A Equipe de Resposta a Incidentes de Segurança de Computadores do Japão (JPCERT/CC) está alertando que o notório grupo de hackers norte-coreano Lazarus carregou quatro pacotes maliciosos do PyPI para infectar desenvolvedores com malware.
PyPI (Python Package Index) é um repositório de pacotes de software de código aberto que os desenvolvedores de software podem utilizar em seus projetos Python para adicionar funcionalidades extras aos seus programas com o mínimo esforço.
A falta de verificações rigorosas na plataforma permite que atores de ameaças carreguem pacotes maliciosos como malwares que roubam informações e backdoors que infectam os computadores dos desenvolvedores com malware quando adicionados aos seus projetos.
Esse malware permite ao grupo de hackers acessar a rede do desenvolvedor, onde eles realizam fraudes financeiras ou comprometem projetos de software para realizar ataques na cadeia de suprimentos.
Lazarus usou o PyPI para distribuir malware em agosto de 2023, quando os hackers patrocinados pelo estado norte-coreano submeteram pacotes disfarçados como um módulo conector do VMware vSphere.
Hoje, a JPCERT/CC está alertando que o Lazarus novamente carregou pacotes para o PyPi que instalarão o carregador de malware 'Comebacker'.
Os quatro novos pacotes que a JPCERT/CC atribui ao Lazarus são:
pycryptoenv – 743 downloads
pycryptoconf – 1344 downloads
quasarlib – 778 downloads
swapmempool – 392 downloads
Os nomes dos dois primeiros pacotes criam um falso link para o legítimo projeto 'pycrypto' (Python Cryptography Toolkit), uma coleção de funções de hash seguras e vários algoritmos de criptografia baixados 9 milhões de vezes por mês.
Nenhum dos quatro pacotes está disponível no PyPI atualmente, pois foram removidos do repositório recentemente.
No entanto, a plataforma de rastreamento de estatísticas de downloads PePy relata um total de 3,252 instalações, ou seja, milhares de sistemas foram comprometidos pelo malware Lazarus.
Os pacotes maliciosos compartilham uma estrutura de arquivo semelhante, contendo um arquivo 'test.py' que não é realmente um script Python, mas um arquivo DLL codificado pelo XOR, executado pelo arquivo '__init__.py', também incluso no pacote.
A execução de test.py desencadeia a decodificação e criação de arquivos DLL adicionais que falsamente parecem ser arquivos de banco de dados, conforme mostrado no diagrama a seguir.
A agência de cibersegurança japonesa diz que a payload final (IconCache.db), executada na memória, é um malware conhecido como "Comebacker", primeiro identificado por analistas do Google em Janeiro de 2021, que relataram que ele foi usado contra pesquisadores de segurança.
O malware Comebacker se conecta ao servidor de comando e controle (C2) do atacante, envia uma solicitação HTTP POST com strings codificadas e aguarda que mais malwares do Windows sejam carregados na memória.
Com base em vários indicadores, a JPCERT/CC diz que este último ataque é outra onda da mesma campanha relatada pelo Phylum em Novembro de 2023, envolvendo cinco pacotes npm com tema de criptografia.
Lazarus tem um longo histórico de invasão de redes corporativas para realizar fraudes financeiras, geralmente para roubar criptomoedas.
Ataques anteriores atribuídos ao Lazarus incluem o roubo de $620 milhões em Ethereum da ponte de rede Ronin da Axie Infinity e outros roubos de cripto em Harmony Horizon, Alphapo, CoinsPaid e Atomic Wallet.
Em julho, o GitHub alertou que o Lazarus estava mirando desenvolvedores em empresas de blockchain, criptomoedas, jogos de azar online e cibersegurança usando repositórios maliciosos.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...