Japanska cybersäkerhetstjänstemän varnade för att Nordkoreas ökända Lazarus Group-hackingteam nyligen genomförde en supply chain-attack riktad mot PyPI-programvaran för Python-appar.

Hotaktörer laddade upp förorenade paket med namn som "pycryptoenv" och "pycryptoconf" - liknande namnet på den legitima "pycrypto"-krypteringsverktyget för Python. Utvecklare som blir lurade att ladda ner de otrevliga paketen till sina Windows-maskiner är infekterade med en farlig trojan som kallas Comebacker.

"De skadliga Python-paketen som bekräftades den här gången har laddats ner cirka 300 till 1,200 XNUMX gånger," Japan CERT sa i en varning som utfärdades i slutet av förra månaden. "Angripare kan rikta in sig på användarnas stavfel för att skadlig programvara ska laddas ner."

Gartners seniordirektör och analytiker Dale Gardner beskriver Comebacker som en trojan för allmänt bruk som används för att ta bort ransomware, stjäla referenser och infiltrera utvecklingspipelinen.

Comebacker har utplacerats i andra cyberattacker kopplade till Nordkorea, inklusive en attack mot ett npm-programvaruutvecklingsförråd.

"Attacken är en form av typosquatting - i det här fallet en beroendeförvirringsattack. Utvecklare luras att ladda ner paket som innehåller skadlig kod, säger Gardner.

Den senaste attacken mot mjukvarulager är en typ som har ökat under det senaste året eller så.

"Dessa typer av attacker växer snabbt – Sonatype 2023-rapporten med öppen källkod avslöjade att 245,000 2023 sådana paket upptäcktes 2019, vilket var dubbelt så många paket som upptäckts, tillsammans, sedan XNUMX," säger Gardner.

Asiatiska utvecklare "oproportionerligt" påverkas

PyPI är en centraliserad tjänst med global räckvidd, så utvecklare över hela världen bör vara uppmärksamma på denna senaste kampanj av Lazarus Group.

"Denna attack är inte något som bara skulle påverka utvecklare i Japan och närliggande regioner, påpekar Gardner. "Det är något som utvecklare överallt borde vara på sin vakt för."

Andra experter säger att personer som inte har engelska som modersmål kan vara mer utsatta för denna senaste attack från Lazarus Group.

Attacken "kan påverka utvecklare i Asien oproportionerligt mycket", på grund av språkbarriärer och mindre tillgång till säkerhetsinformation, säger Taimur Ijlal, en teknisk expert och informationssäkerhetsledare på Netify.

"Utvecklingsteam med begränsade resurser kan förståeligt nog ha mindre bandbredd för rigorösa kodgranskningar och revisioner", säger Ijlal.

Jed Macosko, forskningschef på Academic Influence, säger att apputvecklingssamhällen i Östasien "tenderar att vara mer integrerade än i andra delar av världen på grund av delad teknik, plattformar och språkliga likheter."

Han säger att angripare kan vara ute efter att dra fördel av dessa regionala förbindelser och "pålitliga relationer."

Små och nystartade mjukvaruföretag i Asien har vanligtvis mer begränsade säkerhetsbudgetar än sina motsvarigheter i väst, konstaterar Macosko. "Detta innebär svagare processer, verktyg och kapacitet för incidentrespons - vilket gör infiltration och uthållighet mer uppnåeliga mål för sofistikerade hotaktörer."

Cyberförsvar

Att skydda applikationsutvecklare från dessa attacker från programvarans leveranskedja är "svårt och kräver i allmänhet ett antal strategier och taktiker", säger Gartners Gardner.

Utvecklare bör iaktta ökad försiktighet och försiktighet när de laddar ner beroenden med öppen källkod. "Med tanke på mängden öppen källkod som används idag och trycket från snabba utvecklingsmiljöer är det lätt för även en välutbildad och vaksam utvecklare att göra ett misstag," varnar Gardner.

Detta gör automatiserade metoder för att "hantera och granska öppen källkod" till en viktig skyddsåtgärd, tillägger han.

"SCA-verktyg (Software Composition Analysis) kan användas för att utvärdera beroenden och kan hjälpa till att upptäcka förfalskningar eller legitima paket som har äventyrats," råder Gardner och tillägger att "proaktivt testa paket för förekomst av skadlig kod" och validera paket med hjälp av paket chefer kan också minska riskerna.

"Vi ser att vissa organisationer etablerar privata register", säger han. "Dessa system stöds av processer och verktyg som hjälper veterinär med öppen källkod för att säkerställa att det är legitimt" och innehåller inte sårbarheter eller andra risker, tillägger han.

PiPI No Stranger to Danger

Även om utvecklare kan vidta åtgärder för att minska exponeringen, faller ansvaret på plattformsleverantörer som PyPI för att förhindra missbruk, enligt Kelly Indah, en teknisk expert och säkerhetsanalytiker på Increditools. Det här är inte första gången skadliga paket har halats in på plattform.

"Utvecklarteam i varje region förlitar sig på förtroendet och säkerheten hos nyckellager", säger Indah.
"Denna Lazarus-incident undergräver det förtroendet. Men genom ökad vaksamhet och ett samordnat svar från utvecklare, projektledare och plattformsleverantörer kan vi arbeta tillsammans för att återställa integritet och förtroende.”

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack