Početkom avgusta, istraživački tim u ReversingLabs-u naišao je na malicioznu kampanju u lancu snabdevanja koja je uključivala 24 štetna Python paketa pod nazivom VMConnect. Tim je povezao kampanju sa tri vrlo uobičajena Python alata otvorenog koda.
Detaljno
Istraživači su primijetili da operateri koji stoje iza ove kampanje ulažu velike napore kako bi stvorili iluziju autentičnosti u svojim aktivnostima. Postavili su GitHub repozitorije sa opisima koji izgledaju originalno i čak koriste legitiman izvorni kod.
- Najnoviji identifikovani paketi uključuju ‘tablediter’ (sa 736 preuzimanja), ‘request-plus’ (sa 43 preuzimanja) i ‘requestspro’ (sa 341 preuzimanjem).
- Među ovim novootkrivenim paketima, prvi se čini da se maskira kao pomoćni program za uređivanje tabela, dok druga dva imitiraju široko rasprostranjenu Python biblioteku ‘zahtjeva’, koja se koristi za pravljenje HTTP zahtjeva.
Pripisivanje
- Iako ReversingLabs nije mogao definitivno pripisati ovu kampanju određenom hakeru, analitičari Crowdstrikea su pouzdano pripisali maliciozni softver Labyrinth Chollima, podgrupi unutar Lazarus grupe, grupi hakera koju sponzoriše sjevernokorejska država.
- Pored navedenog, JPCERT/CC je povezao napad sa DangerousPassword, još jednom podružnicom Lazarus grupe.
- Uzimajući u obzir ove povezanosti i značajne sličnosti koda između paketa pronađenih u VMConnect kampanji i onih opisanih u istraživanju JPCERT/CC, zaključeno je da je isti haker odgovoran za oba napada.
Zaključak
Ova VMConnect kampanja predstavlja još jedan primjer malicioznih napada usmjerenih na korisnike PyPI repozitorija. Da bi se zaštitile od takvih prijetnji, organizacije moraju ulagati u obuku i podizanje svijesti o tipskanju i drugim napadima lažnog predstavljanja i ojačati svoju odbranu.
Izvor: Cyware Alerts – Hacker New
