Un nuevo informe hoy de la firma de seguridad de la cadena de suministro de software program Sonatype Inc. Detalla cómo el infame grupo de piratería respaldado por Corea del Norte Lazarus ha intensificado sus operaciones de ciber espionaje al incrustar el malware sofisticado en paquetes de código abierto.
El informe detalla que Sonatype detectó y bloqueó 234 paquetes maliciosos únicos vinculados a Lázaro entre enero y julio de este año, con más de 36,000 víctimas de desarrolladores potenciales a nivel mundial.
Lázaro necesita poca introducción a aquellos que siguen la ciberseguridad, ya que ha existido durante muchos años. Algunos de los ataques más conocidos del grupo incluyen la brecha de Sony 2014 y la campaña WannaCry Ransomware 2017.
Al igual que muchos grupos similares, Lázaro a lo largo de los años ha cambiado las tácticas. Hoy, en lugar de simplemente atacar a las instituciones financieras directamente, el grupo se ha vuelto más astuto al atacar a los desarrolladores y entornos de implementación. Planta malware en repositorios de código abierto ampliamente utilizados como NPM y PYPI. Los paquetes maliciosos de Lázaro están diseñados para imitar bibliotecas de confianza, a menudo a través de un tipo de tipográfico o un combo de equipos, para engañar a los desarrolladores para que instalen sin saberlo en las puertas traseras en sus sistemas.
En un ejemplo, Lazarus utilizó un paquete NPM de Vite-Postcss-Helper malicioso que incluye una cadena de ataque de varias etapas que comienza con un gotero que contacta un servidor de comando y management para obtener un cargador ofuscado. El cargador implementa múltiples cargas útiles sigilosas, incluido un portapapeles, una cosechadora credencial denominada “Beavertail”, un exfiltrador de archivos amplio y un keylogger y una herramienta de captura de pantalla de Keylogger y captura de Home windows. Más de 90 paquetes fueron diseñados específicamente para la exfiltración de secretos, lo que indica que la intención de la campaña es el espionaje y la infiltración a largo plazo en lugar de ganar dinero.
La campaña de Lázaro aprovecha la confianza que muchos tienen con los paquetes de código abierto utilizados en las tuberías de desarrollo modernas. Dado que las instalaciones de los paquetes a menudo están automatizadas y están mal analizadas, los atacantes pueden alcanzar una escala masiva con una visibilidad mínima, todo mientras que a menudo permanecen bajo el radar.
Debido a la metodología, esconder el código malicioso en la base de código de código abierto, los componentes maliciosos pueden persistir sin ser detectados durante meses dentro de los sistemas de compilación y las máquinas de desarrolladores, la cosecha de credenciales, tokens de interfaz de programación de aplicaciones y acceso al código fuente.
Sonatype advierte que la tendencia refleja una evolución más amplia en los cibernétricos: los actores de estado-nación ahora se están integrando directamente en el ciclo de vida del desarrollo de software program, en lugar de simplemente atacar los objetivos potenciales directamente.
El informe hace una serie de recomendaciones que los equipos de Secops y DevSecops pueden implementar para mitigar los riesgos. Incluyen adoptar una estrategia de defensa en capas para asegurar la cadena de suministro de software program e implementar un firewall de repositorio para bloquear paquetes sospechosos o maliciosos antes de llegar a sistemas de compilación. Sonatype también insta a los equipos de seguridad a monitorear el comportamiento inusual posterior a la instalación, como la ejecución de shell o la recuperación de script remotos.
Imagen: Siliconangle/Reve
Apoye nuestro contenido gratuito abierto compartiendo e interactuando con nuestro contenido y comunidad.
Únete a Thecube Alumni Belief Community
Donde los líderes tecnológicos se conectan, comparten inteligencia y crean oportunidades
11.4k+
Crimson de ex alumnos de cubos
Nivel C y técnico
Expertos en dominio
Conéctese con 11,413+ líderes de la industria de nuestra crimson de líderes tecnológicos y empresariales que forman un efecto de crimson confiable único.
Siliconangle Media es un líder reconocido en innovación de medios digitales que sirve al público innovador y marcas, que reúne tecnología de vanguardia, contenido influyente, concepts estratégicas y compromiso de audiencia en tiempo actual. Como la empresa matriz de Silicio, red de thecube, Investigación de THECUBE, Cube365, THECUBE AI y los superstudios de TheCube, como los establecidos en Silicon Valley y la Bolsa de Nueva York (NYSE) – Siliconangle Media opera en la intersección de medios, tecnología e IA. .
Fundada por los visionarios tecnológicos John Furrier y Dave Vellante, Siliconangle Media ha construido un poderoso ecosistema de marcas de medios digitales líderes en la industria, con un alcance de más de 15 millones de profesionales de la tecnología de élite. La nueva nube de video de AI de AI de la compañía, está abriéndose en la interacción de la audiencia, aprovechando la crimson neuronal de thecubeai.com para ayudar a las empresas de tecnología a tomar decisiones basadas en datos y mantenerse a la vanguardia de las conversaciones de la industria.
