Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

Japón culpa a Corea del Norte por el ciberataque a la cadena de suministro de PyPI

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 131

Los funcionarios japoneses de ciberseguridad advirtieron que el infame equipo de piratería del Grupo Lazarus de Corea del Norte llevó a cabo recientemente un ataque a la cadena de suministro dirigido al repositorio de software PyPI para aplicaciones Python.

Los actores de amenazas cargaron paquetes contaminados con nombres como “pycryptoenv” y “pycryptoconf”, similares en nombre al kit de herramientas de cifrado legítimo “pycrypto” para Python. Los desarrolladores que son engañados para que descarguen paquetes nefastos en sus máquinas con Windows quedan infectados con un peligroso troyano conocido como Comebacker.

"Los paquetes maliciosos de Python confirmados esta vez se han descargado aproximadamente entre 300 y 1,200 veces". Dijo el CERT de Japón en una advertencia emitida a finales del mes pasado. "Los atacantes pueden estar apuntando a los errores tipográficos de los usuarios para descargar el malware".

El director senior y analista de Gartner, Dale Gardner, describe Comebacker como un troyano de propósito general utilizado para eliminar ransomware, robar credenciales e infiltrarse en el proceso de desarrollo.

Comebacker se ha utilizado en otros ciberataques vinculados a Corea del Norte, incluido un Ataque a un repositorio de desarrollo de software npm.

“El ataque es una forma de typosquatting; en este caso, un ataque de confusión de dependencia. Se engaña a los desarrolladores para que descarguen paquetes que contienen código malicioso”, afirma Gardner.

El último ataque a repositorios de software es un tipo que ha aumentado durante el último año.

"Este tipo de ataques están creciendo rápidamente: el informe de código abierto de Sonatype 2023 reveló que se descubrieron 245,000 paquetes de este tipo en 2023, lo que representa el doble de la cantidad de paquetes descubiertos, combinados, desde 2019", dice Gardner.

Los desarrolladores asiáticos se ven afectados “desproporcionadamente”

PyPI es un servicio centralizado con alcance global, por lo que los desarrolladores de todo el mundo deben estar alerta ante esta última campaña de Lazarus Group.

"Este ataque no es algo que afectaría sólo a los desarrolladores en Japón y regiones cercanas", señala Gardner. "Es algo ante lo cual los desarrolladores de todo el mundo deberían estar en guardia".

Otros expertos dicen que los hablantes no nativos de inglés podrían correr mayor riesgo de sufrir este último ataque del Grupo Lazarus.

El ataque "puede afectar desproporcionadamente a los desarrolladores en Asia", debido a las barreras del idioma y al menor acceso a la información de seguridad, dice Taimur Ijlal, experto en tecnología y líder de seguridad de la información en Netify.

"Es comprensible que los equipos de desarrollo con recursos limitados tengan menos ancho de banda para revisiones y auditorías rigurosas de código", afirma Ijlal.

Jed Macosko, director de investigación de Academic Influence, dice que las comunidades de desarrollo de aplicaciones en el este de Asia "tienden a estar más estrechamente integradas que en otras partes del mundo debido a las tecnologías, plataformas y puntos comunes lingüísticos compartidos".

Dice que los atacantes pueden estar buscando aprovechar esas conexiones regionales y "relaciones de confianza".

Las empresas de software pequeñas y emergentes en Asia suelen tener presupuestos de seguridad más limitados que sus contrapartes en Occidente, señala Macosko. "Esto significa procesos, herramientas y capacidades de respuesta a incidentes más débiles, lo que hace que la infiltración y la persistencia sean objetivos más alcanzables para los actores de amenazas sofisticados".

Defensa cibernética

Proteger a los desarrolladores de aplicaciones de estos ataques a la cadena de suministro de software es "difícil y generalmente requiere una serie de estrategias y tácticas", afirma Gartner.

Los desarrolladores deben tener mayor precaución y cuidado al descargar dependencias de código abierto. "Dada la cantidad de código abierto que se utiliza hoy en día y las presiones de los entornos de desarrollo acelerados, es fácil que incluso un desarrollador bien capacitado y atento cometa un error", advierte Gardner.

Esto hace que los enfoques automatizados para “administrar y examinar el código abierto” sean una medida de protección esencial, añade.

"Las herramientas de análisis de composición de software (SCA) se pueden utilizar para evaluar dependencias y pueden ayudar a detectar paquetes falsos o legítimos que hayan sido comprometidos", aconseja Gardner, añadiendo que "probar paquetes de forma proactiva para detectar la presencia de código malicioso" y validar paquetes utilizando el paquete Los administradores también pueden mitigar el riesgo.

"Vemos que algunas organizaciones establecen registros privados", dice. "Estos sistemas están respaldados por procesos y herramientas que ayudan a examinar el código abierto para garantizar que sea legítimo" y que no contenga vulnerabilidades ni otros riesgos, añade.

PiPI no es ajeno al peligro

Si bien los desarrolladores pueden tomar medidas para reducir la exposición, la responsabilidad de evitar el abuso recae en los proveedores de plataformas como PyPI, según Kelly Indah, experta en tecnología y analista de seguridad de Increditools. esta no es la primera vez paquetes maliciosos han sido deslizados sobre el plataforma.

"Los equipos de desarrolladores de todas las regiones dependen de la confianza y la seguridad de los repositorios clave", afirma Indah.
“Este incidente de Lázaro socava esa confianza. Pero mediante una mayor vigilancia y una respuesta coordinada de los desarrolladores, líderes de proyectos y proveedores de plataformas, podemos trabajar juntos para restaurar la integridad y la confianza”.

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.