日本指责朝鲜发动PyPI供应链攻击
2024-3-12 18:3:42 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

日本的网络安全官员提醒称,臭名昭著的朝鲜国家黑客组织 Lazarus 最近发动了针对 PyPI 软件仓库的供应链攻击。

攻击者上传了遭篡改的软件包,它们的名称为 “pycryptoenv” 和 “pycryptoconf”等,与合法的加密工具包 “pycrypto” 类似。被骗将这些包下载到 Windows 机器的开发人员遭到一款危险木马 Comebacker 的感染。

日本CERT在上个月月末表示,“这次确认的恶意 Python 包的下载次数约为300到1200次。攻击者可能利用用户的输入错误诱骗他们下载恶意软件。”

Gartner 公司的高级负责人兼分析师 Dale Gardner 认为 Comebacker 是一款用于释放勒索软件的通用木马,可窃取凭据并渗透开发管道。Comebacker 已被部署到与朝鲜有关联的其它网络攻击中,包括针对 npm 软件开发仓库的攻击。Gardner 表示,“该攻击是一种typosquatting 形式,在本案例中是依赖混淆攻击。开发人员被诱骗下载包含恶意代码的软件包。”最近针对软件仓库的攻击是最近一年左右时间出现的类型。Gardner表示,这些攻击类型增长迅速。

亚洲开发人员受影响的比例最大

PyPI 是一种中心化服务,用户遍布全球,因此全球开发人员都应该对这次攻击提高警惕。

Gardner 指出,“该攻击并非仅影响位于日本和附近区域的开发人员。所有地方的开发人员都应该提高警惕。”其它专家认为非英语母语国家的开发人员可能遭受更多风险。Netify 公司的技术专家兼信息安全主管 Taimur Ijlal提到,鉴于语言障碍和更少的安全信息访问权限,该攻击“可能很大程度上影响位于亚洲的开发人员”。他提到,“资源有限的开发团队在严格的代码检查和审计方面的带宽可能更少。”

Academic Influence 公司的研发总监 Jed Macosko 表示,东亚地区的应用开发社区“与其它地方相比,由于在技术、平台和语言方面更类似,因此连接更加紧密”。他认为攻击者可能利用的是这些区域链接和“信任关系”。Macosko 提到,位于亚洲的小型和初创软件公司比世界其它地方的安全预算更少,“这意味着流程、工具和事件响应能力更弱,这就使得复杂威胁行动者的渗透和持久性目标更容易实现。”

网络防御

Gardner认为,保护应用开发人员免受这类软件供应链攻击“任务艰巨而且通常要求很多策略和技术。”开发人员应当在下载开源依赖关系时提高警惕。他指出,“鉴于当前所使用的开源软件数量之多以及快速开发环境带来的压力,即使是训练有素和警觉的开发人员也很容易犯错。”他提到,这就使得自动化“管理和检查开源软件”成为一种关键的防御性措施。他建议称,“软件成分分析 (SCA) 工具可用于评估依赖关系,助力发现虚假或已被攻陷的程序包”,“主动测试包中是否存在恶意代码”并使用程序管理器验证包也可缓解风险。

他指出,“我们看到一些组织机构设立私有注册表。这些系统得到流程和工具的支持,帮助审查开源软件是否合法”以及是否包含漏洞或存在其它风险。

PyPI 是被攻击常客

Increditools 公司的技术专家兼安全分析师 Kelly Indah 指出,虽然开发人员可采取多项措施降低暴露风险,但阻止滥用的风险是平台提供商承担。这并非 PyPI 首次遭恶意包入侵。

Indah 表示,“每个区域的开发团队都依赖于关键仓库的信任和安全。Lazarus 事件破坏了这种信任。但通过开发人员、项目负责人以及平台提供商提高警惕和协同响应,我们可携手恢复完整性和机密性。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

JFrog Artifactory 多个漏洞威胁软件供应链安全

速修复!TeamCity中存在两个严重的漏洞,可触发供应链攻击

谷歌修复代码测试工具Bazel 中的严重供应链漏洞

全球软件供应链安全指南和法规概览

原文链接
https://www.darkreading.com/application-security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519041&idx=2&sn=625e27daa5f7fbaf8fadcd0a61cf215b&chksm=ea94ba2bdde3333d5d9856c4aa11c870e10488820d2bfba6fce2c519ed62b76b869a5da33117&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh