حذر مسؤولو الأمن السيبراني الياباني من أن فريق القرصنة Lazarus Group سيئ السمعة في كوريا الشمالية شن مؤخرًا هجومًا على سلسلة التوريد استهدف مستودع برامج PyPI لتطبيقات Python.
قام ممثلو التهديد بتحميل حزم ملوثة بأسماء مثل "pycryptoenv" و"pycryptoconf" - تشبه في الاسم مجموعة أدوات التشفير "pycrypto" الشرعية لـ Python. المطورون الذين يتم خداعهم لتنزيل الحزم الشائنة على أجهزة Windows الخاصة بهم يصابون بفيروس طروادة الخطير المعروف باسم Comebacker.
"حزم بايثون الخبيثة التي تم تأكيدها هذه المرة تم تنزيلها ما بين 300 إلى 1,200 مرة تقريبًا" وقال فريق CERT الياباني في تحذير صدر أواخر الشهر الماضي. "قد يستهدف المهاجمون الأخطاء المطبعية للمستخدمين لتنزيل البرامج الضارة."
يصف ديل جاردنر، كبير المديرين والمحلل في Gartner، برنامج Comebacker بأنه حصان طروادة للأغراض العامة يستخدم لإسقاط برامج الفدية وسرقة بيانات الاعتماد والتسلل إلى مسار التطوير.
تم نشر Comebacker في هجمات إلكترونية أخرى مرتبطة بكوريا الشمالية، بما في ذلك هجوم الهجوم على مستودع تطوير البرمجيات npm.
"الهجوم هو شكل من أشكال الأخطاء المطبعية - في هذه الحالة، هجوم ارتباك التبعية. يقول جاردنر: "يتم خداع المطورين لتنزيل حزم تحتوي على تعليمات برمجية ضارة".
أحدث هجوم على مستودعات البرامج هو النوع الذي ارتفع خلال العام الماضي أو نحو ذلك.
يقول غاردنر: "تنمو هذه الأنواع من الهجمات بسرعة - كشف تقرير Sonatype 2023 مفتوح المصدر عن اكتشاف 245,000 حزمة من هذا القبيل في عام 2023، وهو ضعف عدد الحزم المكتشفة مجتمعة منذ عام 2019".
المطورون الآسيويون تأثروا "بشكل غير متناسب".
PyPI هي خدمة مركزية ذات امتداد عالمي، لذا يجب على المطورين في جميع أنحاء العالم أن يكونوا في حالة تأهب لهذه الحملة الأخيرة التي قامت بها Lazarus Group.
"هذا الهجوم ليس شيئًا من شأنه أن يؤثر فقط على المطورين في اليابان والمناطق المجاورة، كما يشير جاردنر. "إنه شيء يجب على المطورين في كل مكان أن يكونوا على أهبة الاستعداد له."
ويقول خبراء آخرون إن المتحدثين باللغة الإنجليزية غير الأصليين قد يكونون أكثر عرضة للخطر بسبب هذا الهجوم الأخير الذي قامت به مجموعة Lazarus Group.
يقول تيمور إجلال، خبير التكنولوجيا ورئيس أمن المعلومات في Netify، إن الهجوم "قد يؤثر بشكل غير متناسب على المطورين في آسيا"، بسبب الحواجز اللغوية وقلة الوصول إلى المعلومات الأمنية.
يقول إجلال: "من المفهوم أن فرق التطوير ذات الموارد المحدودة قد يكون لديها نطاق ترددي أقل لإجراء مراجعات وتدقيقات صارمة للكود".
يقول جيد ماكوسكو، مدير الأبحاث في Academic Influence، إن مجتمعات تطوير التطبيقات في شرق آسيا "تميل إلى أن تكون أكثر تكاملاً بشكل وثيق من أجزاء أخرى من العالم بسبب التقنيات والمنصات المشتركة والقواسم اللغوية المشتركة".
ويقول إن المهاجمين ربما يتطلعون إلى الاستفادة من تلك الروابط الإقليمية و"العلاقات الموثوقة".
ويشير ماكوسكو إلى أن شركات البرمجيات الصغيرة والناشئة في آسيا تتمتع عادة بميزانيات أمنية محدودة أكثر من نظيراتها في الغرب. "وهذا يعني ضعف العمليات والأدوات وقدرات الاستجابة للحوادث - مما يجعل التسلل والمثابرة أهدافًا أكثر قابلية للتحقيق بالنسبة للجهات الفاعلة التهديدية المتطورة."
الدفاع السيبراني
يقول جارتنر إن حماية مطوري التطبيقات من هجمات سلسلة توريد البرامج هذه "أمر صعب ويتطلب بشكل عام عددًا من الاستراتيجيات والتكتيكات".
يجب على المطورين توخي المزيد من الحذر والعناية عند تنزيل التبعيات مفتوحة المصدر. يحذر جاردنر قائلاً: "نظرًا لكمية المصادر المفتوحة المستخدمة اليوم والضغوط التي تفرضها بيئات التطوير سريعة الخطى، فمن السهل حتى للمطورين اليقظين والمدربين تدريبًا جيدًا أن يرتكبوا الأخطاء".
ويضيف أن هذا يجعل الأساليب الآلية في "إدارة وفحص المصادر المفتوحة" إجراءً وقائيًا أساسيًا.
"يمكن استخدام أدوات تحليل تكوين البرامج (SCA) لتقييم التبعيات ويمكن أن تساعد في اكتشاف الحزم المزيفة أو المشروعة التي تم اختراقها،" ينصح غاردنر، مضيفًا أن "اختبار الحزم بشكل استباقي بحثًا عن وجود تعليمات برمجية ضارة" والتحقق من صحة الحزم باستخدام الحزمة يمكن للمديرين أيضًا تخفيف المخاطر.
ويقول: "نرى بعض المنظمات تنشئ سجلات خاصة". ويضيف: "هذه الأنظمة مدعومة بعمليات وأدوات تساعد في فحص المصادر المفتوحة للتأكد من شرعيتها" وأنها لا تحتوي على نقاط ضعف أو مخاطر أخرى.
PiPI ليس غريبا على الخطر
وبينما يمكن للمطورين اتخاذ خطوات لتقليل التعرض، فإن العبء يقع على عاتق موفري المنصات مثل PyPI لمنع إساءة الاستخدام، وفقًا لكيلي إنداه، خبيرة التكنولوجيا ومحلل الأمن في Incredittools. هذه ليست المرة الأولى الحزم الخبيثة لقد انزلقت على المنصة.
يقول إنداه: "تعتمد فرق التطوير في كل منطقة على ثقة وأمان المستودعات الرئيسية".
“إن حادثة لعازر هذه تقوض تلك الثقة. ولكن من خلال اليقظة المعززة والاستجابة المنسقة من المطورين وقادة المشاريع ومقدمي المنصات، يمكننا العمل معًا لاستعادة النزاهة والثقة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
