Группа хакеров Lazarus, поддерживаемая государством Северной Кореи, выложила в репозиторий Python Package Index (PyPI) четыре вредоносных пакета, с целью заражение систем разработчиков зловредным программным обеспечением.
Указанные пакеты – pycryptoenv, pycryptoconf, quasarlib и swapmempool – уже были удалены с платформы, но до этого успели набрать 3269 загрузок, причём наибольшим спросом пользовался именно pycryptoconf (1351 скачивание).
Шусэй Томонага, исследователь из японского координационного центра JPCERT, отметил , что названия пакетов pycryptoenv и pycryptoconf схожи с pycrypto, популярным пакетом Python для шифрования, что указывает на целенаправленную атаку на разработчиков методом “тайпсквоттинг”.
Это открытие последовало за недавним обнаружением нескольких вредоносных пакетов в реестре npm исследовательской компанией Phylum. Эти пакеты были направлены на разработчиков, находящихся в активной поиске работы.
Общим моментом обоих кампаний является использование вредоносного кода, скрытого в тестовом скрипте, который на самом деле является лишь прикрытием для зашифрованного XOR-кодированием DLL-файла.
Этот файл создаёт два других DLL-файла с названиями “IconCache.db” и “NTUSER.DAT”, которые затем используются для загрузки и выполнения вредоносной программы Comebacker, обеспечивающей связь с сервером управления для выполнения исполняемого файла Windows.
Общая схема атаки
По словам представителей JPCERT, обнаруженные пакеты являются частью кампании, впервые описанной Phylum в ноябре 2023 года, когда использовались модули npm на тему криптовалют для доставки вредоносного ПО Comebacker.
Шусэй Томонага предостерегает: подобные атаки нацелены на невнимательность пользователей, приводящую к скачиванию вредоносного ПО. Разработчикам следует быть осторожнее при установке пакетов из репозиториев и прочего программного обеспечения, чтобы избежать нежелательной загрузки зловредного софта.