Computer Security Incident Response Team din Japonia (JPCERT/CC) a emis un avertisment conform căruia grupul de hackeri nord-coreeni notoriu, Lazarus, a încărcat patru pachete PyPI malitioase pentru a infecta dezvoltatorii cu malware.
PyPI (Python Package Index) este un depozit de pachete de software open-source pe care dezvoltatorii de software îl pot utiliza în proiectele lor Python pentru a adăuga funcționalități suplimentare programelor lor cu efort minim.
Lipsa unor verificări stricte pe platformă permite actorilor de amenințare să încarce pachete malitioase precum malware de furat informații și backdoor-uri care infectează computerele dezvoltatorilor cu malware atunci când sunt adăugate în proiectele lor.
Acest malware permite grupului de hackeri să aibă acces la rețeaua dezvoltatorului, unde desfășoară fraudă financiară sau compromit proiectele software pentru a efectua atacuri asupra lanțului de aprovizionare.
Lazarus a utilizat anterior PyPI pentru a distribui malware în august 2023, când hackerii sponzorați de statul nord-coreean au trimis pachete camuflate ca un modul conector VMware vSphere.
Astăzi, JPCERT/CC avertizează că Lazarus a încărcat din nou pachete pe PyPI care vor instala loader-ul de malware ‘Comebacker’.
Cele patru pachete noi atribuite de JPCERT/CC lui Lazarus sunt:
Numele primelor două pachete creează o legătură falsă cu proiectul legitim ‘pycrypto’ (Python Cryptography Toolkit), o colecție de funcții hash sigure și diverse algoritmi de criptare descărcată de 9 milioane de ori în fiecare lună.
Niciunul dintre cele patru pachete nu sunt disponibile în prezent pe PyPI, deoarece au fost eliminate din depozit încă de ieri.
Cu toate acestea, platforma de urmărire a statisticilor de descărcare PePy raportează un număr total de instalări de 3.252, deci mii de sisteme au fost compromise de malware-ul Lazarus.
Pachetele malitioase au o structură similară a fișierelor, conținând un fișier ‘test.py’ care nu este de fapt un script Python, ci un fișier DLL codat XOR executat de fișierul ‘__init__.py’, care este de asemenea inclus în pachet.
Executarea lui test.py declanșează decodificarea și crearea de fișiere DLL suplimentare care par în mod fals a fi fișiere de bază de date, așa cum este arătat în diagrama următoare.
Agenția japoneză de securitate cibernetică afirmă că încărcătura finală (IconCache.db), executată în memorie, este un malware cunoscut sub numele de ‘Comebacker’, identificat pentru prima dată de analiștii Google în ianuarie 2021, care au raportat că a fost folosit împotriva cercetătorilor de securitate.
Malware-ul Comebacker se conectează la serverul de comandă și control (C2) al atacatorului, trimite o cerere POST HTTP cu șiruri codate și așteaptă ca alte malware-uri Windows să fie încărcate în memorie.
Pe baza diferitelor indicatori, JPCERT/CC spune că acest atac recent este o altă fază a aceleiași campanii raportate de Phylum în noiembrie 2023 implicând cinci pachete npm tematice cripto.
Lazarus are o istorie lungă de încălcări ale rețelelor corporative pentru a efectua fraudă financiară, de obicei pentru a fura criptomonede.
Atacurile anterioare atribuite lui Lazarus includ furtul a 620 de milioane de dolari în Ethereum de la puntea de rețea Ronin a Axie Infinity și alte furturi de criptomonede pe Harmony Horizon, Alphapo, CoinsPaid și Atomic Wallet.
În iulie, GitHub a avertizat că Lazarus vizează dezvoltatorii din companiile de blockchain, criptomonede, jocuri de noroc online și securitate cibernetică folosind depozite malitioase.
Hackerii nord-coreeni implicați în atacul asupra lanțului de aprovizionare al sectorului de apărare
Hackerii nord-coreeni spală acum criptomonede furate prin intermediul lui YoMix tumbler
Ransomware-ul LockBit construiește în secret un criptor de nouă generație înainte de eliminare
Hackerii abuzează de Google Cloud Run într-o campanie masivă de troieni bancari
Noul malware SSH-Snake fură chei SSH pentru a se răspândi în rețea
Leave a Reply