Вредоносные кимчи: хакеры из Северной Кореи спрятали в репозитории PyPI три неприятных сюрприза

Обнаружены три новых вредоносных пакета Python на популярном репозитории PyPI . По мнению специалистов, они являются частью кампании VMConnect, которую, скорее всего, организовали северокорейские хакеры.

Пакеты, опубликованные под названиями tablediter, request-plus и requestspro, выявила кибербезопасная организация ReversingLabs .

В кампании VMConnect Python-библиотеки используются, чтобы сымитировать популярные инструменты открытого исходного кода. После установки они автоматически загружают дополнительную вредоносную программу.

Злоумышленники применяют технику typosquatting, чтобы зловредные расширения казались легитимными. Для этого используются имена, очень похожие на названия популярных библиотек, что позволяет запутать разработчиков и избежать обнаружения.

Один из пакетов, tablediter, не активирует свой вредоносный код сразу после установки, чтобы уклониться от систем безопасности.

Программа внутри tablediter работает в бесконечном цикле. Она регулярно связывается с внешним сервером для скачивания и активации кода, зашифрованного в формате Base64. Сейчас точная природа кода остается неизвестной, что добавляет дополнительную степень неопределенности и риска для специалистов.

Два других пакета, request-plus и requestspro, собирают информацию о зараженном компьютере и передают её на сервер управления.

После установки соединения с управляющим сервером зараженная система получает специализированный токен. Он отправляется обратно, но уже на другой адрес того же сервера. В ответ приходит закодированный Python-модуль и ссылка для скачивания.

Исследователи предполагают, что через эту ссылку модуль запускает загрузку следующей фазы вредоносного ПО.

Сценарии текущих атак и других известных инцидентов, вроде нападений на JumpCloud и кампании в npm, подозрительно схожи. Этот факт подкрепляет версию о вмешательстве северокорейских хакеров. Интересно, что в других операциях злоумышленники преследовали финансовую выгоду и в основном атаковали криптовалютные платформы.

Подобные атаки находили в операционных системах macOS и Linux. Это лишь последний пример из серии нападений на пользователей репозитория PyPI, подчеркивающий, что экспертам по безопасности следует быть настороже.