제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

일본, PyPI 공급망 사이버 공격에 대해 북한을 비난

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 131

일본 사이버 보안 관계자는 북한의 악명 높은 Lazarus Group 해킹 팀이 최근 Python 앱용 PyPI 소프트웨어 저장소를 표적으로 삼아 공급망 공격을 감행했다고 경고했습니다.

위협 행위자들은 합법적인 Python용 "pycrypto" 암호화 툴킷과 이름이 유사한 "pycryptoenv" 및 "pycryptoconf"와 같은 이름을 가진 오염된 패키지를 업로드했습니다. 속아서 자신의 Windows 컴퓨터에 사악한 패키지를 다운로드하는 개발자는 Comebacker라고 알려진 위험한 트로이 목마에 감염됩니다.

“이번에 확인된 악성 파이썬 패키지는 약 300~1,200회 다운로드됐다” 일본 CERT는 지난달 말 발표된 경고에서 이렇게 말했습니다. “공격자는 악성 코드를 다운로드하기 위해 사용자의 오타를 표적으로 삼을 수 있습니다.”

Gartner 수석 이사이자 분석가인 Dale Gardner는 Comebacker를 랜섬웨어 배포, 자격 증명 도용, 개발 파이프라인 침투에 사용되는 범용 트로이 목마라고 설명합니다.

Comebacker는 다음을 포함하여 북한과 관련된 다른 사이버 공격에 배치되었습니다. npm 소프트웨어 개발 저장소를 공격합니다.

“공격은 타이포스쿼팅(typosquatting)의 한 형태입니다. 이 경우에는 종속성 혼란 공격입니다. 개발자는 속아서 악성 코드가 포함된 패키지를 다운로드하게 됩니다.”라고 Gardner는 말합니다.

에 대한 최신 공격 소프트웨어 리포지토리 작년 쯤에 급증한 유형입니다.

Gardner는 "이러한 유형의 공격은 빠르게 증가하고 있습니다. Sonatype 2023 오픈 소스 보고서에 따르면 245,000년에 이러한 패키지가 2023개 발견된 것으로 나타났습니다. 이는 2019년 이후 발견된 패키지 수의 두 배입니다."라고 Gardner는 말합니다.

아시아 개발자들이 “불균형하게” 영향을 받음

PyPI는 전 세계를 대상으로 하는 중앙 집중식 서비스이므로 전 세계 개발자는 Lazarus Group의 최신 캠페인에 주의를 기울여야 합니다.

“이 공격은 일본과 인근 지역의 개발자에게만 영향을 미치는 것이 아니라고 Gardner는 지적합니다. "이것은 모든 곳의 개발자가 경계해야 할 사항입니다."

다른 전문가들은 Lazarus Group의 최근 공격으로 인해 영어가 모국어가 아닌 사람들이 더 큰 위험에 처할 수 있다고 말합니다.

Netify의 기술 전문가이자 정보 보안 리더인 Taimur Ijlal은 언어 장벽과 보안 정보에 대한 접근성 부족으로 인해 이번 공격이 "아시아 개발자들에게 불균형적으로 영향을 미칠 수 있습니다"라고 말했습니다.

Ijlal은 “리소스가 제한된 개발팀은 엄격한 코드 검토 및 감사를 수행할 수 있는 대역폭이 당연히 부족할 수 있습니다.”라고 말합니다.

Academic Influence의 연구 책임자인 Jed Macosko는 동아시아의 앱 개발 커뮤니티가 "공유된 기술, 플랫폼 및 언어적 공통성으로 인해 세계 다른 지역보다 더 긴밀하게 통합되는 경향이 있다"고 말합니다.

그는 공격자들이 이러한 지역적 연결과 "신뢰할 수 있는 관계"를 활용하려고 할 수 있다고 말했습니다.

아시아의 소규모 스타트업 소프트웨어 회사는 일반적으로 서구의 회사보다 보안 예산이 더 제한되어 있다고 Macosko는 지적합니다. "이는 프로세스, 도구 및 사고 대응 능력이 약하다는 것을 의미하며, 정교한 위협 행위자가 침투 및 지속성을 더 달성하기 쉬운 목표로 만듭니다."

사이버 방어

Gartner의 Gardner는 이러한 소프트웨어 공급망 공격으로부터 애플리케이션 개발자를 보호하는 것은 "어려우며 일반적으로 다양한 전략과 전술이 필요합니다"라고 말합니다.

개발자는 오픈 소스 종속성을 다운로드할 때 더욱 주의를 기울여야 합니다. Gardner는 “현재 사용되는 오픈 소스의 양과 빠르게 변화하는 개발 환경의 압박을 고려하면 잘 훈련되고 주의 깊은 개발자라도 실수를 저지르기 쉽습니다.”라고 경고합니다.

이로 인해 "오픈 소스 관리 및 조사"에 대한 자동화된 접근 방식이 필수적인 보호 조치가 되었다고 그는 덧붙입니다.

Gardner는 "소프트웨어 구성 분석(SCA) 도구를 사용하여 종속성을 평가할 수 있으며 손상된 위조 패키지나 합법적인 패키지를 찾는 데 도움이 될 수 있습니다."라고 조언하며 "악성 코드가 있는지 패키지를 사전에 테스트하고 패키지를 사용하여 패키지를 검증합니다"라고 덧붙였습니다. 관리자는 위험을 완화할 수도 있습니다.

“우리는 일부 조직이 개인 레지스트리를 설립하는 것을 봅니다.”라고 그는 말합니다. "이러한 시스템은 오픈 소스가 적법한지 확인하는 데 도움이 되는 프로세스와 도구에 의해 지원되며" 취약점이나 기타 위험이 포함되어 있지 않다고 그는 덧붙였습니다.

PiPI 위험에 낯선 사람은 없습니다

Increditools의 기술 전문가이자 보안 분석가인 Kelly Indah에 따르면 개발자는 노출을 줄이기 위한 조치를 취할 수 있지만 남용을 방지하는 책임은 PyPI와 같은 플랫폼 제공업체에 있습니다. 이번이 처음이 아니다 악성 패키지 에 미끄러졌습니다 플랫폼.

Indah는 "모든 지역의 개발자 팀은 주요 저장소의 신뢰와 보안에 의존합니다."라고 말합니다.
“이 나사로 사건은 그러한 신뢰를 약화시킵니다. 그러나 개발자, 프로젝트 리더, 플랫폼 제공업체의 강화된 경계와 조율된 대응을 통해 우리는 함께 협력하여 무결성과 신뢰를 회복할 수 있습니다.”

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.