Python: Il Giappone avverte dei pacchetti PyPi dannosi creati dagli hacker nordcoreani

Vai ai contenuti

Python: Il Giappone avverte dei pacchetti PyPi dannosi creati dagli hacker nordcoreani

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Python: Il Giappone avverte dei pacchetti PyPi dannosi creati dagli hacker nordcoreani





Il Computer Security Incident Response Team giapponese (JPCERT/CC) avverte che il famigerato gruppo di hacker nordcoreano Lazarus ha caricato quattro pacchetti PyPI dannosi per infettare gli sviluppatori con malware.

PyPI (Python Package Index) è un repository di pacchetti software open source che gli sviluppatori software possono utilizzare nei loro progetti Python per aggiungere funzionalità aggiuntive ai loro programmi con il minimo sforzo.

La mancanza di controlli rigorosi sulla piattaforma consente agli autori delle minacce di caricare pacchetti dannosi come malware che rubano informazioni e backdoor che infettano i computer degli sviluppatori con malware quando aggiunti ai loro progetti.

Questo malware consente al gruppo di hacker di accedere alla rete dello sviluppatore, dove commettono frodi finanziarie o compromettono progetti software per condurre attacchi alla catena di fornitura.

Lazarus aveva già sfruttato PyPI per distribuire malware nell'agosto 2023, quando gli hacker sponsorizzati dallo stato nordcoreano avevano inviato pacchetti camuffati da modulo connettore VMware vSphere.

I nuovi pacchetti PyPi di Lazarus
Oggi, JPCERT/CC avverte che Lazarus ha nuovamente caricato pacchetti su PyPi che installeranno il caricatore di malware "Comebacker".


I quattro nuovi pacchetti che JPCERT/CC attribuisce a Lazarus sono:

  •     pycryptoenv – 743 download
  •     pycryptoconf – 1344 download
  •     quasarlib – 778 download
  •     swapmempool – 392 download


I nomi dei primi due pacchetti creano un falso collegamento al legittimo progetto "pycrypto" (Python Cryptography Toolkit), una raccolta di funzioni hash sicure e vari algoritmi di crittografia scaricati 9 milioni di volte al mese.


Nessuno dei quattro pacchetti è attualmente disponibile su PyPI, poiché sono stati rimossi dal repository solo ieri.


Tuttavia, la piattaforma di monitoraggio delle statistiche di download PePy riporta un conteggio totale di installazioni di 3.252, quindi migliaia di sistemi sono stati compromessi dal malware Lazarus.

I pacchetti dannosi condividono una struttura di file simile, contenente un file "test.py" che non è realmente uno script Python ma un file DLL con codifica XOR eseguito dal file "__init__.py", anch'esso incluso nel pacchetto.



L'esecuzione di test.py attiva la decodifica e la creazione di file DLL aggiuntivi che appaiono falsamente come file di database,

L'agenzia giapponese per la sicurezza informatica afferma che il payload finale (IconCache.db), eseguito in memoria, è un malware noto come "Comebacker", identificato per la prima volta dagli analisti di Google nel gennaio 2021, che hanno riferito che era stato utilizzato contro i ricercatori di sicurezza.

Il malware Comebacker si connette al server di comando e controllo (C2) dell'aggressore, invia una richiesta HTTP POST con stringhe codificate e attende che ulteriore malware Windows venga caricato in memoria.

Sulla base di vari indicatori, JPCERT/CC afferma che quest'ultimo attacco è un'altra ondata della stessa campagna segnalata da Phylum nel novembre 2023 che coinvolgeva cinque pacchetti npm a tema crittografico.

Lazarus ha una lunga storia di violazioni delle reti aziendali per commettere frodi finanziarie, solitamente per rubare criptovaluta.

Precedenti attacchi attribuiti a Lazarus includono il furto di Ethereum per un valore di 620 milioni di dollari dal bridge di rete Ronin di Axie Infinity e altri furti di criptovalute su Harmony Horizon, Alphapo, CoinsPaid e Atomic Wallet.

A luglio, GitHub aveva avvertito che Lazarus stava prendendo di mira gli sviluppatori di società di blockchain, criptovalute, giochi d'azzardo online e sicurezza informatica utilizzando repository dannosi.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti