Kötü şöhretli Kuzey Kore devlet destekli bilgisayar korsanlığı grubu Lazarus, geliştirici sistemlerine kötü amaçlı yazılım bulaştırmak amacıyla Python Paket Dizini (PyPI) deposuna dört paket yükledi.
Artık kaldırılan paketler şunlardır: pycryptoenv, pycryptoconf, quasarlib ve swapmempool. Toplu olarak 3.269 kez indirildiler ve pycryptoconf 1.351 indirmeyle en fazla indirmeyi gerçekleştirdi.
JPCERT/CC araştırmacısı Shusei Tomonaga, “pycryptoenv ve pycryptoconf paket adları, Python’daki şifreleme algoritmaları için kullanılan bir Python paketi olan pycrypto’ya benzer” dedi. “Bu nedenle saldırgan muhtemelen kötü amaçlı yazılım içeren kötü amaçlı paketler hazırlayarak kullanıcıların Python paketlerini yüklerken yaptığı yazım hatalarını hedef aldı.”
Açıklama, Phylum’un npm kayıt defterinde yazılım geliştiricilerini Bulaşıcı Röportaj kod adlı bir kampanyanın parçası olarak ayırmak için kullanılan birkaç hileli paketi ortaya çıkarmasından birkaç gün sonra geldi.
İki saldırı grubu arasındaki ilginç bir ortak nokta, kötü amaçlı kodun test komut dosyasında (“test.py”) gizlenmiş olmasıdır. Ancak bu durumda test dosyası, XOR kodlu DLL dosyası için yalnızca bir sis perdesidir ve bu dosya da IconCache.db ve NTUSER.DAT adında iki DLL dosyası oluşturur.
Saldırı dizisi daha sonra NTUSER.DAT’ı kullanarak, Windows yürütülebilir bir dosyayı alıp çalıştırmak için bir komut ve kontrol (C2) sunucusuyla bağlantı kurmaktan sorumlu olan Comebacker adlı kötü amaçlı yazılım IconCache.db’yi yüklemek ve yürütmek için kullanılır.
JPCERT/CC, paketlerin, Phylum’un ilk olarak Kasım 2023’te Comebacker’ı sunmak için kripto temalı npm modüllerinden yararlanarak detaylandırdığı bir kampanyanın devamı olduğunu söyledi.
Tomonaga, “Saldırganlar, kötü amaçlı yazılımın indirilmesi için kullanıcıların yazım hatalarını hedef alıyor olabilir” dedi. “Geliştirme ortamınıza modüller ve diğer yazılım türlerini yüklerken, istenmeyen paketlerin yüklenmesini önlemek için lütfen bunu dikkatli yapın.”