قراصنة كوريا الشمالية ينشرون حزم Python خبيثة جديدة في مستودع PyPI. تم اكتشاف ثلاثة حزم Python خبيثة جديدة في مستودع Package Index (PyPI) كجزء من حملة خبيثة مستمرة لسلسلة التوريد تسمى VMConnect ، مع علامات تشير إلى تورط الجهات الفاعلة المدعومة من الدولة في كوريا الشمالية.
تأتي هذه النتائج من ReversingLabs ، التي اكتشفت الحزم tablediter و request-plus و requestspro.
تم الكشف عن VMConnect في بداية الشهر من قبل الشركة و Sonatype ، ويشير إلى مجموعة من حزم Python التي تحاكي أدوات Python مفتوحة المصدر الشائعة لتنزيل برنامج ضار مجهول المرحلة الثانية.
لا يختلف أحدث جزء ، حيث لاحظ ReversingLabs أن الجهات الفاعلة السيئة تخفي حزمها وتجعلها تبدو جديرة بالثقة باستخدام تقنيات typosquatting لتجسيد prettytable و requests وإرباك المطورين.
تم تصميم الكود الخبيث داخل tablediter للتشغيل في حلقة تنفيذ لا نهائية يتم فيها استطلاع خادم بعيد بشكل دوري لاسترداد وتنفيذ حمولة مشفرة Base64. طبيعة الحمولة غير معروفة حاليًا.
أحد التغييرات الرئيسية التي تم إدخالها في tablediter هو أنه لم يعد يطلق رمزًا ضارًا فور تثبيت الحزمة لتجنب اكتشافه بواسطة برنامج الأمان.
“من خلال الانتظار حتى يتم استيراد الحزمة المخصصة و calling استدعاء وظائفها بواسطة التطبيق المصاب. فإنهم يتجنبون شكلًا واحدًا من الاكتشاف القائم على السلوك ويرفعون من مستوى المدافعين المحتملين”. قال الباحث الأمني كارلو زانكي.
الحزمتان الأخريان. request-plus و requestspro ، تحويان القدرة على جمع معلومات حول الجهاز المصاب ونقل هذه المعلومات إلى خادم التحكم والسيطرة (C2).
بعد هذه الخطوة. يرد الخادم برمز مميز. يرسله الجهاز المصاب إلى عنوان URL مختلف على نفس خادم C2. ويتلقى في المقابل وحدة Python مشفرة مزدوجة وعنوان URL للتنزيل.
من الم suspected أن الوحدة المشفرة تقوم بتنزيل المرحلة التالية من البرامج الضارة من URL الم provided.
شبكة معقدة من الاتصالات تؤدي إلى كوريا الشمالية
إن استخدام نهج قائم على الرمز المميز للتحليق تحت الرادار يشبه حملة npm التي كشف عنها Phylum في يونيو. والتي تم ربطها منذ ذلك الحين بجهات فاعلة كورية شمالية. Attributed Microsoft-owned GitHub الهجمات إلى تهديد actor يطلق عليه Jade Sleet. والذي يُعرف أيضًا باسم TraderTraitor أو UNC4899.
TraderTraitor هي واحدة من أسلحة كوريا الشمالية البارزة في خططها للاختراق من أجل الربح. ولديها تاريخ طويل ونجاح في استهداف شركات cryptocurrency وقطاعات أخرى لتحقيق مكاسب مالية.
تثير الروابط المحتملة إمكانية أن هذه هي tactic التكتيكية التي تتبناها الخصوم لتسليم برنامج ضار من المرحلة الثانية بشكل انتقائي بناءً على معايير تصفية معينة.
“نهج الرمز المميز هو تشابه. في كلتا الحالتين ولم يتم استخدامه من قبل جهات أخرى في البرامج الضارة التي يتم استضافتها على مستودعات الحزم العامة حسب ما نعلم”. قال Zanki لـ The Hacker News في بيان بالبريد الإلكتروني.
يتم أيضًا توثيق الروابط مع كوريا الشمالية من خلال حقيقة أنه تم اكتشاف تداخلات في البنية التحتية بين حملة هندسة npm واختراق JumpCloud في يونيو 2023.
علاوة على ذلك ، قال ReversingLabs أنه وجد حزمة Python تسمى py_QRcode تحتوي على وظائف خبيثة تشبه إلى حد كبير تلك الموجودة في حزمة VMConnect.
py_QRcode. كما هو الحال. يقال أنه تم استخدامه كنقطة انطلاق لسلسلة هجوم منفصلة تستهدف مطوري أعمال تبادل cryptocurrency في أواخر مايو 2023. الشهر الماضي. attribted JPCERT/CC إلى نشاط كوري شمالي آخر codenamed SnatchCrypto (aka CryptoMimic أو DangerousPassword).
من ناحية أخرى “يعمل هذا البرنامج الضار المكتوب بلغة Python في بيئات Windows و macOS و Linux. ويتحقق من معلومات OS ويغير تدفق العدوى بناءً عليها”. قالت الوكالة. واصفة الممثل بأنه فريد من نوعه لاستهداف بيئة المطور مع مجموعة متنوعة من المنصات.
بناء على ذلك من ال aspects الجوهري الآخر أن الهجمات ضد أنظمة macOS نتج عنها نشر JokerSpy. وهو باب
قراصنة كوريا الشمالية ينشرون حزم Python خبيثة جديدة في مستودع PyPI. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.