Lazarus的近期攻擊針對Python開發者熱門的PyPI儲存庫。駭客上傳了多個惡意程式套件,例如pycryptoenv和 pycryptoconf。這些惡意程式套件偽裝成合法加密工具包 pycrypto。不小心下載這些惡意程式包的開發者,將感染一種名為Comebacker的惡意程式。
Comebacker是通用的惡意程式,具有散布勒索軟體、竊取憑證、滲透開發管道等功能。Comebacker曾被部署在針對npm軟體開發儲存庫的攻擊。日本CERT單位警告,這些惡意程式包曾被下載300至1200次。很明顯,駭客想利用開發者的拼寫錯誤來散布惡意軟體。
相關文章:北韓Lazarus駭客組織利用零日漏洞 獲取Windows最高權限
專家警告,針對軟體儲存庫攻擊正在快速增長。2023年共發現了24.5萬個此類惡意程式套件,是2019年以來的兩倍。
這次攻擊不僅影響日本地區開發者,非英文母語的亞洲開發者更容易受騙上當。資安專家表示,語言障礙和獲取安全資訊不足,可能是重要原因。此外,亞洲新創公司的有限預算,安全防護措施可能薄弱,也可能沒有時間進行嚴格的程式碼審查。
研究人員發現,
東亞區域的應用程式開發社群常常使用共享技術、平台和語言,比其他地區的技術整合還要更頻繁、綿密。攻擊者可以輕易利用地區性的關聯進行攻擊。
要防禦這類攻擊並不容易,需要多管齊下。
開發人員應小心謹慎下載開源依賴來源,並利用自動化工具審查開源軟體。主動測試程式套件並驗證其合法性也很重要。建議軟體開發商建立私有儲存庫,並有專門流程和工具來審查儲存庫中的開源軟體。
Gardner建議,可以使用軟體組成分析(SCA)工具來評估依賴項目,並有助於發現偽造或已被入侵的合法程式套件。主動測試程式套件是否存在惡意程式碼,並使用套件管理器驗證程式套件,也可以減少風險。
這已經不是PyPI首次遭受攻擊。開發者依賴Python儲存庫的信任和安全性。平台提供商有責任加強防護,恢復誠信和信心。與此同時,開發商、專案管理者和平台提供商也需要通力合作,共同應對這一威脅。
本文轉載自DarkReading。