Печально известная северокорейская хакерская группа Lazarus, поддерживаемая государством, загрузила четыре пакета в репозиторий Python Package Index (PyPI) с целью заражения систем разработчиков вредоносным ПО.
В настоящее время удалены следующие пакеты: pycryptoenv, pycryptoconf, quasarlib и swapmempool. В совокупности они были загружены 3269 раз, при этом на pycryptoconf приходится наибольшее количество загрузок - 1351.
"Названия пакетов pycryptoenv и pycryptoconf похожи на pycrypto, пакет Python, используемый для алгоритмов шифрования на Python", - сказал исследователь JPCERT / CC Сюсей Томонага. "Следовательно, злоумышленник, вероятно, подготовил вредоносные пакеты, содержащие вредоносное ПО, для устранения опечаток пользователей при установке пакетов Python".
Раскрытие произошло через несколько дней после того, как Phylum обнаружила несколько вредоносных пакетов в реестре npm, которые использовались для выявления разработчиков программного обеспечения в рамках кампании под кодовым названием Contagious Interview.
Интересная общность между двумя наборами атак заключается в том, что вредоносный код скрыт в тестовом скрипте ("test.py"). Однако в этом случае тестовый файл является всего лишь дымовой завесой для DLL-файла в кодировке XOR, который, в свою очередь, создает два DLL-файла с именами IconCache.db и NTUSER.DAT.
Затем последовательность атак использует NTUSER.DAT для загрузки и выполнения IconCache.db, вредоносного ПО под названием Comebacker, которое отвечает за установление соединений с сервером командования и управления (C2) для извлечения и запуска исполняемого файла Windows.
JPCERT / CC заявила, что пакеты являются продолжением кампании, которую Phylum впервые подробно описала в ноябре 2023 года как использование модулей npm на криптографическую тематику для доставки Comebacker.
"Злоумышленники могут использовать опечатки пользователей для загрузки вредоносного ПО", - сказал Томонага. "При установке модулей и другого программного обеспечения в вашей среде разработки, пожалуйста, делайте это осторожно, чтобы избежать установки нежелательных пакетов".
https://thehackernews.uk/delinea728
