Japanse cyberbeveiligingsfunctionarissen waarschuwden dat het beruchte hackersteam van de Lazarus Group in Noord-Korea onlangs een supply chain-aanval heeft uitgevoerd op de PyPI-softwarerepository voor Python-apps.
Bedreigingsactoren hebben besmette pakketten geüpload met namen als ‘pycryptoenv’ en ‘pycryptoconf’ – vergelijkbaar in naam met de legitieme ‘pycrypto’-coderingstoolkit voor Python. Ontwikkelaars die worden misleid om de snode pakketten naar hun Windows-machines te downloaden, zijn geïnfecteerd met een gevaarlijke Trojan die bekend staat als Comebacker.
“De kwaadaardige Python-pakketten die dit keer zijn bevestigd, zijn ongeveer 300 tot 1,200 keer gedownload,” Japan CERT zei eind vorige maand in een waarschuwing. “Aanvallers richten zich mogelijk op de typefouten van gebruikers om de malware te laten downloaden.”
Dale Gardner, senior directeur en analist van Gartner, beschrijft Comebacker als een Trojaans paard voor algemeen gebruik dat wordt gebruikt voor het droppen van ransomware, het stelen van inloggegevens en het infiltreren van de ontwikkelingspijplijn.
Comebacker is ingezet bij andere cyberaanvallen die verband houden met Noord-Korea, waaronder een aanval op een npm-softwareontwikkelingsrepository.
“De aanval is een vorm van typosquatting – in dit geval een aanval op afhankelijkheidsverwarring. Ontwikkelaars worden misleid om pakketten te downloaden die kwaadaardige code bevatten”, zegt Gardner.
De laatste aanval op software-opslagplaatsen is een type dat het afgelopen jaar enorm is toegenomen.
“Dit soort aanvallen groeit snel – uit het open source-rapport van Sonatype 2023 bleek dat er in 245,000 2023 van dergelijke pakketten zijn ontdekt, wat twee keer zoveel is als het aantal ontdekte pakketten samen sinds 2019”, zegt Gardner.
Aziatische ontwikkelaars worden “disproportioneel” getroffen
PyPI is een gecentraliseerde dienst met een wereldwijd bereik, dus ontwikkelaars over de hele wereld moeten alert zijn op deze nieuwste campagne van Lazarus Group.
“Deze aanval is niet iets dat alleen ontwikkelaars in Japan en nabijgelegen regio’s zou treffen, benadrukt Gardner. “Het is iets waarvoor ontwikkelaars overal ter wereld op hun hoede moeten zijn.”
Andere experts zeggen dat niet-moedertaalsprekers van het Engels meer risico lopen op deze laatste aanval door de Lazarus Group.
De aanval “kan een onevenredige impact hebben op ontwikkelaars in Azië”, vanwege taalbarrières en minder toegang tot beveiligingsinformatie, zegt Taimur Ijlal, een technologie-expert en leider op het gebied van informatiebeveiliging bij Netify.
“Ontwikkelteams met beperkte middelen hebben begrijpelijkerwijs mogelijk minder bandbreedte voor rigoureuze codebeoordelingen en audits”, zegt Ijlal.
Jed Macosko, onderzoeksdirecteur bij Academic Influence, zegt dat app-ontwikkelingsgemeenschappen in Oost-Azië “de neiging hebben nauwer geïntegreerd te zijn dan in andere delen van de wereld vanwege gedeelde technologieën, platforms en taalkundige overeenkomsten.”
Hij zegt dat aanvallers mogelijk willen profiteren van die regionale verbindingen en ‘vertrouwde relaties’.
Kleine en startende softwarebedrijven in Azië hebben doorgaans beperktere beveiligingsbudgetten dan hun tegenhangers in het Westen, merkt Macosko op. “Dit betekent zwakkere processen, hulpmiddelen en capaciteiten voor incidentrespons, waardoor infiltratie en doorzettingsvermogen beter haalbaar worden voor geavanceerde dreigingsactoren.”
Cyberdefensie
Het beschermen van applicatieontwikkelaars tegen deze aanvallen op de supply chain van software is “moeilijk en vereist over het algemeen een aantal strategieën en tactieken”, zegt Gardner van Gartner.
Ontwikkelaars moeten meer voorzichtigheid en zorg betrachten bij het downloaden van open source-afhankelijkheden. “Gezien de hoeveelheid open source die tegenwoordig wordt gebruikt en de druk van snelle ontwikkelomgevingen, is het zelfs voor een goed opgeleide en oplettende ontwikkelaar gemakkelijk om een fout te maken”, waarschuwt Gardner.
Dit maakt geautomatiseerde benaderingen van “het beheren en controleren van open source” tot een essentiële beschermingsmaatregel, voegt hij eraan toe.
“Software Composition Analysis (SCA)-tools kunnen worden gebruikt om afhankelijkheden te evalueren en kunnen helpen bij het opsporen van vervalste of legitieme pakketten die zijn gecompromitteerd”, adviseert Gardner, eraan toevoegend dat “het proactief testen van pakketten op de aanwezigheid van kwaadaardige code” en het valideren van pakketten met behulp van pakketpakketten. Managers kunnen ook risico's beperken.
“We zien dat sommige organisaties particuliere registers opzetten”, zegt hij. “Deze systemen worden ondersteund door processen en tools die open source helpen onderzoeken of het legitiem is” en geen kwetsbaarheden of andere risico's bevat, voegt hij eraan toe.
PiPI Geen onbekende in gevaar
Hoewel ontwikkelaars stappen kunnen ondernemen om de blootstelling te verminderen, ligt de verantwoordelijkheid bij platformaanbieders zoals PyPI om misbruik te voorkomen, aldus Kelly Indah, een technologie-expert en beveiligingsanalist bij Increditools. Dit is niet de eerste keer kwaadaardige pakketten zijn op de gleed platform.
“Ontwikkelaarsteams in elke regio vertrouwen op het vertrouwen en de veiligheid van belangrijke repository’s”, zegt Indah.
“Dit Lazarus-incident ondermijnt dat vertrouwen. Maar door verhoogde waakzaamheid en een gecoördineerde reactie van ontwikkelaars, projectleiders en platformaanbieders kunnen we samenwerken om de integriteit en het vertrouwen te herstellen.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
