黑客组织 Lazarus 已向 Python Package Index ( PyPI ) 存储库发布了四个恶意软件包,目的是用恶意软件感染开发人员的系统。
指定的软件包——“pycryptoenv”、“pycryptoconf”、“quasarlib”和“swapmempool”——已经从平台上删除,但在此之前它们已经累计了 3269 次下载,其中“pycryptoconf”是最受欢迎的(1351 次下载) 。
日本JPCERT协调中心 研究员 Shusei Tomonaga指出, 包名“pycryptoenv”和“pycryptoconf”与流行的 Python 加密包“pycrypto”类似,表明这是针对开发人员的有针对性的类型抢注攻击。
此前, 研究公司Phylum最近 在 npm 注册表中发现了多个恶意软件包。这些软件包针对的是正在积极寻找工作的开发人员。
这两个活动的共同点是使用隐藏在测试脚本中的恶意代码,这实际上只是 XOR 加密的 DLL 文件的掩护。
该文件创建另外两个 DLL 文件,名为“IconCache.db”和“NTUSER.DAT”,然后用于下载并执行 Comebacker 恶意软件,该恶意软件允许与命令和控制服务器通信以执行 Windows 可执行文件。
据 JPCERT 称,发现的软件包是 Phylum 于 2023 年 11 月首次描述的活动的一部分 ,该活动使用以加密货币为主题的 npm 模块来传播 Comebacker 恶意软件。
Shusei Tomonaga 警告说,此类攻击的目的是用户注意力不集中,从而导致恶意软件的下载。开发人员在从存储库和其他软件安装软件包时应小心,以避免不必要的恶意软件下载。
【免费领】网络安全专业入门与进阶学习资料,轻松掌握网络安全技能!