Japanische Cybersicherheitsbeamte warnten, dass Nordkoreas berüchtigtes Hackerteam der Lazarus Group kürzlich einen Lieferkettenangriff durchgeführt habe, der auf das PyPI-Software-Repository für Python-Apps abzielte.

Bedrohungsakteure haben verdorbene Pakete mit Namen wie „pycryptoenv“ und „pycryptoconf“ hochgeladen – der Name ähnelt dem legitimen „pycrypto“-Verschlüsselungs-Toolkit für Python. Entwickler, die dazu verleitet werden, die schändlichen Pakete auf ihre Windows-Rechner herunterzuladen, werden mit einem gefährlichen Trojaner namens Comebacker infiziert.

„Die diesmal bestätigten bösartigen Python-Pakete wurden etwa 300 bis 1,200 Mal heruntergeladen.“ Dies teilte das japanische CERT in einer Ende letzten Monats herausgegebenen Warnung mit. „Angreifer könnten Tippfehler von Benutzern ausnutzen, um die Malware herunterzuladen.“

Dale Gardner, Senior Director und Analyst bei Gartner, beschreibt Comebacker als einen Allzweck-Trojaner, der dazu dient, Ransomware abzuwerfen, Anmeldeinformationen zu stehlen und die Entwicklungspipeline zu infiltrieren.

Comebacker wurde bei anderen Cyberangriffen im Zusammenhang mit Nordkorea eingesetzt, darunter bei einem Angriff auf ein NPM-Softwareentwicklungs-Repository.

„Bei dem Angriff handelt es sich um eine Form des Typosquattings – in diesem Fall um einen Abhängigkeitsverwechslungsangriff. Entwickler werden dazu verleitet, Pakete herunterzuladen, die bösartigen Code enthalten“, sagt Gardner.

Der neueste Angriff auf Software-Repositories ist ein Typ, der im letzten Jahr oder so stark zugenommen hat.

„Diese Art von Angriffen nimmt rasant zu – der Open-Source-Bericht Sonatype 2023 ergab, dass im Jahr 245,000 2023 solcher Pakete entdeckt wurden, was doppelt so viele Pakete wie seit 2019 zusammen entdeckt wurde“, sagt Gardner.

Asiatische Entwickler „überproportional“ betroffen

PyPI ist ein zentralisierter Dienst mit globaler Reichweite, daher sollten Entwickler weltweit auf diese neueste Kampagne der Lazarus Group achten.

„Dieser Angriff betrifft nicht nur Entwickler in Japan und den umliegenden Regionen“, betont Gardner. „Das ist etwas, vor dem Entwickler überall auf der Hut sein sollten.“

Andere Experten sagen, dass Nicht-Muttersprachler des Englischen einem größeren Risiko für diesen jüngsten Angriff der Lazarus-Gruppe ausgesetzt sein könnten.

Der Angriff „könnte Entwickler in Asien unverhältnismäßig stark treffen“, aufgrund von Sprachbarrieren und weniger Zugang zu Sicherheitsinformationen, sagt Taimur Ijlal, Technologieexperte und Leiter für Informationssicherheit bei Netify.

„Entwicklungsteams mit begrenzten Ressourcen verfügen verständlicherweise möglicherweise über weniger Bandbreite für strenge Codeüberprüfungen und Audits“, sagt Ijlal.

Jed Macosko, Forschungsdirektor bei Academic Influence, sagt, dass App-Entwicklungsgemeinschaften in Ostasien „aufgrund gemeinsamer Technologien, Plattformen und sprachlicher Gemeinsamkeiten tendenziell enger integriert sind als in anderen Teilen der Welt.“

Er sagt, Angreifer könnten versuchen, diese regionalen Verbindungen und „vertrauenswürdigen Beziehungen“ auszunutzen.

Kleine und Startup-Softwarefirmen in Asien verfügen in der Regel über begrenztere Sicherheitsbudgets als ihre Kollegen im Westen, stellt Macosko fest. „Dies bedeutet schwächere Prozesse, Tools und Fähigkeiten zur Reaktion auf Vorfälle – was Infiltration und Persistenz für erfahrene Bedrohungsakteure zu erreichbareren Zielen macht.“

Cyber-Verteidigung

Der Schutz von Anwendungsentwicklern vor diesen Angriffen auf die Software-Lieferkette ist „schwierig und erfordert im Allgemeinen eine Reihe von Strategien und Taktiken“, sagt Gardner von Gartner.

Entwickler sollten beim Herunterladen von Open-Source-Abhängigkeiten erhöhte Vorsicht und Sorgfalt walten lassen. „Angesichts der Menge an Open Source, die heute verwendet wird, und des Drucks schnelllebiger Entwicklungsumgebungen ist es selbst für einen gut ausgebildeten und wachsamen Entwickler leicht, einen Fehler zu machen“, warnt Gardner.

Dies mache automatisierte Ansätze zur „Verwaltung und Überprüfung von Open Source“ zu einer wesentlichen Schutzmaßnahme, fügt er hinzu.

„Tools zur Software-Kompositionsanalyse (SCA) können zur Bewertung von Abhängigkeiten verwendet werden und dabei helfen, gefälschte oder legitime Pakete zu erkennen, die kompromittiert wurden“, rät Gardner und fügt hinzu, dass „Pakete proaktiv auf das Vorhandensein von bösartigem Code getestet“ und Pakete mithilfe von Paketen validiert werden Auch Manager können Risiken mindern.

„Wir sehen, dass einige Organisationen private Register einrichten“, sagt er. „Diese Systeme werden durch Prozesse und Tools unterstützt, die dabei helfen, Open Source zu überprüfen, um sicherzustellen, dass es legitim ist“ und keine Schwachstellen oder andere Risiken enthält, fügt er hinzu.

PiPI ist der Gefahr nicht fremd

Während Entwickler Maßnahmen ergreifen können, um die Gefährdung zu verringern, liegt die Verantwortung bei Plattformanbietern wie PyPI, Missbrauch zu verhindern, so Kelly Indah, Technologieexpertin und Sicherheitsanalystin bei Increditools. Dies ist nicht das erste Mal bösartige Pakete wurden auf die geschoben Plattform.

„Entwicklerteams in jeder Region verlassen sich auf das Vertrauen und die Sicherheit wichtiger Repositories“, sagt Indah.
„Dieser Vorfall mit Lazarus untergräbt dieses Vertrauen. Aber durch erhöhte Wachsamkeit und eine koordinierte Reaktion von Entwicklern, Projektleitern und Plattformanbietern können wir zusammenarbeiten, um Integrität und Vertrauen wiederherzustellen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack