Python: Il Giappone avverte dei pacchetti PyPi dannosi creati dagli hacker nordcoreani

Il Computer Security Incident Response Team giapponese (JPCERT/CC) avverte che il famigerato gruppo di hacker nordcoreano Lazarus ha caricato quattro pacchetti PyPI dannosi per infettare gli sviluppatori con malware.

PyPI (Python Package Index) è un repository di pacchetti software open source che gli sviluppatori software possono utilizzare nei loro progetti Python per aggiungere funzionalità aggiuntive ai loro programmi con il minimo sforzo.

La mancanza di controlli rigorosi sulla piattaforma consente agli autori delle minacce di caricare pacchetti dannosi come malware che rubano informazioni e backdoor che infettano i computer degli sviluppatori con malware quando aggiunti ai loro progetti.

Lazarus aveva già sfruttato PyPI per distribuire malware nell'agosto 2023, quando gli hacker sponsorizzati dallo stato nordcoreano avevano inviato pacchetti camuffati da modulo connettore VMware vSphere.

I quattro nuovi pacchetti che JPCERT/CC attribuisce a Lazarus sono:

I nomi dei primi due pacchetti creano un falso collegamento al legittimo progetto "pycrypto" (Python Cryptography Toolkit), una raccolta di funzioni hash sicure e vari algoritmi di crittografia scaricati 9 milioni di volte al mese.

Nessuno dei quattro pacchetti è attualmente disponibile su PyPI, poiché sono stati rimossi dal repository solo ieri.

Tuttavia, la piattaforma di monitoraggio delle statistiche di download PePy riporta un conteggio totale di installazioni di 3.252, quindi migliaia di sistemi sono stati compromessi dal malware Lazarus.

I pacchetti dannosi condividono una struttura di file simile, contenente un file "test.py" che non è realmente uno script Python ma un file DLL con codifica XOR eseguito dal file "__init__.py", anch'esso incluso nel pacchetto.

L'esecuzione di test.py attiva la decodifica e la creazione di file DLL aggiuntivi che appaiono falsamente come file di database,

L'agenzia giapponese per la sicurezza informatica afferma che il payload finale (IconCache.db), eseguito in memoria, è un malware noto come "Comebacker", identificato per la prima volta dagli analisti di Google nel gennaio 2021, che hanno riferito che era stato utilizzato contro i ricercatori di sicurezza.

Il malware Comebacker si connette al server di comando e controllo (C2) dell'aggressore, invia una richiesta HTTP POST con stringhe codificate e attende che ulteriore malware Windows venga caricato in memoria.

Sulla base di vari indicatori, JPCERT/CC afferma che quest'ultimo attacco è un'altra ondata della stessa campagna segnalata da Phylum nel novembre 2023 che coinvolgeva cinque pacchetti npm a tema crittografico.

Lazarus ha una lunga storia di violazioni delle reti aziendali per commettere frodi finanziarie, solitamente per rubare criptovaluta.

Precedenti attacchi attribuiti a Lazarus includono il furto di Ethereum per un valore di 620 milioni di dollari dal bridge di rete Ronin di Axie Infinity e altri furti di criptovalute su Harmony Horizon, Alphapo, CoinsPaid e Atomic Wallet.

A luglio, GitHub aveva avvertito che Lazarus stava prendendo di mira gli sviluppatori di società di blockchain, criptovalute, giochi d'azzardo online e sicurezza informatica utilizzando repository dannosi.