Les responsables japonais de la cybersécurité ont averti que la tristement célèbre équipe de piratage du groupe Lazarus en Corée du Nord avait récemment mené une attaque contre la chaîne d'approvisionnement ciblant le référentiel de logiciels PyPI pour les applications Python.
Les acteurs malveillants ont téléchargé des packages corrompus portant des noms tels que « pycryptoenv » et « pycryptoconf » – dont le nom est similaire à celui de la boîte à outils de chiffrement légitime « pycrypto » pour Python. Les développeurs qui sont amenés à télécharger des packages infâmes sur leurs machines Windows sont infectés par un dangereux cheval de Troie connu sous le nom de Comebacker.
« Les packages Python malveillants confirmés cette fois ont été téléchargés environ 300 à 1,200 XNUMX fois. » CERT japonais a déclaré dans un avertissement publié à la fin du mois dernier. "Les attaquants peuvent cibler les fautes de frappe des utilisateurs pour télécharger le logiciel malveillant."
Dale Gardner, directeur principal et analyste de Gartner, décrit Comebacker comme un cheval de Troie à usage général utilisé pour supprimer des ransomwares, voler des informations d'identification et infiltrer le pipeline de développement.
Comebacker a été déployé dans d'autres cyberattaques liées à la Corée du Nord, notamment une attaque sur un référentiel de développement logiciel npm.
« L’attaque est une forme de typosquatting – dans ce cas, une attaque de confusion de dépendances. Les développeurs sont amenés à télécharger des packages contenant du code malveillant », explique Gardner.
La dernière attaque contre référentiels de logiciels est un type qui a augmenté au cours de la dernière année.
« Ces types d'attaques se développent rapidement : le rapport open source Sonatype 2023 a révélé que 245,000 2023 paquets de ce type ont été découverts en 2019, soit deux fois le nombre de paquets découverts ensemble depuis XNUMX », explique Gardner.
Les développeurs asiatiques sont « disproportionnellement » touchés
PyPI est un service centralisé avec une portée mondiale, les développeurs du monde entier doivent donc être en alerte pour cette dernière campagne du groupe Lazarus.
« Cette attaque n'affectera pas uniquement les développeurs du Japon et des régions voisines, souligne Gardner. "C'est quelque chose dont les développeurs du monde entier doivent se méfier."
D'autres experts affirment que les anglophones non natifs pourraient être plus exposés à cette dernière attaque du groupe Lazarus.
L'attaque « pourrait avoir un impact disproportionné sur les développeurs en Asie », en raison des barrières linguistiques et d'un accès limité aux informations de sécurité, déclare Taimur Ijlal, expert en technologie et responsable de la sécurité de l'information chez Netify.
« Les équipes de développement disposant de ressources limitées peuvent naturellement disposer de moins de bande passante pour des révisions et des audits rigoureux du code », explique Ijlal.
Jed Macosko, directeur de recherche chez Academic Influence, affirme que les communautés de développement d'applications en Asie de l'Est « ont tendance à être plus étroitement intégrées que dans d'autres parties du monde en raison du partage de technologies, de plates-formes et de points communs linguistiques ».
Il affirme que les attaquants pourraient chercher à tirer parti de ces connexions régionales et de ces « relations de confiance ».
Les petites entreprises de logiciels et les startups asiatiques disposent généralement de budgets de sécurité plus limités que leurs homologues occidentaux, note Macosko. « Cela signifie des processus, des outils et des capacités de réponse aux incidents plus faibles, ce qui rend les objectifs d’infiltration et de persistance plus accessibles aux acteurs de menaces sophistiqués. »
Cyber défense
Protéger les développeurs d'applications contre ces attaques de la chaîne d'approvisionnement logicielle est « difficile et nécessite généralement un certain nombre de stratégies et de tactiques », explique Gardner de Gartner.
Les développeurs doivent faire preuve d’une prudence et d’une prudence accrues lors du téléchargement de dépendances open source. « Étant donné la quantité d'open source utilisée aujourd'hui et les pressions des environnements de développement au rythme rapide, il est facile, même pour un développeur bien formé et vigilant, de commettre une erreur », prévient Gardner.
Cela fait des approches automatisées de « gestion et de contrôle de l’open source » une mesure de protection essentielle, ajoute-t-il.
"Les outils d'analyse de la composition logicielle (SCA) peuvent être utilisés pour évaluer les dépendances et peuvent aider à repérer les paquets contrefaits ou légitimes qui ont été compromis", conseille Gardner, ajoutant que "tester de manière proactive les paquets pour détecter la présence de code malveillant" et valider les paquets à l'aide du paquet. les gestionnaires peuvent également atténuer les risques.
« Nous voyons certaines organisations créer des registres privés », dit-il. « Ces systèmes sont soutenus par des processus et des outils qui aident à vérifier l'open source pour garantir sa légitimité » et ne contiennent pas de vulnérabilités ou d'autres risques, ajoute-t-il.
PiPI n'est pas étranger au danger
Même si les développeurs peuvent prendre des mesures pour réduire leur exposition, il incombe aux fournisseurs de plateformes comme PyPI de prévenir les abus, selon Kelly Indah, experte en technologie et analyste en sécurité chez Increditools. ce n'est pas la première fois paquets malveillants ont été glissés sur le plateforme.
« Les équipes de développeurs de chaque région s'appuient sur la confiance et la sécurité des référentiels de clés », explique Indah.
« Cet incident de Lazarus sape cette confiance. Mais grâce à une vigilance accrue et à une réponse coordonnée de la part des développeurs, des chefs de projet et des fournisseurs de plateformes, nous pouvons travailler ensemble pour restaurer l’intégrité et la confiance.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
