日本将 PyPI 供应链网络攻击归咎于朝鲜

近日，日本网络安全官员警告称，朝鲜臭名昭著的 Lazarus Group 黑客团队最近针对 Python 应用程序的 PyPI 软件存储库发动了供应链攻击。

威胁参与者上传了名为“pycryptoenv”和“pycryptoconf”等受污染的包，其名称与合法的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 计算机上的开发人员会感染一种名为“Comebacker”的危险特洛伊木马。

日本 CERT 在上个月末发布的警告中表示：“此次确认的恶意 Python 软件包已被下载约 300至1,200次。攻击者可能会针对用户的拼写错误来下载恶意软件。”

Gartner 高级总监兼分析师 Dale Gardner 将 Comebacker 描述为一种通用木马，用于投放勒索软件、窃取凭证和渗透开发流程。

Comebacker 已被部署在与朝鲜有关的其他网络攻击中，包括对 npm 软件开发存储库的攻击。

加德纳说：“这种攻击是一种拼写错误形式，在本例中是一种依赖性混淆攻击。开发人员被诱骗下载包含恶意代码的软件包。”

对软件存储库的最新攻击是一种在过去一年左右激增的类型。

Gardner 表示：“此类攻击正在迅速增长，Sonatype 2023 开源报告显示，2023 年发现了 245,000 个此类软件包，是 2019 年以来发现的软件包数量总和的两倍。”

亚洲开发商“不成比例”受到影响

PyPI 是一项覆盖全球的集中式服务，因此世界各地的开发人员都应该对 Lazarus Group 的最新活动保持警惕。

加德纳指出：“这次攻击不仅仅影响日本和附近地区的开发商。世界各地的开发商都应该对此保持警惕。”

其他专家表示，非英语母语人士可能面临拉撒路集团最新攻击的更大风险。

Netify 的技术专家兼信息安全负责人 Taimur Ijlal 表示，由于语言障碍和获取安全信息的机会较少，这次攻击“可能会对亚洲的开发人员造成不成比例的影响。资源有限的开发团队可能无法进行严格的代码审查和审计，这是可以理解的。”

学术影响力研究总监杰德·马科斯科 (Jed Macosko) 表示，东亚的应用程序开发社区“由于共享技术、平台和语言共性，往往比世界其他地区更加紧密地结合在一起”。

他说，攻击者可能希望利用这些区域联系和“可信关系”。

Macosko 指出，亚洲的小型初创软件公司的安全预算通常比西方同行更有限。“这意味着流程、工具和事件响应能力较弱，使得复杂的威胁行为者更容易实现渗透和持久目标。”

网络防御

Gartner 的加德纳表示，保护应用程序开发人员免受这些软件供应链攻击“很困难，通常需要采取多种策略和策略”。

开发人员在下载开源依赖项时应更加小心谨慎。加德纳警告说：“鉴于当今使用的开源数量以及快节奏开发环境的压力，即使是训练有素且警惕的开发人员也很容易犯错误。”

他补充道，这使得“管理和审查开源”的自动化方法成为一项重要的保护措施。

Gardner 建议：“软件组合分析 (SCA) 工具可用于评估依赖性，并有助于发现已被破坏的假冒或合法软件包。”他补充说，“主动测试软件包是否存在恶意代码”并使用 package 验证软件包管理者还可以降低风险。

“我们看到一些组织建立了私人登记处，这些系统得到了流程和工具的支持，可以帮助审查开源以确保其合法性，并且不包含漏洞或其他风险。”

PyPI 对危险并不陌生

Increditools 的技术专家兼安全分析师 Kelly Indah 表示，虽然开发者可以采取措施降低风险，但 PyPI 等平台提供商有责任防止滥用。这并不是第一次将恶意软件包引入该平台。

“每个地区的开发团队都依赖关键存储库的信任和安全，”Indah 说。“拉撒路事件破坏了这种信任。但通过提高警惕以及开发商、项目负责人和平台提供商的协调反应，我们可以共同努力恢复诚信和信心。”