יפן מאשימה את צפון קוריאה במתקפת הסייבר של שרשרת האספקה ​​PyPI

יפן מאשימה את צפון קוריאה במתקפת הסייבר של שרשרת האספקה ​​PyPI

חותמת זמן: 10 במרץ 2024 8:00
צומת המקור: 2510728

פקידי אבטחת סייבר יפנים הזהירו כי צוות הפריצה הידוע לשמצה של קבוצת Lazarus Group של צפון קוריאה ביצע לאחרונה מתקפת שרשרת אספקה ​​המכוונת למאגר התוכנה PyPI עבור אפליקציות Python.

שחקני איומים העלו חבילות מזוהמות עם שמות כמו "pycryptoenv" ו-"pycryptoconf" - בדומה לשם לערכת הכלים הלגיטימית להצפנה "pycrypto" עבור Python. מפתחים שמטעים אותם להוריד את החבילות המרושעות למכונות ה-Windows שלהם נגועים בטרויאני מסוכן המכונה Comebacker.

"חבילות Python הזדוניות שאושרו הפעם הורדו כ-300 עד 1,200 פעמים," כך אמר יפן CERT באזהרה שפורסמה בסוף החודש שעבר. "ייתכן שתוקפים מכוונים לשגיאות הקלדה של משתמשים כדי להוריד את התוכנה הזדונית."

המנהל הבכיר והאנליסט של גרטנר, דייל גרדנר, מתאר את Comebacker כטרויאני למטרות כלליות המשמש להורדת תוכנות כופר, גניבת אישורים והסתננות לצינור הפיתוח.

Comebacker נפרס בהתקפות סייבר אחרות הקשורות לצפון קוריאה, כולל התקפה על מאגר פיתוח תוכנה של npm.

"ההתקפה היא סוג של שגיאת הקלדה - במקרה הזה, התקפת בלבול תלות. מפתחים מרמים להוריד חבילות המכילות קוד זדוני", אומר גרדנר.

ההתקפה האחרונה על מאגרי תוכנה הוא סוג שעלה במהלך השנה האחרונה בערך.

"סוגי התקפות אלה גדלים במהירות - דו"ח הקוד הפתוח של Sonatype 2023 חשף ש-245,000 חבילות כאלה התגלו בשנת 2023, שזה פי שניים ממספר החבילות שהתגלו, ביחד, מאז 2019", אומר גרדנר.

מפתחים אסייתים הושפעו באופן "לא פרופורציונלי".

PyPI הוא שירות מרכזי עם טווח הגעה עולמי, כך שמפתחים ברחבי העולם צריכים להיות ערניים לקראת הקמפיין האחרון של Lazarus Group.

"המתקפה הזו אינה משהו שישפיע רק על מפתחים ביפן ובאזורים סמוכים", מציין גרדנר. "זה משהו שמפתחים בכל מקום צריכים לעמוד על המשמר."

מומחים אחרים אומרים שדוברי אנגלית שאינם שפת אם עלולים להיות בסיכון גבוה יותר להתקפה האחרונה של קבוצת לזרוס.

המתקפה "עשויה להשפיע באופן לא פרופורציונלי על מפתחים באסיה", עקב מחסומי שפה ופחות גישה למידע אבטחה, אומר תאימור איג'ל, מומחה טכנולוגי ומוביל אבטחת מידע ב-Netify.

"לצוותי פיתוח עם משאבים מוגבלים, ייתכן שבאופן מובן יש פחות רוחב פס עבור ביקורות וביקורות קפדניות של קוד", אומר איג'ל.

ג'ד מאקוסקו, מנהל מחקר ב-Academic Influence, אומר שקהילות פיתוח אפליקציות במזרח אסיה "נוטות להיות משולבות בצורה הדוקה יותר מאשר בחלקים אחרים של העולם בשל טכנולוגיות, פלטפורמות ומאפיינים לשוניים משותפות".

לדבריו, ייתכן שתוקפים מחפשים לנצל את אותם קשרים אזוריים ו"יחסי אמון".

לחברות תוכנה קטנות וסטארט-אפ באסיה יש בדרך כלל תקציבי אבטחה מוגבלים יותר מאשר לעמיתיהם במערב, מציינת מאקוסקו. "משמעות הדבר היא תהליכים חלשים יותר, כלים ויכולות תגובה לאירועים - מה שהופך את החדירה וההתמדה למטרות בר השגה יותר עבור גורמי איומים מתוחכמים."

הגנה סייבר

הגנה על מפתחי יישומים מפני התקפות שרשרת אספקת התוכנה הללו היא "קשה ובדרך כלל דורשת מספר אסטרטגיות וטקטיקות", אומר גרטנר של גרטנר.

על מפתחים לנקוט בזהירות ובזהירות מוגברת בעת הורדת תלות בקוד פתוח. "בהתחשב בכמות הקוד הפתוח בשימוש היום והלחצים של סביבות פיתוח מהירות, קל אפילו למפתח מיומן וערני לטעות", מזהיר גרדנר.

זה הופך גישות אוטומטיות ל"ניהול ובדיקה של קוד פתוח" לאמצעי הגנה חיוני, הוא מוסיף.

"כלי ניתוח הרכב תוכנה (SCA) יכולים לשמש להערכת תלות ויכולים לסייע באיתור זיופים או חבילות לגיטימיות שנפגעו", מייעץ גרדנר ומוסיף כי "בודקים באופן יזום חבילות לנוכחות קוד זדוני" ומאמת חבילות באמצעות חבילה מנהלים יכולים גם להפחית סיכונים.

"אנחנו רואים כמה ארגונים מקימים רישום פרטיים", הוא אומר. "מערכות אלו נתמכות על ידי תהליכים וכלים שעוזרים לוטרינר לקוד פתוח כדי להבטיח שזה לגיטימי" ואינן מכילות פגיעויות או סיכונים אחרים, הוא מוסיף.

PiPI לא זר לסכנה

בעוד שמפתחים יכולים לנקוט בצעדים להורדת החשיפה, הנטל מוטל על ספקי פלטפורמות כמו PyPI למנוע ניצול לרעה, לדברי קלי אינדה, מומחית טכנולוגית ואנליסטית אבטחה ב- Increditools. זו לא הפעם הראשונה חבילות זדוניות הוחלקו אל ה פלטפורמה.

"צוותי מפתחים בכל אזור מסתמכים על האמון והאבטחה של מאגרי מפתח", אומר אינדה.
"התקרית הזו של לזרוס מערערת את האמון הזה. אבל באמצעות ערנות מוגברת ותגובה מתואמת של מפתחים, מובילי פרויקטים וספקי פלטפורמות, אנחנו יכולים לעבוד יחד כדי להחזיר את היושרה והביטחון".

בול זמן:

עוד מ קריאה אפלה