日本将 PyPI 供应链网络攻击归咎于朝鲜

admin 2024年3月14日08:56:30评论17 views字数 1579阅读5分15秒阅读模式

日本将 PyPI 供应链网络攻击归咎于朝鲜

日本将 PyPI 供应链网络攻击归咎于朝鲜

近日,日本网络安全官员警告称,朝鲜臭名昭著的 Lazarus Group 黑客团队最近针对 Python 应用程序的 PyPI 软件存储库发动了供应链攻击。

威胁参与者上传了名为“pycryptoenv”和“pycryptoconf”等受污染的包,其名称与合法的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 计算机上的开发人员会感染一种名为“Comebacker”的危险特洛伊木马。

日本 CERT 在上个月末发布的警告中表示:“此次确认的恶意 Python 软件包已被下载约 300至1,200次。攻击者可能会针对用户的拼写错误来下载恶意软件。”

Gartner 高级总监兼分析师 Dale Gardner 将 Comebacker 描述为一种通用木马,用于投放勒索软件、窃取凭证和渗透开发流程。

Comebacker 已被部署在与朝鲜有关的其他网络攻击中,包括对 npm 软件开发存储库的攻击。

加德纳说:“这种攻击是一种拼写错误形式,在本例中是一种依赖性混淆攻击。开发人员被诱骗下载包含恶意代码的软件包。”

对软件存储库的最新攻击是一种在过去一年左右激增的类型。

Gardner 表示:“此类攻击正在迅速增长,Sonatype 2023 开源报告显示,2023 年发现了 245,000 个此类软件包,是 2019 年以来发现的软件包数量总和的两倍。”

亚洲开发商“不成比例”受到影响

PyPI 是一项覆盖全球的集中式服务,因此世界各地的开发人员都应该对 Lazarus Group 的最新活动保持警惕。

加德纳指出:“这次攻击不仅仅影响日本和附近地区的开发商。世界各地的开发商都应该对此保持警惕。”

其他专家表示,非英语母语人士可能面临拉撒路集团最新攻击的更大风险。

Netify 的技术专家兼信息安全负责人 Taimur Ijlal 表示,由于语言障碍和获取安全信息的机会较少,这次攻击“可能会对亚洲的开发人员造成不成比例的影响。资源有限的开发团队可能无法进行严格的代码审查和审计,这是可以理解的。”

学术影响力研究总监杰德·马科斯科 (Jed Macosko) 表示,东亚的应用程序开发社区“由于共享技术、平台和语言共性,往往比世界其他地区更加紧密地结合在一起”。

他说,攻击者可能希望利用这些区域联系和“可信关系”。

Macosko 指出,亚洲的小型初创软件公司的安全预算通常比西方同行更有限。“这意味着流程、工具和事件响应能力较弱,使得复杂的威胁行为者更容易实现渗透和持久目标。”

网络防御

Gartner 的加德纳表示,保护应用程序开发人员免受这些软件供应链攻击“很困难,通常需要采取多种策略和策略”。

开发人员在下载开源依赖项时应更加小心谨慎。加德纳警告说:“鉴于当今使用的开源数量以及快节奏开发环境的压力,即使是训练有素且警惕的开发人员也很容易犯错误。”

他补充道,这使得“管理和审查开源”的自动化方法成为一项重要的保护措施。

Gardner 建议:“软件组合分析 (SCA) 工具可用于评估依赖性,并有助于发现已被破坏的假冒或合法软件包。”他补充说,“主动测试软件包是否存在恶意代码”并使用 package 验证软件包管理者还可以降低风险。

“我们看到一些组织建立了私人登记处,这些系统得到了流程和工具的支持,可以帮助审查开源以确保其合法性,并且不包含漏洞或其他风险。”

PyPI 对危险并不陌生

Increditools 的技术专家兼安全分析师 Kelly Indah 表示,虽然开发者可以采取措施降低风险,但 PyPI 等平台提供商有责任防止滥用。这并不是第一次将恶意软件包引入该平台。

“每个地区的开发团队都依赖关键存储库的信任和安全,”Indah 说。“拉撒路事件破坏了这种信任。但通过提高警惕以及开发商、项目负责人和平台提供商的协调反应,我们可以共同努力恢复诚信和信心。”

原文始发于微信公众号(E安全):日本将 PyPI 供应链网络攻击归咎于朝鲜

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月14日08:56:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   日本将 PyPI 供应链网络攻击归咎于朝鲜https://cn-sec.com/archives/2572503.html

发表评论

匿名网友 填写信息