I ricercatori di sicurezza informatica hanno scoperto una nuova serie di pacchetti Python dannosi che prendono di mira gli sviluppatori di software nell’ ambito di valutazioni della codifica e debug del software.
I nuovi campioni sono stati ricondotti a progetti GitHub che sono stati collegati a precedenti attacchi mirati in cui gli sviluppatori vengono adescati tramite falsi colloqui di lavoro”, ha affermato Karlo Zanki, ricercatore di ReversingLabs.
L’attività è stata valutata come parte di una campagna in corso denominata VMConnect, venuta alla luce per la prima volta nell’agosto 2023. Ci sono indicazioni che sia opera del Lazarus Group sostenuto dalla Corea del Nord.
L’uso dei colloqui di lavoro come vettore di infezione è stato ampiamente dagli autori delle minacce nordcoreane, sia contattando ignari sviluppatori su siti come LinkedIn, sia inducendoli a scaricare pacchetti non autorizzati come parte di un presunto test di abilità.
Questi pacchetti, da parte loro, sono stati pubblicati direttamente su repository pubblici come npm e PyPI, oppure ospitati su repository GitHub sotto il loro controllo.
ReversingLabs ha affermato di aver identificato codice dannoso incorporato in versioni modificate di librerie PyPI legittime come pyperclip e pyrebase .
“Il codice dannoso è presente sia nel file __init__.py sia nel corrispondente file Python compilato (PYC) all’interno della directory __pycache__ dei rispettivi moduli”, ha affermato Zanki.
È implementato sotto forma di una stringa codificata in Base64 che nasconde una funzione di download, la quale stabilisce un contatto con un server di command and control (C2) per eseguire i comandi ricevuti come risposta.
In un caso di incarico di codifica identificato dall’azienda di fornitura di software, gli autori della minaccia hanno cercato di creare un falso senso di urgenza chiedendo ai candidati di creare un progetto Python condiviso sotto forma di file ZIP entro cinque minuti e di trovare e correggere un difetto di codifica nei successivi 15 minuti.
Ciò rende “più probabile che lui o lei esegua il pacchetto senza prima effettuare alcun tipo di verifica della sicurezza o addirittura una revisione del codice sorgente”, ha affermato Zanki, aggiungendo “ciò garantisce agli autori malintenzionati dietro questa campagna che il malware incorporato verrà eseguito sul sistema dello sviluppatore”.
Alcuni dei test sopra menzionati si presentavano come un colloquio tecnico per istituzioni finanziarie come Capital One e Rookery Capital Limited, sottolineando come gli autori della minaccia si spacciassero per aziende legittime del settore per portare a termine l’operazione.
Al momento non è chiaro quanto siano diffuse queste campagne, sebbene i potenziali obiettivi vengano individuati e contattati tramite LinkedIn, come recentemente evidenziato anche da Mandiant, di proprietà di Google.
“Dopo una conversazione iniziale in chat, l’aggressore ha inviato un file ZIP contenente il malware COVERTCATCH camuffato da sfida di codifica Python, che ha compromesso il sistema macOS dell’utente scaricando un malware di seconda fase che è rimasto attivo tramite Launch Agent e Launch Daemon“, ha affermato l’azienda .
Questa novità arriva mentre la società di sicurezza informatica Genians ha rivelato che l’autore della minaccia nordcoreana con nome in codice Konni sta intensificando i suoi attacchi contro Russia e Corea del Sud utilizzando esche di spear-phishing che portano all’impiego di AsyncRAT, con sovrapposizioni identificate con una campagna con nome in codice CLOUD#REVERSER (nota anche come puNK-002).
Alcuni di questi attacchi comportano anche la propagazione di un nuovo malware chiamato CURKON, un file di collegamento di Windows (LNK) che funge da downloader per una versione AutoIt di LILITHrat . L’attività è stata collegata a un sottocluster tracciato come puNK-003, secondo S2W.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/mwlite/in/fernandoc-364ab419a
@FACEBOOK https://www.facebook.com/hackerpunk19202
@EBOOK
https://amzn.eu/d/6dcujGr
@EBOOK (English version)
https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ