Autoridades japonesas de segurança cibernética alertaram que a infame equipe de hackers do Grupo Lazarus da Coreia do Norte realizou recentemente um ataque à cadeia de suprimentos visando o repositório de software PyPI para aplicativos Python.

Os agentes de ameaças carregaram pacotes contaminados com nomes como “pycryptoenv” e “pycryptoconf” – semelhante em nome ao legítimo kit de ferramentas de criptografia “pycrypto” para Python. Os desenvolvedores que são induzidos a baixar pacotes nefastos em suas máquinas Windows são infectados por um Trojan perigoso conhecido como Comebacker.

“Os pacotes maliciosos do Python confirmados desta vez foram baixados aproximadamente de 300 a 1,200 vezes”, Japan CERT disse em um alerta emitido no final do mês passado. “Os invasores podem ter como alvo os erros de digitação dos usuários para fazer o download do malware.”

O diretor sênior e analista do Gartner, Dale Gardner, descreve o Comebacker como um Trojan de uso geral usado para descartar ransomware, roubar credenciais e se infiltrar no pipeline de desenvolvimento.

O Comebacker foi implantado em outros ataques cibernéticos ligados à Coreia do Norte, incluindo um ataque a um repositório de desenvolvimento de software npm.

“O ataque é uma forma de typosquatting – neste caso, um ataque de confusão de dependência. Os desenvolvedores são induzidos a baixar pacotes contendo código malicioso”, diz Gardner.

O último ataque a repositórios de software é um tipo que surgiu no último ano ou assim.

“Esses tipos de ataques estão crescendo rapidamente – o relatório de código aberto Sonatype 2023 revelou que 245,000 desses pacotes foram descobertos em 2023, o que foi o dobro do número de pacotes descobertos, combinados, desde 2019”, diz Gardner.

Desenvolvedores asiáticos “desproporcionalmente” afetados

PyPI é um serviço centralizado com alcance global, portanto, desenvolvedores em todo o mundo devem estar alertas para esta última campanha do Grupo Lazarus.

“Este ataque não afetaria apenas os desenvolvedores no Japão e regiões próximas, ressalta Gardner. “É algo que os desenvolvedores de todo o mundo deveriam estar atentos.”

Outros especialistas dizem que os falantes não nativos de inglês podem correr maior risco neste último ataque do Grupo Lazarus.

O ataque “pode impactar desproporcionalmente os desenvolvedores na Ásia”, devido às barreiras linguísticas e ao menor acesso a informações de segurança, afirma Taimur Ijlal, especialista em tecnologia e líder de segurança da informação na Netify.

“Equipes de desenvolvimento com recursos limitados podem, compreensivelmente, ter menos largura de banda para revisões e auditorias rigorosas de código”, diz Ijlal.

Jed Macosko, diretor de pesquisa da Academic Influence, diz que as comunidades de desenvolvimento de aplicativos no Leste Asiático “tendem a ser mais integradas do que em outras partes do mundo devido ao compartilhamento de tecnologias, plataformas e semelhanças linguísticas”.

Ele diz que os invasores podem tentar tirar vantagem dessas conexões regionais e “relacionamentos de confiança”.

As pequenas empresas de software e as startups na Ásia normalmente têm orçamentos de segurança mais limitados do que as suas congéneres no Ocidente, observa Macosko. “Isso significa processos, ferramentas e capacidades de resposta a incidentes mais fracos – tornando a infiltração e a persistência objetivos mais atingíveis para atores de ameaças sofisticados.”

Defesa cibernética

Proteger os desenvolvedores de aplicativos contra esses ataques à cadeia de fornecimento de software é “difícil e geralmente requer uma série de estratégias e táticas”, diz Gardner, do Gartner.

Os desenvolvedores devem ter mais cautela e cuidado ao baixar dependências de código aberto. “Dada a quantidade de código aberto usado hoje e as pressões dos ambientes de desenvolvimento em ritmo acelerado, é fácil até mesmo para um desenvolvedor bem treinado e vigilante cometer um erro”, alerta Gardner.

Isto torna as abordagens automatizadas para “gerenciar e verificar o código aberto” uma medida de proteção essencial, acrescenta.

“As ferramentas de análise de composição de software (SCA) podem ser usadas para avaliar dependências e podem ajudar a detectar pacotes falsos ou legítimos que foram comprometidos”, aconselha Gardner, acrescentando que “testar pacotes proativamente quanto à presença de código malicioso” e validar pacotes usando pacote os gerentes também podem mitigar o risco.

“Vemos algumas organizações estabelecendo registros privados”, diz ele. “Esses sistemas são apoiados por processos e ferramentas que ajudam a examinar o código aberto para garantir que ele seja legítimo” e não contenha vulnerabilidades ou outros riscos, acrescenta.

PiPI não é estranho ao perigo

Embora os desenvolvedores possam tomar medidas para reduzir a exposição, a responsabilidade recai sobre os provedores de plataformas como o PyPI para evitar abusos, de acordo com Kelly Indah, especialista em tecnologia e analista de segurança da Increditools. Essa não é a primeira vez pacotes maliciosos foram escorregados para o plataforma.

“As equipes de desenvolvedores em todas as regiões confiam na confiança e na segurança dos repositórios principais”, afirma Indah.
“Este incidente do Lázaro mina essa confiança. Mas através de uma vigilância reforçada e de uma resposta coordenada de desenvolvedores, líderes de projeto e fornecedores de plataformas, podemos trabalhar juntos para restaurar a integridade e a confiança.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack