Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   «Тайпсквоттинг» от Lazarus: хакеры из КНДР больно ударили по Python-сообществу (http://txgate.io:443/showthread.php?t=8604)

Artifact 03-13-2025 11:19 PM

Невнимательные разработчики уже десять раз пожалели, что попались в столь глупую ловушку.
Группа хакеров Lazarus, поддерживаемая государством Северной Кореи, выложила в репозиторий Python Package Index (PyPI) четыре вредоносных пакета, с целью заражение систем разработчиков зловредным программным обеспечением.
Указанные пакеты — «pycryptoenv», «pycryptoconf», «quasarlib» и «swapmempool» — уже были удалены с платформы, но до этого успели набрать 3269 загрузок, причём наибольшим спросом пользовался именно «pycryptoconf» (1351 скачивание).
Шусэй Томонага, исследователь из японского координационного центра JPCERT, отметил , что названия пакетов «pycryptoenv» и «pycryptoconf» схожи с «pycrypto», популярным пакетом Python для шифрования, что указывает на целенаправленную атаку на разработчиков методом «тайпсквоттинг».
Это открытие последовало за недавним обнаружением нескольких вредоносных пакетов в реестре npm исследовательской компанией Phylum. Эти пакеты были направлены на разработчиков, находящихся в активном поиске работы.
Общим моментом обоих кампаний является использование вредоносного кода, скрытого в тестовом скрипте, который на самом деле является лишь прикрытием для зашифрованного XOR-кодированием DLL-файла.
Этот файл создаёт два других DLL-файла с названиями «IconCache.db» и «NTUSER.DAT», которые затем используются для загрузки и выполнения вредоносной программы Comebacker, обеспечивающей связь с сервером управления для выполнения исполняемого файла Windows.
https://www.securitylab.ru/upload/me...11703hnn9u.png
Общая схема атаки
По словам представителей JPCERT, обнаруженные пакеты являются частью кампании, впервые описанной Phylum в ноябре 2023 года, когда использовались модули npm на тему криптовалют для доставки вредоносного ПО Comebacker.
Шусэй Томонага предостерегает: подобные атаки нацелены на невнимательность пользователей, приводящую к скачиванию вредоносного ПО. Разработчикам следует быть осторожнее при установке пакетов из репозиториев и прочего программного обеспечения, чтобы избежать нежелательной загрузки зловредного софта.


All times are GMT. The time now is 10:09 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.