Clicky

Lazarus aprovecha errores tipográficos para introducir malware PyPI en sistemas de desarrollo

Grupo Lazarus

El código malicioso está oculto dentro de un script de prueba

El famoso grupo de piratería respaldado por el estado de Corea del Norte, Lazarus, subió cuatro paquetes al repositorio Python Package Index (PyPI) con el objetivo de infectar con malware los sistemas de los desarrolladores.

Los paquetes, ahora eliminados, son pycryptoenv, pycryptoconf, quasarlib y swapmempool. Se han descargado colectivamente 3.269 veces, y pycryptoconf representa la mayor cantidad de descargas con 1.351.

"Los nombres de los paquetes pycryptoenv y pycryptoconf son similares a pycrypto, que es un paquete Python utilizado para algoritmos de cifrado en Python", dijo el investigador de JPCERT/CC Shusei Tomonaga. "Por lo tanto, el atacante probablemente preparó los paquetes maliciosos que contienen malware para aprovechar los errores tipográficos de los usuarios al instalar los paquetes de Python".

La divulgación se produce días después de que Phylum descubriera varios paquetes maliciosos en el registro npm que se han utilizado para identificar a los desarrolladores de software como parte de una campaña con el nombre en código Contagious Interview.

Un interesante punto en común entre los dos conjuntos de ataques es que el código malicioso está oculto dentro de un script de prueba ("test.py"). En este caso, sin embargo, el archivo de prueba es simplemente una cortina de humo para lo que es un archivo DLL codificado con XOR, que, a su vez, crea dos archivos DLL llamados IconCache.db y NTUSER.DAT.

Luego, la secuencia de ataque usa NTUSER.DAT para cargar y ejecutar IconCache.db, un malware llamado Comebacker que es responsable de establecer conexiones con un servidor de comando y control (C2) para buscar y ejecutar un archivo ejecutable de Windows.

JPCERT/CC dijo que los paquetes son una continuación de una campaña que Phylum detalló por primera vez en noviembre de 2023 como aprovechando módulos npm con temática criptográfica para entregar Comebacker.

"Los atacantes pueden estar apuntando a los errores tipográficos de los usuarios para descargar el malware", dijo Tomonaga. "Cuando instale módulos y otros tipos de software en su entorno de desarrollo, hágalo con cuidado para evitar instalar paquetes no deseados".

Jesus_Caceres