Japonya'nın Bilgisayar Güvenliği Olay Müdahale Ekibi (JPCERT/CC), kötü şöhretli Kuzey Kore hackleme grubu Lazarus'un geliştiricileri kötü amaçlı yazılımlarla enfekte etmek için dört kötü niyetli PYPI paketi yüklediğini uyarıyor.
PYPI (Python Paket Dizin), yazılım geliştiricilerinin programlarına minimum çaba ile ek işlevler eklemek için Python projelerinde kullanabileceği açık kaynaklı yazılım paketlerinin bir deposudur.
Platformda katı kontrollerin olmaması, tehdit aktörlerinin, projelerine eklendiğinde geliştiricilerin bilgisayarlarını kötü amaçlı yazılımlarla enfekte eden bilgi çalma kötü amaçlı yazılımları ve arka planlar gibi kötü amaçlı paketler yüklemelerini sağlar.
Bu kötü amaçlı yazılım, hackleme grubunun geliştiricinin ağına erişmesine izin verir, burada tedarik zinciri saldırıları yapmak için finansal sahtekarlık veya yazılım projelerini uzlaştırır.
Lazarus daha önce Pypi'yi, Kuzey Kore devlet destekli bilgisayar korsanlarının VMware vSphere konektör modülü olarak kamufle ettiği paketleri gönderdiği Ağustos 2023'te kötü amaçlı yazılım dağıtmak için kullandı.
Bugün, JPCERT/CC, Lazarus'un bir kez daha PYPI'ye 'geri dönüş' kötü amaçlı yazılım yükleyicisini yükleyecek paketler yüklediğini uyarıyor.
JPCert/CC'nin Lazarus'a atfettiği dört yeni paket:
İlk iki paket 'adları, her ay 9 milyon kez indirilen güvenli karma işlevleri ve çeşitli şifreleme algoritmaları koleksiyonu olan meşru' Pycrypto 'projesine (Python Cryptography araç seti) yanlış bir bağlantı oluşturur.
Dört paketin hiçbiri şu anda PYPI'da mevcut değil, çünkü dün olduğu gibi depodan çıkarıldı.
Bununla birlikte, istatistik izleme platformu indirin Pepy, toplam 3,252 kurulum sayısı rapor ediyor, bu nedenle Lazarus kötü amaçlı yazılımlar tarafından binlerce sistem tehlikeye atıldı.
Kötü niyetli paketler, gerçekten bir python komut dosyası olmayan, ancak pakete de dahil edilen '__init__.py' dosyası tarafından yürütülen bir 'test.py' dosyası içeren benzer bir dosya yapısını paylaşır.
Test.py'nin yürütülmesi, aşağıdaki şemada gösterildiği gibi, veritabanı dosyaları olarak yanlış görünen ek DLL dosyalarının kod çözülmesini ve oluşturulmasını tetikler.
Japon Siber Güvenlik Ajansı, bellekte yürütülen nihai yükün (iconcache.db), ilk olarak Ocak 2021'de Google analistleri tarafından güvenlik araştırmacılarına karşı kullanıldığını bildiren "geri dönüş" olarak bilinen bir kötü amaçlı yazılım olduğunu söylüyor.
Geri dönüşlü kötü amaçlı yazılım, saldırganın komut ve kontrol (C2) sunucusuna bağlanır, kodlanmış dizelerle bir HTTP yayın isteği gönderir ve daha fazla Windows kötü amaçlı yazılımların belleğe yüklenmesini bekler.
Çeşitli göstergelere dayanarak, JPCERT/CC, bu son saldırının Kasım 2023'te bildirilen beş kript temalı NPM paketini içeren aynı kampanyanın bir başka dalgası olduğunu söylüyor.
Lazarus, genellikle kripto para birimini çalmak için finansal sahtekarlık yapmak için kurumsal ağları ihlal etme konusunda uzun bir geçmişe sahiptir.
Lazarus'a atfedilen önceki saldırılar arasında Axie Infinity'nin Ronin Network Köprüsü'nden 620 milyon dolarlık Ethereum hırsızlığı ve Harmony Horizon, Alphapo, Madeni para ve atom cüzdanındaki diğer kripto hırsızlığı yer alıyor.
Temmuz ayında Github, Lazarus'un blockchain, kripto para birimi, çevrimiçi kumar ve kötü niyetli depolar kullanan siber güvenlik şirketlerinde geliştiricileri hedeflediği konusunda uyardı.
Lazarus Hacker'ları çekirdek ayrıcalıkları kazanmak için Windows Zero Day'den yararlandı
Savunma sektörü tedarik zinciri saldırısına bağlı Kuzey Koreli hackerlar
Kuzey Koreli hackerlar artık Yomix Tumbler aracılığıyla çalınan kriptayı aklıyor
Yüzü Backdoor kullanıcılarının makinelerinde sarılmak için kötü niyetli yapay zeka modelleri
Yeni Yönetici Siparişi Yasağı Kişisel Verilerin Mass Satışını Çin, Rusya'ya
Kaynak: Bleeping Computer