן שבאופן מובן יש פחות רוחב פס עבור ביקורות וביקורות קפדניות של קוד", אומר איג'ל.
ג'ד מאקוסקו, מנהל מחקר ב-Academic Influence, אומר שקהילות פיתוח אפליקציות במזרח אסיה "נוטות להיות משולבות בצורה הדוקה יותר מאשר בחלקים אחרים של העולם בשל טכנולוגיות, פלטפורמות ומאפיינים לשוניים משותפות".
לדבריו, ייתכן שתוקפים מחפשים לנצל את אותם קשרים אזוריים ו"יחסי אמון".
לחברות תוכנה קטנות וסטארט-אפ באסיה יש בדרך כלל תקציבי אבטחה מוגבלים יותר מאשר לעמיתיהם במערב, מציינת מאקוסקו. "משמעות הדבר היא תהליכים חלשים יותר, כלים ויכולות תגובה לאירועים - מה שהופך את החדירה וההתמדה למטרות בר השגה יותר עבור גורמי איומים מתוחכמים."
הגנה סייבר
הגנה על מפתחי יישומים מפני התקפות שרשרת אספקת התוכנה הללו היא "קשה ובדרך כלל דורשת מספר אסטרטגיות וטקטיקות", אומר גרטנר של גרטנר.
על מפתחים לנקוט בזהירות ובזהירות מוגברת בעת הורדת תלות בקוד פתוח. "בהתחשב בכמות הקוד הפתוח בשימוש היום והלחצים של סביבות פיתוח מהירות, קל אפילו למפתח מיומן וערני לטעות", מזהיר גרדנר.
זה הופך גישות אוטומטיות ל"ניהול ובדיקה של קוד פתוח" לאמצעי הגנה חיוני, הוא מוסיף.
"כלי ניתוח הרכב תוכנה (SCA) יכולים לשמש להערכת תלות ויכולים לסייע באיתור זיופים או חבילות לגיטימיות שנפגעו", מייעץ גרדנר ומוסיף כי "בודקים באופן יזום חבילות לנוכחות קוד זדוני" ומאמת חבילות באמצעות חבילה מנהלים יכולים גם להפחית סיכונים.
"אנחנו רואים כמה ארגונים מקימים רישום פרטיים", הוא אומר. "מערכות אלו נתמכות על ידי תהליכים וכלים שעוזרים לוטרינר לקוד פתוח כדי להבטיח שזה לגיטימי" ואינן מכילות פגיעויות או סיכונים אחרים, הוא מוסיף.
PiPI לא זר לסכנה
בעוד שמפתחים יכולים לנקוט בצעדים להורדת החשיפה, הנטל מוטל על ספקי פלטפורמות כמו PyPI למנוע ניצול לרעה, לדברי קלי אינדה, מומחית טכנולוגית ואנליסטית אבטחה ב- Increditools. זו לא הפעם הראשונה חבילות זדוניות הוחלקו אל ה פלטפורמה.
"צוותי מפתחים בכל אזור מסתמכים על האמון והאבטחה של מאגרי מפתח", אומר אינדה.
"התקרית הזו של לזרוס מערערת את האמון הזה. אבל באמצעות ערנות מוגברת ותגובה מתואמת של מפתחים, מובילי פרויקטים וספקי פלטפורמות, אנחנו יכולים לעבוד יחד כדי להחזיר את היושרה והביטחון".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
- :יש ל
- :הוא
- :לֹא
- 000
- 1
- 200
- 2019
- 2023
- 245
- 300
- a
- התעללות
- אקדמי
- גישה
- פי
- שחקנים
- מוסיף
- מוסיף
- יתרון
- להשפיע על
- מושפע
- ערני
- גם
- כמות
- an
- אנליזה
- מנתח
- ו
- האפליקציה
- פיתוח אפליקציות
- בקשה
- גישות
- בערך
- אפליקציות
- ARE
- AS
- אסיה
- אסיה
- At
- לתקוף
- תוקפים
- המתקפות
- רכיש
- ביקורת
- אוטומטי
- רוחב פס
- מחסומים
- BE
- היה
- תקציבים
- אבל
- by
- מבצע
- CAN
- יכולות
- אשר
- מקרה
- זהירות
- מְרוּכָּז
- שרשרת
- קוד
- משולב
- הקהילות
- הרכב
- התפשר
- אמון
- מְאוּשָׁר
- בלבול
- חיבורי
- להכיל
- מכיל
- מתואם
- יכול
- עמיתים
- אישורים
- סייבר
- התקפת סייבר
- התקפות רשת
- אבטחת סייבר
- סכנה
- מסוכן
- גופי בטחון
- תלות
- תלות
- פרס
- מתאר
- מפתח
- מפתחים
- צעצועי התפתחות
- צוותי פיתוח
- קשה
- מְנַהֵל
- גילה
- ללא פרופורציה
- do
- לא איכפת
- הורדה
- נשמט
- ראוי
- מזרח
- קל
- הצף
- אנגלית
- משופר
- לְהַבטִיחַ
- סביבות
- חיוני
- מקימים
- Ether (ETH)
- להעריך
- אֲפִילוּ
- כל
- בכל מקום
- תרגיל
- מומחה
- מומחים
- חשיפה
- פולס
- מהיר
- חברות
- ראשון
- firsttime
- בעד
- טופס
- החל מ-
- גרדנר
- גרטנר
- כללי
- בדרך כלל
- לקבל
- נתן
- גלוֹבָּלִי
- שערים
- קְבוּצָה
- גדל
- שומר
- פריצה
- יש
- he
- לעזור
- HTML
- HTTPS
- פְּגִיעָה
- in
- באחר
- תקרית
- תגובה לאירוע
- כולל
- גדל
- מְתוֹעָב
- נגוע
- להשפיע
- מידע
- אבטחת מידע
- משולב
- שלמות
- אל תוך
- J States
- הפיקו
- IT
- יפן
- jpg
- מפתח
- ידוע
- קוריאה
- שפה
- אחרון
- שנה שעברה
- מְאוּחָר
- האחרון
- לזרוס
- קבוצת לזרוס
- מנהיג
- מנהיגים
- לגיטימי
- פחות
- כמו
- מוגבל
- צמוד
- הסתכלות
- להוריד
- מכונה
- לעשות
- עושה
- עשייה
- זדוני
- תוכנות זדוניות
- מנהלים
- ניהול
- מאי..
- אומר
- למדוד
- טעות
- להקל
- חוֹדֶשׁ
- יותר
- שם
- שמות
- לא
- לא יליד
- צפון
- צפון קוריאה
- הערות
- מספר
- of
- גורמים רשמיים
- on
- רק
- עַל גַבֵּי
- חובה
- לפתוח
- קוד פתוח
- or
- ארגונים
- אחר
- הַחוּצָה
- יותר
- חבילה
- חבילות
- חלקים
- התמדה
- צינור
- פלטפורמה
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודות
- נוכחות
- לחצים
- למנוע
- פְּרָטִי
- תהליכים
- פּרוֹיֶקט
- מָגֵן
- ספקים
- מטרה
- פיתון
- ransomware
- מהר
- לְהַגִיעַ
- לאחרונה
- באזור
- אזורי
- אזורים
- מרשמי
- מערכות יחסים
- לסמוך
- לדווח
- מאגר
- דורש
- מחקר
- משאבים
- תגובה
- לשחזר
- גילה
- חוות דעת של לקוחותינו
- קַפְּדָנִי
- הסיכון
- סיכונים
- s
- אמר
- לומר
- אומר
- אבטחה
- לִרְאוֹת
- לחצני מצוקה לפנסיונרים
- שרות
- משותף
- צריך
- דומה
- since
- So
- תוכנה
- פיתוח תוכנה
- שרשרת אספקת תוכנה
- כמה
- משהו
- מתוחכם
- מָקוֹר
- רמקולים
- תצפית
- סטארט - אפ
- צעדים
- זר
- אסטרטגיות
- כזה
- לספק
- שרשרת אספקה
- נתמך
- זינק
- מערכות
- T
- טקטיקה
- לקחת
- מיקוד
- נבחרת
- צוותי
- טק
- טכנולוגיות
- נוטה
- בדיקות
- מֵאֲשֶׁר
- זֶה
- השמיים
- המערב
- העולם
- שֶׁלָהֶם
- אלה
- זֶה
- אלה
- איום
- איום שחקנים
- דרך
- בחוזקה
- זמן
- פִּי
- ל
- היום
- יַחַד
- ארגז כלים
- כלים
- מְרוּמֶה
- טרויאני
- סומך
- מהימן
- פעמים
- סוג
- סוגים
- בדרך כלל
- מובן
- נטען
- מְשׁוּמָשׁ
- משתמשים
- באמצעות
- מאמת
- וטרינר
- עֵרָנוּת
- פגיעויות
- מוזהר
- אזהרה
- מזהיר
- היה
- we
- חלש יותר
- היו
- מערב
- מתי
- אשר
- מי
- חלונות
- עם
- תיק עבודות
- לעבוד יחד
- עוֹלָם
- עולמי
- היה
- שנה
- זפירנט