Kuzey Kore devlet destekli bilgisayar korsanları, biri VMware vSphere konektör modülü VConnector'ı taklit eden PYPI (Python Paket Dizin) depo kötü amaçlı paketlere yüklenen VMConnect kampanyasının arkasında.
Paketler Ağustos başında yüklendi ve VMConnect adlı bir tane sanallaştırma araçları arayan BT uzmanlarını hedefliyor
PYPI platformundan kaldırıldığı sırada VMConnect 237 indirme saydı. Aynı kodu içeren iki paket daha,'ethter 've' NationBase 'ile yayınlanan ve ayrıca popüler yazılım projelerini taklit eden iki paket daha sırasıyla 253 ve 216 kez indirildi.
Bugün bir yazılım tedarik zinciri güvenlik şirketi olan ReversingLabs'ın bir raporu, kampanyayı Kuzey Koreli Lazarus hackerlarının bir alt grubu Labirenth Chollima ile ilişkilendiriyor.
Araştırmacılar, aynı VMConnect işleminin bir parçası olan daha fazla paket keşfettiler: ‘TableDiter’ (736 indirme), ‘Request-Plus’ (43 indirme) ve ‘RequestsPro’ (341 indirme).
Yeni keşfedilen paketin üçlüsünde birincisi, tabloların düzenlenmesine yardımcı olan bir araç olarak geçme girişimi gibi görünürken, diğer ikisi HTTP istekleri yapmak için kullanılan popüler 'istekler' Python kütüphanesini taklit ediyor.
Hackerlar, “artı” ve “Pro” soneklerini adına ekleyerek, girişleri ek özelliklere sahip standart, meşru paketin sürümleri gibi gösteriyor.
Kötü niyetli paketler, orijinallerle aynı açıklamayı içerir ve minimum dosya yapısı ve içerik farklılıkları içerir, öncelikle 'coolies.py'den kötü niyetli bir işlev yürüten “__init__.py” dosyasıyla ilgili değişiklikler enfekte makine.
Bilgiler, bir HTTP sonrası isteği aracılığıyla saldırganın Komut ve Kontrol (C2) sunucularına teslim edilir.
Sunucu, Base64 ve XOR kullanılarak gizlenmiş bir Python modülü ve yürütme parametreleri ile yanıt verir. Modül ayrıca, araştırmacıların alamadığı bir sonraki aşama yükü için indirme URL'sini de içerir.
Nihai yükü analiz etmemelerine rağmen, ReversingLabs araştırmacıları, VMConnect kampanyasını meşhur Kuzey Kore Lazarus APT Grubuna bağlamak için yeterli kanıt topladıklarını söylüyorlar.
Bir argüman, 'Builder.py' dosyasının, Japonya'nın Bilgisayar Güvenliği Olay Yanıt Ekibi (CSIRT) JPCERT'in ‘PY_QRCODE’ adlı başka bir dosyada bulunan aynı yükü kod çözme rutini içeren kötü amaçlı paketlerde keşfedilmesidir.
JPCert, kodu daha tehlikeli geçit olarak izledikleri başka bir Lazarus alt grubuna bağladı.
Bu dosyanın işlevselliği, Crowdstrike'ın Labirent Chollima'ya yüksek güvenle atfettiği Java tabanlı bir kötü amaçlı yazılım olan ‘QRLOG’ adlı üçüncü bir dosyayla aynıdır.
Coinspaid, Lazarus Hacker'ları hırsızlık için 37.300.000 dolarlık kripto için suçluyor
Bilgisayar korsanları, internet kuruluşunu ihlal etmek için kamu yönetimi istismarını kullanır
FBI: Lazarus Hacker'ları çalınan kriptoda 41 milyon dolar para kazanmaya hazır
Kuzey Koreli bilgisayar korsanları 'Scarcruft', Rus füze yapımcısını ihlal etti
Pypi'de sahte vmware vconnector paketi
Kaynak: Bleeping Computer