日本のサイバーセキュリティ当局は、北朝鮮の有名なハッキンググループであるラザルスグループが、Pythonアプリケーション用のソフトウェアリポジトリであるPyPIを標的としたサプライチェーン攻撃を最近行ったと警告した。攻撃者は、「pycryptoenv」や「pycryptoconf」といった、正規のPython暗号化ツールキット「pycrypto」と名前が似ている悪意のあるパッケージをアップロードした。これらのパッケージをWindowsマシンにダウンロードした開発者は、Comebackerと呼ばれる危険なトロイの木馬に感染する。
日本のCERTは、今回確認された悪意のあるPythonパッケージが約300から1,200回ダウンロードされたと警告している。攻撃者は、ユーザーのタイプミスを狙ってマルウェアをダウンロードさせる可能性がある。この攻撃は、開発者が悪意のあるコードを含むパッケージをダウンロードするように騙される、依存関係混乱攻撃の一形態である。
この種の攻撃は、過去1年間で急増しており、Sonatypeの2023年のオープンソースレポートによると、2023年には245,000のこの種のパッケージが発見され、これは2019年以降に発見されたパッケージの総数の2倍であるという。アジアの開発者は、言語の壁やセキュリティ情報へのアクセスが少ないため、この最新の攻撃により大きな影響を受ける可能性がある。
アプリケーション開発者をこれらのソフトウェアサプライチェーン攻撃から守ることは難しく、一連の戦略と戦術が必要である。開発者は、オープンソースの依存関係をダウンロードする際に、より注意深く慎重になるべきである。ソフトウェア構成分析(SCA)ツールを使用して依存関係を評価し、偽物や侵害された正規のパッケージを見分けることができる。また、パッケージマネージャーを使用してパッケージを検証することも、リスクを軽減することができる。
【ニュース解説】
日本のサイバーセキュリティ当局は、北朝鮮の有名なハッキンググループであるラザルスグループが、Pythonアプリケーション用のソフトウェアリポジトリであるPyPIを標的としたサプライチェーン攻撃を行ったと警告しました。この攻撃では、「pycryptoenv」や「pycryptoconf」といった、正規のPython暗号化ツールキット「pycrypto」と名前が似ている悪意のあるパッケージがアップロードされました。これらのパッケージをWindowsマシンにダウンロードした開発者は、Comebackerと呼ばれる危険なトロイの木馬に感染するリスクがあります。
この攻撃は、開発者が悪意のあるコードを含むパッケージをダウンロードするように騙される、依存関係混乱攻撃の一形態です。この種の攻撃は、過去1年間で急増しており、Sonatypeの2023年のオープンソースレポートによると、2023年には245,000のこの種のパッケージが発見され、これは2019年以降に発見されたパッケージの総数の2倍にあたります。
この攻撃は、言語の壁やセキュリティ情報へのアクセスが少ないため、特にアジアの開発者に大きな影響を与える可能性があります。開発者は、オープンソースの依存関係をダウンロードする際に、より注意深く慎重になる必要があります。ソフトウェア構成分析(SCA)ツールを使用して依存関係を評価し、偽物や侵害された正規のパッケージを見分けることができます。また、パッケージマネージャーを使用してパッケージを検証することも、リスクを軽減することができます。
この事件は、オープンソースソフトウェアのセキュリティに対する新たな課題を浮き彫りにしています。開発者は、迅速な開発環境の中で、使用するコードの安全性を確保するために、より多くの努力を払う必要があります。また、プラットフォーム提供者であるPyPIなどが、このような悪意のあるパッケージがプラットフォームにアップロードされるのを防ぐための対策を強化することも重要です。このような攻撃は、開発者コミュニティ全体の信頼を損なう可能性があり、その信頼を回復するためには、開発者、プロジェクトリーダー、プラットフォーム提供者が協力して対応する必要があります。
from Japan Blames North Korea for PyPI Supply Chain Cyberattack.
