Três pacotes adicionais de Python não confiáveis foram descobertos no repositório do Índice de Pacotes (PyPI) como parte de uma campanha em andamento de fornecimento malicioso de software chamada VMConnect, com indícios apontando para o envolvimento de atores de ameaça patrocinados pelo estado norte-coreano.
As descobertas vêm da ReversingLabs, que detectou os pacotes tablediter, request-plus e requestspro.
Primeiramente divulgado no início do mês pela empresa e a Sonatype, VMConnect refere-se a uma coleção de pacotes Python que imitam ferramentas populares de código aberto Python para baixar um malware desconhecido da segunda etapa.
A última parcela não é diferente, com ReversingLabs observando que os atores maliciosos estão disfarçando seus pacotes e fazendo-os parecer confiáveis ao usar técnicas de typosquatting para se passarem pelo prettytable e requests e confundir desenvolvedores.
O código nefasto dentro de tablediter é projetado para ser executado em um loop de execução infinita em que um servidor remoto é consultado periodicamente para buscar e executar um payload codificado em Base64.
A natureza exata do payload é atualmente desconhecida.
Uma das principais mudanças introduzidas em tablediter é o fato de que o código malicioso não é acionado imediatamente após a instalação do pacote, de forma a evitar a detecção por softwares de segurança.
"Ao aguardar até que o pacote designado seja importado e suas funções chamadas pelo aplicativo comprometido, eles evitam um tipo de detecção comum baseada em comportamento e elevam o padrão para os possíveis defensores," disse o pesquisador de segurança Karlo Zanki.
Os outros dois pacotes, request-plus e requestspro, têm a habilidade de coletar informações sobre a máquina infectada e transmiti-las a um servidor de comando e controle (C2).
Após esta etapa, o servidor responde com um token, que o host infectado envia de volta a um URL diferente no mesmo servidor C2, recebendo em troca um módulo Python codificado duas vezes e um URL de download.
Suspeita-se que o módulo decodificado baixe a próxima etapa do malware do URL fornecido.
O uso de uma abordagem baseada em tokens para voar sob o radar espelha uma campanha npm que a Phylum divulgou em junho, e que desde então foi associada a atores norte-coreanos.
A GitHub, de propriedade da Microsoft, atribuiu os ataques a um ator de ameaça que ela chama de Jade Sleet, que também é conhecido como TraderTraitor ou UNC4899.
TraderTraitor é uma das principais armas cibernéticas da Coréia do Norte em seus esquemas de hack para lucrar, e tem um longo e bem-sucedido histórico de ataques a empresas de criptomoeda e outros setores para ganhos financeiros.
As possíveis conexões aumentam a possibilidade de que esta seja uma tática comum que os adversários estão adotando para entregar seletivamente um malware de segunda etapa baseado em certos critérios de filtragem.
"A abordagem baseada em tokens é uma similaridade [...] em ambos os casos e não foi utilizada por outros atores em malware hospedado em repositórios públicos de pacotes até onde sabemos," Zanki disse ao The Hacker News por e-mail.
Os links para a Coréia do Norte também são corroborados pelo fato de que foram descobertas sobreposições de infraestrutura entre a campanha de engenharia npm e o hack do JumpCloud de junho de 2023.
Além disso, a ReversingLabs disse que encontrou um pacote Python chamado py_QRcode que contém funcionalidade maliciosa muito semelhante à encontrada no pacote VMConnect.
py_QRcode, acontece, disse-se ter sido empregado como ponto de partida de uma cadeia de ataques separada visando desenvolvedores de negócios de troca de criptomoedas no final de maio de 2023.
JPCERT/CC, no mês passado, atribuiu isto a outra atividade norte-coreana codinome SnatchCrypto (também conhecida como CryptoMimic ou DangerousPassword).
"Este malware Python é executado em ambientes Windows, macOS e Linux, e verifica as informações do sistema operacional e muda o fluxo de infecção dependendo dele," disse a agência, descrevendo o ator como único por visar o ambiente de desenvolvimento com uma variedade de plataformas.
Outro aspecto notável é que os ataques contra sistemas macOS culminaram na implantação de JokerSpy, uma backdoor inédita que veio à tona em junho de 2023.
Mas isso não é tudo.
Em junho de 2023, a empresa de cibersegurança SentinelOne detalhou outra peça de malware chamada QRLog que vem com funcionalidade idêntica à do py_QRcode e faz referência ao domínio www.git-hub[.]me, que também foi visto em conexão com uma infecção JokerSpy.
"As intrusões JokerSpy revelam um ator de ameaça com a habilidade de escrever malware funcional em várias linguagens diferentes - Python, Java e Swift - e alvo de várias plataformas de sistemas operacionais," observou o pesquisador de segurança Phil Stokes na época.
O pesquisador de cibersegurança Mauro Eldritch, que primeiro detectou o malware QRLog, disse que há evidências que sugerem que o aplicativo gerador de código QR adulterado é obra de um adversário conhecido como Labyrinth Chollima, que é um subgrupo dentro do infame Grupo Lazarus.
"Este é apenas mais um numa série de ataques maliciosos visando os usuários do repositório PyPI," disse Zanki, acrescentando que "atores de ameaça continuam a usar o repositório do Índice de Pacotes Python (PyPI) como um ponto de distribuição para seu malware."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...