Japon siber güvenlik yetkilileri, Kuzey Kore’nin kötü şöhretli Lazarus Group hack ekibinin yakın zamanda Python uygulamaları için PyPI yazılım deposunu hedef alan bir tedarik zinciri saldırısı düzenlediği konusunda uyardı.
Tehdit aktörleri, Python için meşru “pycrypto” şifreleme araç setine benzer şekilde “pycryptoenv” ve “pycryptoconf” gibi adlara sahip bozuk paketler yüklediler. Kötü niyetli paketleri Windows makinelerine indirmeleri için kandırılan geliştiricilere Comebacker olarak bilinen tehlikeli bir Truva atı bulaşıyor.
“Kötü amaçlı Python paketlerinin bu sefer yaklaşık 300 ila 1.200 kez indirildiği doğrulandı.” Japonya CERT geçen ayın sonlarında yayınlanan bir uyarıda bunu söyledi. “Saldırganlar, kötü amaçlı yazılımın indirilmesi için kullanıcıların yazım hatalarını hedef alıyor olabilir.”
Gartner kıdemli direktörü ve analisti Dale Gardner, Comebacker’ı fidye yazılımı bırakmak, kimlik bilgilerini çalmak ve geliştirme hattına sızmak için kullanılan genel amaçlı bir Truva atı olarak tanımlıyor.
Comebacker, Kuzey Kore ile bağlantılı diğer siber saldırılarda da kullanıldı. Bir npm yazılım geliştirme deposuna saldırı.
Gardner, “Saldırı, bir yazım hatası biçimidir; bu durumda, bir bağımlılık karmaşası saldırısıdır. Geliştiriciler, kötü amaçlı kod içeren paketleri indirmeleri için kandırılıyor” diyor.
En son saldırı yazılım depoları son bir yılda yükselişe geçen bir tür.
Gardner, “Bu tür saldırılar hızla artıyor; Sonatype 2023 açık kaynak raporu, 2023’te bu tür 245.000 paketin keşfedildiğini ortaya çıkardı; bu, 2019’dan bu yana keşfedilen paketlerin toplam sayısının iki katıdır” diyor Gardner.
Asyalı Geliştiriciler “Orantısız Şekilde” Etkilendi
PyPI, küresel erişime sahip merkezi bir hizmettir, bu nedenle dünya çapındaki geliştiricilerin Lazarus Group’un bu son kampanyasına karşı tetikte olmaları gerekir.
Gardner, “Bu saldırının yalnızca Japonya ve yakın bölgelerdeki geliştiricileri etkileyecek bir şey olmadığına dikkat çekiyor. “Bu, her yerdeki geliştiricilerin tetikte olması gereken bir şey.”
Diğer uzmanlar, ana dili İngilizce olmayan konuşmacıların Lazarus Grubunun bu son saldırısına karşı daha fazla risk altında olabileceğini söylüyor.
Netify’da teknoloji uzmanı ve bilgi güvenliği lideri olan Taimur Ijlal, saldırının dil engelleri ve güvenlik bilgilerine daha az erişim nedeniyle “Asya’daki geliştiricileri orantısız bir şekilde etkileyebileceğini” söylüyor.
Ijlal, “Sınırlı kaynaklara sahip geliştirme ekiplerinin, sıkı kod incelemeleri ve denetimleri için anlaşılır bir şekilde daha az bant genişliğine sahip olabileceği” diyor.
Academic Influence araştırma direktörü Jed Macosko, Doğu Asya’daki uygulama geliştirme topluluklarının “paylaşılan teknolojiler, platformlar ve dilsel benzerlikler nedeniyle dünyanın diğer bölgelerine göre daha sıkı bir şekilde entegre olma eğiliminde olduklarını” söylüyor.
Saldırganların bu bölgesel bağlantılardan ve “güvenilir ilişkilerden” yararlanmak isteyebileceğini söylüyor.
Macosko, Asya’daki küçük ve yeni kurulan yazılım firmalarının genellikle Batı’daki benzerlerine göre daha sınırlı güvenlik bütçelerine sahip olduğunu belirtiyor. “Bu, daha zayıf süreçler, araçlar ve olay müdahale yetenekleri anlamına geliyor; bu da gelişmiş tehdit aktörleri için sızma ve kalıcılığı daha ulaşılabilir hedefler haline getiriyor.”
Siber Savunma
Gartner’dan Gardner, uygulama geliştiricilerini bu yazılım tedarik zinciri saldırılarından korumanın “zor olduğunu ve genellikle bir dizi strateji ve taktik gerektirdiğini” söylüyor.
Geliştiriciler, açık kaynak bağımlılıklarını indirirken daha fazla dikkat ve özen göstermelidir. Gardner, “Günümüzde kullanılan açık kaynak miktarı ve hızlı gelişen geliştirme ortamlarının baskıları göz önüne alındığında, iyi eğitimli ve dikkatli bir geliştiricinin bile hata yapması kolaydır” diye uyarıyor.
Bunun, “açık kaynağı yönetme ve incelemeye” yönelik otomatik yaklaşımları önemli bir koruyucu önlem haline getirdiğini ekliyor.
Gardner, “Yazılım bileşimi analizi (SCA) araçları, bağımlılıkları değerlendirmek için kullanılabilir ve ele geçirilen sahte veya meşru paketlerin tespit edilmesine yardımcı olabilir” tavsiyesinde bulunarak “paketleri, kötü amaçlı kodların varlığına karşı proaktif olarak test ediyor” ve paketleri kullanarak paketleri doğruluyor. yöneticiler de riski azaltabilir.
“Bazı kuruluşların özel siciller kurduğunu görüyoruz” diyor. “Bu sistemler, açık kaynağın meşru olduğundan emin olmak için açık kaynağın incelenmesine yardımcı olan süreçler ve araçlarla destekleniyor” ve güvenlik açıkları veya başka riskler içermediğini ekliyor.
PiPI Tehlikeye Yabancı Değil
Increditools’ta teknoloji uzmanı ve güvenlik analisti olan Kelly Indah’a göre geliştiriciler maruz kalmayı azaltmak için adımlar atabilirken, kötüye kullanımı önleme sorumluluğu PyPI gibi platform sağlayıcılarına düşüyor. Bu ilk defa değil kötü amaçlı paketler üzerine kaydırıldı platformu.
Indah, “Her bölgedeki geliştirici ekipleri, anahtar depoların güvenine ve güvenliğine güveniyor” diyor.
“Bu Lazarus olayı bu güveni baltalıyor. Ancak geliştiricilerin, proje liderlerinin ve platform sağlayıcıların artan dikkat ve koordineli tepkisi sayesinde bütünlüğü ve güveni yeniden tesis etmek için birlikte çalışabiliriz.”