Lazarus在 Python 社区实“抢注”攻击
2024-3-1 15:56:39 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

黑客组织 Lazarus 已向 Python Package Index ( PyPI ) 存储库发布了四个恶意软件包,目的是用恶意软件感染开发人员的系统。

指定的软件包——“pycryptoenv”、“pycryptoconf”、“quasarlib”和“swapmempool”——已经从平台上删除,但在此之前它们已经累计了 3269 次下载,其中“pycryptoconf”是最受欢迎的(1351 次下载) 。

日本JPCERT协调中心 研究员 Shusei Tomonaga指出, 包名“pycryptoenv”和“pycryptoconf”与流行的 Python 加密包“pycrypto”类似,表明这是针对开发人员的有针对性的类型抢注攻击。

此前, 研究公司Phylum最近 在 npm 注册表中发现了多个恶意软件包。这些软件包针对的是正在积极寻找工作的开发人员。

这两个活动的共同点是使用隐藏在测试脚本中的恶意代码,这实际上只是 XOR 加密的 DLL 文件的掩护。

该文件创建另外两个 DLL 文件,名为“IconCache.db”和“NTUSER.DAT”,然后用于下载并执行 Comebacker 恶意软件,该恶意软件允许与命令和控制服务器通信以执行 Windows 可执行文件。

一般攻击模式

据 JPCERT 称,发现的软件包是 Phylum 于 2023 年 11 月首次描述的活动的一部分 ,该活动使用以加密货币为主题的 npm 模块来传播 Comebacker 恶意软件。

Shusei Tomonaga 警告说,此类攻击的目的是用户注意力不集中,从而导致恶意软件的下载。开发人员在从存储库和其他软件安装软件包时应小心,以避免不必要的恶意软件下载。

【免费领】网络安全专业入门与进阶学习资料,轻松掌握网络安全技能!

  

文章来源: https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649786212&idx=1&sn=64637c9b407e1623981d40da5d6ec7bf&chksm=8893b70bbfe43e1da52b04db37d0e4d7f6c4e3a8d29093fe871b03b7c54a53e587c8e41baa0a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh