- 9,447
- 18
- 8 Ноя 2022
Невнимательные разработчики уже десять раз пожалели, что попались в столь глупую ловушку.
Группа хакеров Lazarus, поддерживаемая государством Северной Кореи, выложила в репозиторий Python Package Index ( PyPI ) четыре вредоносных пакета, с целью заражение систем разработчиков зловредным программным обеспечением.
Указанные пакеты — «pycryptoenv», «pycryptoconf», «quasarlib» и «swapmempool» — уже были удалены с платформы, но до этого успели набрать 3269 загрузок, причём наибольшим спросом пользовался именно «pycryptoconf» (1351 скачивание).
Шусэй Томонага, исследователь из японского координационного центра JPCERT , Для просмотра ссылки Войдиили Зарегистрируйся , что названия пакетов «pycryptoenv» и «pycryptoconf» схожи с «pycrypto», популярным пакетом Python для шифрования, что указывает на целенаправленную атаку на разработчиков методом «тайпсквоттинг» .
Это открытие последовало за недавним Для просмотра ссылки Войдиили Зарегистрируйся в реестре npm исследовательской компанией Phylum . Эти пакеты были направлены на разработчиков, находящихся в активном поиске работы.
Общим моментом обоих кампаний является использование вредоносного кода, скрытого в тестовом скрипте, который на самом деле является лишь прикрытием для зашифрованного XOR-кодированием DLL-файла.
Этот файл создаёт два других DLL-файла с названиями «IconCache.db» и «NTUSER.DAT», которые затем используются для загрузки и выполнения вредоносной программы Comebacker, обеспечивающей связь с сервером управления для выполнения исполняемого файла Windows.
Общая схема атаки
По словам представителей JPCERT, обнаруженные пакеты являются частью кампании, Для просмотра ссылки Войдиили Зарегистрируйся Phylum в ноябре 2023 года, когда использовались модули npm на тему криптовалют для доставки вредоносного ПО Comebacker.
Шусэй Томонага предостерегает: подобные атаки нацелены на невнимательность пользователей, приводящую к скачиванию вредоносного ПО. Разработчикам следует быть осторожнее при установке пакетов из репозиториев и прочего программного обеспечения, чтобы избежать нежелательной загрузки зловредного софта.
Группа хакеров Lazarus, поддерживаемая государством Северной Кореи, выложила в репозиторий Python Package Index ( PyPI ) четыре вредоносных пакета, с целью заражение систем разработчиков зловредным программным обеспечением.
Указанные пакеты — «pycryptoenv», «pycryptoconf», «quasarlib» и «swapmempool» — уже были удалены с платформы, но до этого успели набрать 3269 загрузок, причём наибольшим спросом пользовался именно «pycryptoconf» (1351 скачивание).
Шусэй Томонага, исследователь из японского координационного центра JPCERT , Для просмотра ссылки Войди
Это открытие последовало за недавним Для просмотра ссылки Войди
Общим моментом обоих кампаний является использование вредоносного кода, скрытого в тестовом скрипте, который на самом деле является лишь прикрытием для зашифрованного XOR-кодированием DLL-файла.
Этот файл создаёт два других DLL-файла с названиями «IconCache.db» и «NTUSER.DAT», которые затем используются для загрузки и выполнения вредоносной программы Comebacker, обеспечивающей связь с сервером управления для выполнения исполняемого файла Windows.
Общая схема атаки
По словам представителей JPCERT, обнаруженные пакеты являются частью кампании, Для просмотра ссылки Войди
Шусэй Томонага предостерегает: подобные атаки нацелены на невнимательность пользователей, приводящую к скачиванию вредоносного ПО. Разработчикам следует быть осторожнее при установке пакетов из репозиториев и прочего программного обеспечения, чтобы избежать нежелательной загрузки зловредного софта.
- Источник новости
- www.securitylab.ru
