Η ομάδα αντίδρασης σε περιστατικά ασφάλειας υπολογιστών της Ιαπωνίας (JPCERT/CC) προειδοποιεί ότι η γνωστή Βόρειο Κορεατική ομάδα χάκερ Lazarus έχει μεταφορτώσει τέσσερα κακόβουλα πακέτα PyPI για να μολύνει προγραμματιστές με κακόβουλο λογισμικό.

Δείτε επίσης: Οι Lazarus hackers στόχευσαν προμηθευτή λογισμικού χρησιμοποιώντας γνωστές ευπάθειες

Το PyPI (Python Package Index) είναι ένα αποθετήριο λογισμικού ανοικτού κώδικα, που οι προγραμματιστές λογισμικού μπορούν να χρησιμοποιήσουν στα έργα τους σε Python για να προσθέσουν επιπλέον λειτουργικότητα στα προγράμματά τους με ελάχιστη προσπάθεια.

Η ανυπαρξία αυστηρών ελέγχων στην πλατφόρμα επιτρέπει σε απειλητικούς παράγοντες όπως η ομάδα Lazarus να μεταφορτώνουν κακόβουλα πακέτα, όπως κακόβουλο λογισμικό που κλέβει πληροφορίες και backdoors που μολύνουν τους υπολογιστές των προγραμματιστών με κακόβουλο λογισμικό όταν προστίθενται στα έργα τους.

Αυτό το κακόβουλο λογισμικό επιτρέπει στην ομάδα χάκερ να έχει πρόσβαση στο δίκτυο του προγραμματιστή, όπου διεξάγουν οικονομικές απάτες ή υπονομεύουν τα λογισμικά έργα για να πραγματοποιήσουν επιθέσεις στην αλυσίδα εφοδιασμού.

Στο παρελθόν, η Lazarus εκμεταλλεύτηκε το PyPI για τη διανομή κακόβουλου λογισμικού τον Αύγουστο του 2023, όταν χάκερ που υποστηρίζονται από το κράτος της Βόρειας Κορέας, υπέβαλαν πακέτα που παρουσιάζονταν ως μονάδα σύνδεσης VMware vSphere.

Νέα πακέτα PyPi του Lazarus

Σήμερα, το JPCERT/CC προειδοποιεί ότι η Lazarus έχει ανεβάσει ξανά πακέτα στο PyPi που θα εγκαταστήσουν τον κακόβουλο φορτιστή ‘Comebacker‘.

Δείτε ακόμα: Οι Lazarus hackers χρησιμοποιούν Log4j exploits για την ανάπτυξη RAT

Τα τέσσερα νέα πακέτα που η JPCERT/CC αποδίδει στο Lazarus είναι:

  • pycryptoenv – 743 λήψεις
  • pycryptoconf – 1344 λήψεις
  • quasarlib – 778 λήψεις
  • swapmempool – 392 λήψεις

Τα ονόματα των πρώτων δύο πακέτων δημιουργούν μια παραπλανητική σύνδεση με το νόμιμο έργο “pycrypto” (Python Cryptography Toolkit), μια συλλογή ασφαλών συναρτήσεων κατακερματισμού και διάφορων αλγορίθμων κρυπτογράφησης που κατεβάζεται 9 εκατομμύρια φορές κάθε μήνα.

Κανένα από τα τέσσερα πακέτα της Lazarus δεν είναι διαθέσιμο προς το παρόν στο PyPI, καθώς αφαιρέθηκαν από το αποθετήριο μέχρι και χθες.

Ωστόσο, το PePy, πλατφόρμα παρακολούθησης στατιστικών λήψης, αναφέρει συνολικό αριθμό εγκαταστάσεων 3.252

, επομένως χιλιάδες συστήματα έχουν μολυνθεί από το malware Lazarus.

Τα κακόβουλα πακέτα έχουν μια παρόμοια δομή αρχείων, περιλαμβάνοντας ένα αρχείο ‘test.py‘ το οποίο δεν είναι πραγματικά ένα σενάριο Python αλλά ένα αρχείο DLL που κωδικοποιείται με XOR και εκτελείται από το αρχείο ‘__init__.py‘, το οποίο περιλαμβάνεται επίσης στο πακέτο.

Με βάση διάφορους δείκτες, το JPCERT/CC αναφέρει ότι αυτή η τελευταία επίθεση αποτελεί άλλο ένα κύμα της ίδιας εκστρατείας που ανέφερε το Phylum τον Νοέμβριο του 2023, με πέντε πακέτα npm με θέμα το κρυπτονόμισμα.

Δείτε επίσης: Sinbad: Κατασχέθηκε ο crypto mixer της ομάδας Lazarus

Πώς επηρεάζει η ομάδα Lazarus την κυβερνοασφάλεια;

Η ομάδα Lazarus, μια κυβερνοεγκληματική ομάδα που έχει διασυνδέσεις με τη Βόρεια Κορέα, επηρεάζει σημαντικά την κυβερνοασφάλεια με διάφορους τρόπους, όπως με τα κακόβουλα πακέτα PyPi. Πρώτον, διαθέτει πολύπλοκες και προηγμένες τεχνικές επίθεσης, που καθιστούν δύσκολη την ανίχνευση και την προστασία από τις επιθέσεις της. Δεύτερον, η ομάδα Lazarus επιτίθεται σε σημαντικές υποδομές και οργανισμούς, όπως τράπεζες και κρατικές υπηρεσίες, προκαλώντας σημαντικές οικονομικές και λειτουργικές ζημιές. Τρίτον, η ομάδα Lazarus είναι γνωστή για τη χρήση προηγμένων μεθόδων κατασκοπείας και παρακολούθησης, που μπορούν να αποκαλύψουν ευαίσθητες πληροφορίες και να διαταράξουν την προστασία των δεδομένων. Τέλος, η ομάδα Lazarus επιδιώκει συνεχώς να εξελίσσεται και να προσαρμόζεται στις νέες τεχνολογίες και τα μέτρα ασφαλείας.

Πηγή: bleepingcomputer