«Тайпсквоттинг» от Lazarus: хакеры из КНДР больно ударили по Python-сообществу

Группа хакеров Lazarus, поддерживаемая государством Северной Кореи, выложила в репозиторий Python Package Index (PyPI) четыре вредоносных пакета, с целью заражения систем разработчиков зловредным программным обеспечением.

Указанные пакеты — «pycryptoenv», «pycryptoconf», «quasarlib» и «swapmempool» — уже были удалены с платформы, но до этого успели набрать 3269 загрузок, причём наибольшим спросом пользовался именно «pycryptoconf» (1351 скачивание).

Шусэй Томонага, исследователь из японского координационного центра JPCERT, отметил , что названия пакетов «pycryptoenv» и «pycryptoconf» схожи с «pycrypto», популярным пакетом Python для шифрования, что указывает на целенаправленную атаку на разработчиков методом «тайпсквоттинг».

Это открытие последовало за недавним обнаружением нескольких вредоносных пакетов в реестре npm исследовательской компанией Phylum. Эти пакеты были направлены на разработчиков, находящихся в активном поиске работы.

Общим моментом обоих кампаний является использование вредоносного кода, скрытого в тестовом скрипте, который на самом деле является лишь прикрытием для зашифрованного XOR-кодированием DLL-файла.

Этот файл создаёт два других DLL-файла с названиями «IconCache.db» и «NTUSER.DAT», которые затем используются для загрузки и выполнения вредоносной программы Comebacker, обеспечивающей связь с сервером управления для выполнения исполняемого файла Windows.

Общая схема атаки

По словам представителей JPCERT, обнаруженные пакеты являются частью кампании, впервые описанной Phylum в ноябре 2023 года, когда использовались модули npm на тему криптовалют для доставки вредоносного ПО Comebacker.

Шусэй Томонага предостерегает: подобные атаки нацелены на невнимательность пользователей, приводящую к скачиванию вредоносного ПО. Разработчикам следует быть осторожнее при установке пакетов из репозиториев и прочего программного обеспечения, чтобы избежать нежелательной загрузки зловредного софта.