Северокорейские хакеры развертывают новые вредоносные пакеты Python в репозитории PyPI

[Carding]

В репозитории Package Index (PyPI) были обнаружены три дополнительных вредоносных пакета Python в рамках продолжающейся кампании по цепочке поставок вредоносного программного обеспечения под названием VMConnect, признаки которой указывают на участие в угрозах, спонсируемых государством Северной Кореи.

Выводы получены от ReversingLabs, которая обнаружила пакеты tablediter, request-plus и requestspro.

Впервые раскрытый в начале месяца компанией и Sonatype, VMConnect относится к набору пакетов Python, которые имитируют популярные инструменты Python с открытым исходным кодом для загрузки неизвестного вредоносного ПО второй стадии.

Последний транш ничем не отличается, и ReversingLabs отмечает, что злоумышленники маскируют свои пакеты и делают их заслуживающими доверия, используя методы опечатывания, чтобы выдавать себя за prettytable и requests и вводить разработчиков в заблуждение.

Вредоносный код в tablediter предназначен для выполнения в бесконечном цикле выполнения, в котором удаленный сервер периодически опрашивается для извлечения и выполнения полезной нагрузки в кодировке Base64. Точная природа полезной нагрузки в настоящее время неизвестна.

Одним из основных изменений, внесенных в tablediter, является тот факт, что он больше не запускает вредоносный код сразу после установки пакета, чтобы избежать обнаружения программным обеспечением безопасности.

"Ожидая, пока указанный пакет будет импортирован и его функции будут вызваны скомпрометированным приложением, они избегают одной из распространенных форм обнаружения, основанной на поведении, и повышают планку для потенциальных защитников", - сказал исследователь безопасности Карло Занки.

Два других пакета, request-plus и requestspro, содержат возможность собирать информацию о зараженной машине и передавать ее на сервер командования и управления (C2).

После этого шага сервер отвечает токеном, который зараженный хост отправляет обратно на другой URL-адрес на том же сервере C2, в конечном итоге получая взамен модуль Python с двойным кодированием и URL-адрес загрузки.

Есть подозрение, что расшифрованный модуль загружает следующую стадию вредоносного ПО с предоставленного URL.

Сложная сеть соединений, ведущих в Северную Корею​

Использование подхода, основанного на токенах, для скрытия информации отражает кампанию npm, которую Phylum раскрыл в июне и которая с тех пор ассоциируется с северокорейскими субъектами. Принадлежащий Microsoft GitHub приписал атаки субъекту угрозы, которого он называет Jade Sleet, который также известен как TraderTraitor или UNC4899.

TraderTraitor является одним из известных кибероружий Северной Кореи в ее схемах взлома с целью получения прибыли и имеет долгую и успешную историю нацеливания на криптовалютные компании и другие секторы с целью получения финансовой выгоды.

Потенциальные подключения повышают вероятность того, что это обычная тактика, которую используют злоумышленники для выборочной доставки вредоносного ПО второй стадии на основе определенных критериев фильтрации.

Ссылки на Северную Корею также подтверждаются тем фактом, что были обнаружены инфраструктурные наложения между кампанией npm engineering campaign и взломом JumpCloud в июне 2023 года.

Более того, ReversingLabs сообщила, что обнаружила пакет Python с именем py_QRcode, который содержит вредоносную функциональность, очень похожую на ту, что была найдена в пакете VMConnect.

Говорят, что py_QRcode, как это бывает, использовался в качестве отправной точки отдельной цепочки атак, нацеленной на разработчиков криптовалютных бирж в конце мая 2023 года. В прошлом месяце JPCERT / CC приписал это другой северокорейской активности под кодовым названием SnatchCrypto (он же криптомимический или опасный пароль).

"Эта вредоносная программа Python работает в средах Windows, macOS и Linux, и она проверяет информацию об операционной системе и изменяет поток заражения в зависимости от нее", - сказали в агентстве, описав actor как уникальный для нацеливания на среду разработчиков с различными платформами.

Другим примечательным аспектом является то, что кульминацией атак на системы macOS стало развертывание JokerSpy, нового бэкдора, который впервые был обнаружен в июне 2023 года.

Это еще не все. В июне 2023 года фирма по кибербезопасности SentinelOne подробно описала еще одну вредоносную программу, получившую название QRLog, которая обладает той же функциональностью, что и py_QRcode, и ссылается на домен www.git-hub [.]me, который также был замечен в связи с заражением JokerSpy.

"Вторжения JokerSpy выявляют субъекта угрозы, способного писать функциональное вредоносное ПО на нескольких разных языках – Python, Java и Swift – и нацеленное на платформы нескольких операционных систем", - отметил в то время исследователь безопасности Фил Стоукс.

Исследователь кибербезопасности Мауро Элдрич, который первым обнаружил вредоносное ПО QRLog, сказал, что есть основания полагать, что заминированное приложение QR code generator является работой злоумышленника, известного как Labyrinth Chollima, который является подразделением печально известной группы Lazarus.

"Это всего лишь еще одна серия вредоносных атак, нацеленных на пользователей репозитория PyPI", - сказал Занки, добавив, что "субъекты угрозы продолжают использовать репозиторий Python Package Index (PyPI) в качестве точки распространения своего вредоносного ПО".