Các quan chức an ninh mạng Nhật Bản cảnh báo nhóm hack khét tiếng Lazarus Group của Triều Tiên gần đây đã tiến hành một cuộc tấn công chuỗi cung ứng nhắm vào kho phần mềm PyPI cho các ứng dụng Python.
Các tác nhân đe dọa đã tải lên các gói bị nhiễm độc có tên như “pycryptoenv” và “pycryptoconf” — có tên tương tự như bộ công cụ mã hóa “pycrypto” hợp pháp dành cho Python. Các nhà phát triển bị lừa tải các gói bất chính xuống máy Windows của họ sẽ bị nhiễm một loại Trojan nguy hiểm có tên là Comebacker.
“Các gói Python độc hại được xác nhận lần này đã được tải xuống khoảng 300 đến 1,200 lần,” CERT Nhật Bản cho biết trong một cảnh báo được đưa ra vào cuối tháng trước. “Những kẻ tấn công có thể đang nhắm mục tiêu vào lỗi đánh máy của người dùng để tải xuống phần mềm độc hại.”
Giám đốc cấp cao và nhà phân tích của Gartner, Dale Gardner mô tả Comebacker là một Trojan có mục đích chung được sử dụng để phát tán ransomware, đánh cắp thông tin xác thực và xâm nhập vào quy trình phát triển.
Comebacker đã được triển khai trong các cuộc tấn công mạng khác có liên quan đến Triều Tiên, bao gồm cả một cuộc tấn công mạng. tấn công vào kho phát triển phần mềm npm.
“Cuộc tấn công là một hình thức đánh máy – trong trường hợp này là một cuộc tấn công nhầm lẫn phụ thuộc. Các nhà phát triển bị lừa tải xuống các gói chứa mã độc,” Gardner nói.
Cuộc tấn công mới nhất vào kho phần mềm là loại đã tăng mạnh trong khoảng một năm trở lại đây.
Gardner cho biết: “Những kiểu tấn công này đang phát triển nhanh chóng – báo cáo nguồn mở Sonatype 2023 tiết lộ 245,000 gói như vậy đã được phát hiện vào năm 2023, gấp đôi số lượng gói được phát hiện, cộng lại, kể từ năm 2019”.
Các nhà phát triển châu Á bị ảnh hưởng “không tương xứng”
PyPI là một dịch vụ tập trung có phạm vi tiếp cận toàn cầu, vì vậy các nhà phát triển trên toàn thế giới nên cảnh giác với chiến dịch mới nhất này của Lazarus Group.
Gardner chỉ ra: “Cuộc tấn công này không chỉ ảnh hưởng đến các nhà phát triển ở Nhật Bản và các khu vực lân cận. “Đó là điều mà các nhà phát triển ở khắp mọi nơi nên đề phòng.”
Các chuyên gia khác cho rằng những người không nói tiếng Anh bản xứ có thể gặp nhiều rủi ro hơn trước cuộc tấn công mới nhất này của Nhóm Lazarus.
Taimur Ijlal, chuyên gia công nghệ và lãnh đạo bảo mật thông tin tại Netify, cho biết cuộc tấn công “có thể tác động không tương xứng đến các nhà phát triển ở châu Á” do rào cản ngôn ngữ và ít khả năng tiếp cận thông tin bảo mật.
Ijlal cho biết: “Các nhóm phát triển có nguồn lực hạn chế có thể có ít băng thông hơn để đánh giá và kiểm tra mã nghiêm ngặt”.
Jed Macosko, giám đốc nghiên cứu của Academic Influence, cho biết các cộng đồng phát triển ứng dụng ở Đông Á “có xu hướng tích hợp chặt chẽ hơn so với các khu vực khác trên thế giới do có chung công nghệ, nền tảng và sự tương đồng về ngôn ngữ”.
Ông nói rằng những kẻ tấn công có thể đang tìm cách lợi dụng các kết nối khu vực đó và “các mối quan hệ đáng tin cậy”.
Macosko lưu ý rằng các công ty phần mềm nhỏ và khởi nghiệp ở châu Á thường có ngân sách bảo mật hạn chế hơn so với các đối tác ở phương Tây. “Điều này có nghĩa là các quy trình, công cụ và khả năng ứng phó sự cố yếu hơn – khiến cho việc xâm nhập và tồn tại trở thành mục tiêu dễ đạt được hơn đối với các tác nhân đe dọa tinh vi.”
Phòng thủ không gian mạng
Gardner của Gartner cho biết, việc bảo vệ các nhà phát triển ứng dụng khỏi các cuộc tấn công chuỗi cung ứng phần mềm này là “khó khăn và thường đòi hỏi một số chiến lược và chiến thuật”.
Nhà phát triển nên tăng cường thận trọng và cẩn thận khi tải xuống các phần phụ thuộc nguồn mở. Gardner cảnh báo: “Với số lượng nguồn mở được sử dụng ngày nay và áp lực của môi trường phát triển có nhịp độ nhanh, ngay cả một nhà phát triển được đào tạo bài bản và thận trọng cũng rất dễ mắc sai lầm”.
Điều này làm cho các cách tiếp cận tự động để “quản lý và kiểm tra nguồn mở” trở thành một biện pháp bảo vệ thiết yếu, ông nói thêm.
Gardner khuyên: “Các công cụ phân tích thành phần phần mềm (SCA) có thể được sử dụng để đánh giá sự phụ thuộc và có thể giúp phát hiện các gói giả mạo hoặc hợp pháp đã bị xâm phạm”. các nhà quản lý cũng có thể giảm thiểu rủi ro.
Ông nói: “Chúng tôi thấy một số tổ chức thành lập cơ quan đăng ký tư nhân. Ông cho biết thêm: “Các hệ thống này được hỗ trợ bởi các quy trình và công cụ giúp kiểm tra nguồn mở để đảm bảo nó hợp pháp” và không chứa các lỗ hổng hoặc rủi ro khác.
PiPI Không Xa lạ với Nguy hiểm
Theo Kelly Indah, chuyên gia công nghệ và nhà phân tích bảo mật tại Incredittools, mặc dù các nhà phát triển có thể thực hiện các bước để giảm mức độ phơi nhiễm, nhưng trách nhiệm thuộc về các nhà cung cấp nền tảng như PyPI để ngăn chặn hành vi lạm dụng. Đây không phải là lần đầu tiên gói độc hại đã bị trượt lên nền tảng.
Indah cho biết: “Các nhóm phát triển ở mọi khu vực đều dựa vào sự tin cậy và bảo mật của các kho lưu trữ quan trọng”.
“Sự cố Lazarus này làm suy yếu niềm tin đó. Nhưng thông qua việc tăng cường cảnh giác và phản ứng phối hợp từ các nhà phát triển, lãnh đạo dự án và nhà cung cấp nền tảng, chúng ta có thể làm việc cùng nhau để khôi phục tính toàn vẹn và sự tự tin.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack
