日本指责朝鲜发动PyPI供应链攻击

admin 2024年3月13日12:39:39评论10 views字数 1491阅读4分58秒阅读模式

日本指责朝鲜发动PyPI供应链攻击聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

日本的网络安全官员提醒称,臭名昭著的朝鲜国家黑客组织 Lazarus 最近发动了针对 PyPI 软件仓库的供应链攻击。

攻击者上传了遭篡改的软件包,它们的名称为 “pycryptoenv” 和 “pycryptoconf”等,与合法的加密工具包 “pycrypto” 类似。被骗将这些包下载到 Windows 机器的开发人员遭到一款危险木马 Comebacker 的感染。

日本CERT在上个月月末表示,“这次确认的恶意 Python 包的下载次数约为300到1200次。攻击者可能利用用户的输入错误诱骗他们下载恶意软件。”

Gartner 公司的高级负责人兼分析师 Dale Gardner 认为 Comebacker 是一款用于释放勒索软件的通用木马,可窃取凭据并渗透开发管道。Comebacker 已被部署到与朝鲜有关联的其它网络攻击中,包括针对 npm 软件开发仓库的攻击。Gardner 表示,“该攻击是一种typosquatting 形式,在本案例中是依赖混淆攻击。开发人员被诱骗下载包含恶意代码的软件包。”最近针对软件仓库的攻击是最近一年左右时间出现的类型。Gardner表示,这些攻击类型增长迅速。

亚洲开发人员受影响的比例最大

PyPI 是一种中心化服务,用户遍布全球,因此全球开发人员都应该对这次攻击提高警惕。

Gardner 指出,“该攻击并非仅影响位于日本和附近区域的开发人员。所有地方的开发人员都应该提高警惕。”其它专家认为非英语母语国家的开发人员可能遭受更多风险。Netify 公司的技术专家兼信息安全主管 Taimur Ijlal提到,鉴于语言障碍和更少的安全信息访问权限,该攻击“可能很大程度上影响位于亚洲的开发人员”。他提到,“资源有限的开发团队在严格的代码检查和审计方面的带宽可能更少。”

Academic Influence 公司的研发总监 Jed Macosko 表示,东亚地区的应用开发社区“与其它地方相比,由于在技术、平台和语言方面更类似,因此连接更加紧密”。他认为攻击者可能利用的是这些区域链接和“信任关系”。Macosko 提到,位于亚洲的小型和初创软件公司比世界其它地方的安全预算更少,“这意味着流程、工具和事件响应能力更弱,这就使得复杂威胁行动者的渗透和持久性目标更容易实现。”

网络防御

Gardner认为,保护应用开发人员免受这类软件供应链攻击“任务艰巨而且通常要求很多策略和技术。”开发人员应当在下载开源依赖关系时提高警惕。他指出,“鉴于当前所使用的开源软件数量之多以及快速开发环境带来的压力,即使是训练有素和警觉的开发人员也很容易犯错。”他提到,这就使得自动化“管理和检查开源软件”成为一种关键的防御性措施。他建议称,“软件成分分析 (SCA) 工具可用于评估依赖关系,助力发现虚假或已被攻陷的程序包”,“主动测试包中是否存在恶意代码”并使用程序管理器验证包也可缓解风险。

他指出,“我们看到一些组织机构设立私有注册表。这些系统得到流程和工具的支持,帮助审查开源软件是否合法”以及是否包含漏洞或存在其它风险。

PyPI 是被攻击常客

Increditools 公司的技术专家兼安全分析师 Kelly Indah 指出,虽然开发人员可采取多项措施降低暴露风险,但阻止滥用的风险是平台提供商承担。这并非 PyPI 首次遭恶意包入侵。

Indah 表示,“每个区域的开发团队都依赖于关键仓库的信任和安全。Lazarus 事件破坏了这种信任。但通过开发人员、项目负责人以及平台提供商提高警惕和协同响应,我们可携手恢复完整性和机密性。”

原文始发于微信公众号(代码卫士):日本指责朝鲜发动PyPI供应链攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月13日12:39:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   日本指责朝鲜发动PyPI供应链攻击https://cn-sec.com/archives/2571322.html

发表评论

匿名网友 填写信息