日本のサイバーセキュリティ当局者は、北朝鮮の悪名高いLazarus Groupハッキングチームが最近、PythonアプリのPyPIソフトウェアリポジトリを標的としたサプライチェーン攻撃を行ったと警告した。
攻撃者は、「pycryptoenv」や「pycryptoconf」などの名前の汚染されたパッケージをアップロードしました。これは、Python 用の正規の「pycrypto」暗号化ツールキットと名前が似ています。だまされて極悪なパッケージを Windows マシンにダウンロードさせられた開発者は、Comebacker として知られる危険なトロイの木馬に感染します。
「今回確認された悪意のあるPythonパッケージは、約300~1,200回ダウンロードされています。」 日本のCERTは先月末に出された警告の中でこう述べた。 「攻撃者はユーザーのタイプミスを狙ってマルウェアをダウンロードさせている可能性があります。」
Gartner シニア ディレクター兼アナリストの Dale Gardner 氏は、Comebacker について、ランサムウェアの投下、資格情報の窃取、開発パイプラインへの侵入に使用される汎用トロイの木馬であると説明しています。
Comebacker は、北朝鮮に関連する他のサイバー攻撃にも導入されています。 npm ソフトウェア開発リポジトリに対する攻撃。
「この攻撃はタイポスクワッティングの一種であり、この場合は依存関係を混乱させる攻撃です。開発者はだまされて悪意のあるコードを含むパッケージをダウンロードさせられます」とガードナー氏は言う。
最新の攻撃 ソフトウェアリポジトリ ここ1年ほどで急増したタイプです。
「この種の攻撃は急速に増加しています。Sonatype 2023 オープンソース レポートによると、245,000 年にはそのようなパッケージが 2023 個発見されました。これは、2019 年以降に発見されたパッケージを合わせた数の XNUMX 倍です」とガードナー氏は言います。
アジアの開発者が「不当に」影響を受ける
PyPI はグローバルに展開する集中型サービスであるため、世界中の開発者は Lazarus Group によるこの最新のキャンペーンに警戒する必要があります。
「この攻撃は日本とその近隣地域の開発者だけに影響を与えるものではないとガードナー氏は指摘します。 「これは世界中の開発者が警戒すべきことです。」
他の専門家は、英語を母国語としない人々はラザラス・グループによる今回の攻撃の危険にさらされる可能性があると述べている。
Netify の技術専門家であり情報セキュリティ リーダーである Taimur Ijlal 氏は、言語の壁とセキュリティ情報へのアクセスが少ないため、この攻撃は「アジアの開発者に過度の影響を与える可能性がある」と述べています。
「リソースが限られている開発チームでは、当然のことながら、厳密なコード レビューや監査のための帯域幅が少なくなる可能性があります」と Ijlal 氏は言います。
Academic Influence のリサーチディレクター、ジェド・マコスコ氏は、東アジアのアプリ開発コミュニティは「テクノロジー、プラットフォーム、言語の共通点が共有されているため、世界の他の地域よりも緊密に統合される傾向がある」と述べています。
同氏は、攻撃者はこうした地域的なつながりや「信頼関係」を利用しようとしている可能性があると述べている。
アジアの小規模な新興ソフトウェア会社は、通常、西側諸国に比べてセキュリティ予算が限られているとマコスコ氏は指摘する。 「これは、プロセス、ツール、インシデント対応能力が弱くなることを意味し、洗練された脅威アクターにとって侵入と永続化がより達成可能な目標になります。」
サイバーディフェンス
こうしたソフトウェア サプライ チェーン攻撃からアプリケーション開発者を保護することは「困難であり、一般に多くの戦略と戦術が必要です」と Gartner の Gardner 氏は述べています。
開発者は、オープンソースの依存関係をダウンロードする際には、より細心の注意を払う必要があります。 「今日使用されているオープンソースの量と、ペースの速い開発環境のプレッシャーを考慮すると、十分な訓練を受け、用心深い開発者であっても間違いを犯すのは簡単です」とガードナー氏は警告します。
このため、「オープンソースの管理と精査」に対する自動化されたアプローチが不可欠な保護手段となる、と同氏は付け加えた。
「ソフトウェア構成分析 (SCA) ツールは依存関係を評価するために使用でき、侵害された偽のパッケージや正規のパッケージを発見するのに役立ちます」とガードナー氏はアドバイスし、「悪意のあるコードの存在についてパッケージを積極的にテスト」し、パッケージを使用してパッケージを検証することを付け加えました。管理者もリスクを軽減できます。
「いくつかの組織が非公開のレジストリを確立しているのを目にします」と彼は言います。 「これらのシステムは、オープンソースを精査して合法であることを確認するのに役立つプロセスとツールによってサポートされており」、脆弱性やその他のリスクが含まれていないと同氏は付け加えた。
PiPI ノー・ストレンジャー・トゥ・デンジャー
Increditools の技術専門家でセキュリティ アナリストの Kelly Indah 氏によると、開発者は露出を減らすための措置を講じることができますが、悪用を防ぐ責任は PyPI などのプラットフォーム プロバイダーにあります。これは初めてではありません 悪意のあるパッケージ に滑り落ちてしまった プラットフォーム.
「どの地域の開発者チームも、主要なリポジトリの信頼性とセキュリティに依存しています」と Indah 氏は言います。
「今回のラザロの事件はその信頼を揺るがすものです。しかし、警戒を強化し、開発者、プロジェクトリーダー、プラットフォームプロバイダーが連携して対応することで、私たちは協力して誠実さと信頼を回復することができます。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
