近日,日本网络安全官员警告称,朝鲜臭名昭著的 Lazarus Group 黑客团队最近针对 Python 应用程序的 PyPI 软件存储库发动了供应链攻击。
威胁参与者上传了名为“pycryptoenv”和“pycryptoconf”等受污染的包,其名称与合法的 Python 加密工具包“pycrypto”类似。被诱骗将恶意软件包下载到 Windows 计算机上的开发人员会感染一种名为“Comebacker”的危险特洛伊木马。
日本 CERT 在上个月末发布的警告中表示:“此次确认的恶意 Python 软件包已被下载约 300至1,200次。攻击者可能会针对用户的拼写错误来下载恶意软件。”
Gartner 高级总监兼分析师 Dale Gardner 将 Comebacker 描述为一种通用木马,用于投放勒索软件、窃取凭证和渗透开发流程。
Comebacker 已被部署在与朝鲜有关的其他网络攻击中,包括对 npm 软件开发存储库的攻击。
加德纳说:“这种攻击是一种拼写错误形式,在本例中是一种依赖性混淆攻击。开发人员被诱骗下载包含恶意代码的软件包。”
对软件存储库的最新攻击是一种在过去一年左右激增的类型。
Gardner 表示:“此类攻击正在迅速增长,Sonatype 2023 开源报告显示,2023 年发现了 245,000 个此类软件包,是 2019 年以来发现的软件包数量总和的两倍。”
亚洲开发商“不成比例”受到影响
PyPI 是一项覆盖全球的集中式服务,因此世界各地的开发人员都应该对 Lazarus Group 的最新活动保持警惕。
加德纳指出:“这次攻击不仅仅影响日本和附近地区的开发商。世界各地的开发商都应该对此保持警惕。”
其他专家表示,非英语母语人士可能面临拉撒路集团最新攻击的更大风险。
Netify 的技术专家兼信息安全负责人 Taimur Ijlal 表示,由于语言障碍和获取安全信息的机会较少,这次攻击“可能会对亚洲的开发人员造成不成比例的影响。资源有限的开发团队可能无法进行严格的代码审查和审计,这是可以理解的。”
学术影响力研究总监杰德·马科斯科 (Jed Macosko) 表示,东亚的应用程序开发社区“由于共享技术、平台和语言共性,往往比世界其他地区更加紧密地结合在一起”。
他说,攻击者可能希望利用这些区域联系和“可信关系”。
Macosko 指出,亚洲的小型初创软件公司的安全预算通常比西方同行更有限。“这意味着流程、工具和事件响应能力较弱,使得复杂的威胁行为者更容易实现渗透和持久目标。”
网络防御
Gartner 的加德纳表示,保护应用程序开发人员免受这些软件供应链攻击“很困难,通常需要采取多种策略和策略”。
开发人员在下载开源依赖项时应更加小心谨慎。加德纳警告说:“鉴于当今使用的开源数量以及快节奏开发环境的压力,即使是训练有素且警惕的开发人员也很容易犯错误。”
他补充道,这使得“管理和审查开源”的自动化方法成为一项重要的保护措施。
Gardner 建议:“软件组合分析 (SCA) 工具可用于评估依赖性,并有助于发现已被破坏的假冒或合法软件包。”他补充说,“主动测试软件包是否存在恶意代码”并使用 package 验证软件包管理者还可以降低风险。
“我们看到一些组织建立了私人登记处,这些系统得到了流程和工具的支持,可以帮助审查开源以确保其合法性,并且不包含漏洞或其他风险。”
PyPI 对危险并不陌生
Increditools 的技术专家兼安全分析师 Kelly Indah 表示,虽然开发者可以采取措施降低风险,但 PyPI 等平台提供商有责任防止滥用。这并不是第一次将恶意软件包引入该平台。
“每个地区的开发团队都依赖关键存储库的信任和安全,”Indah 说。“拉撒路事件破坏了这种信任。但通过提高警惕以及开发商、项目负责人和平台提供商的协调反应,我们可以共同努力恢复诚信和信心。”
精彩推荐
微软称俄罗斯黑客再次试图入侵其系统
2024.03.11
警报:超 15 个国家众多行业遭到双重勒索软件攻击
2024.03.08
苹果修复了两个新的用于攻击iOS的零日漏洞
2024.03.07


注:本文由E安全编译报道,转载请联系授权并注明来源。
继续阅读
阅读原文