El famoso grupo de piratería respaldado por el estado de Corea del Norte, Lazarus, subió cuatro paquetes al repositorio Python Package Index (PyPI) con el objetivo de infectar los sistemas de los desarrolladores con malware.
Los paquetes, ahora retirados, están pycryptoenv, pycryptoconf, cuasarliby grupo de intercambio. Se han descargado colectivamente 3269 veces, y pycryptoconf representa la mayor cantidad de descargas con 1351.
«Los nombres de los paquetes pycryptoenv y pycryptoconf son similares a pycrypto, que es un paquete de Python utilizado para algoritmos de cifrado en Python», dijo Shusei Tomonaga, investigador de JPCERT/CC. dicho. «Por lo tanto, el atacante probablemente preparó los paquetes maliciosos que contienen malware para atacar los errores tipográficos de los usuarios al instalar los paquetes de Python».
La divulgación se produce días después de que Phylum descubriera varios paquetes maliciosos en el registro npm que se han utilizado para identificar a los desarrolladores de software como parte de una campaña con el nombre en código Contagious Interview.
Un punto en común interesante entre los dos conjuntos de ataques es que el código malicioso está oculto dentro del script de prueba («test.py»). En este caso, sin embargo, el archivo de prueba es simplemente una cortina de humo para lo que es un archivo DLL codificado con XOR, que, a su vez, crea dos archivos DLL llamados IconCache.db y NTUSER.DAT.
Luego, la secuencia de ataque usa NTUSER.DAT para cargar y ejecutar IconCache.db, un malware llamado Comebacker que es responsable de establecer conexiones con un servidor de comando y control (C2) para buscar y ejecutar un archivo ejecutable de Windows.
JPCERT/CC dijo que los paquetes son una continuación de una campaña que Phylum detalló por primera vez en noviembre de 2023 como aprovechando módulos npm con temática criptográfica para entregar Comebacker.
«Los atacantes pueden estar apuntando a los errores tipográficos de los usuarios para descargar el malware», dijo Tomonaga. «Cuando instale módulos y otros tipos de software en su entorno de desarrollo, hágalo con cuidado para evitar instalar paquetes no deseados».