Lazarus在 Python 社区实“抢注”攻击

阅读量11114

发布时间 : 2024-03-01 10:31:14




黑客组织 Lazarus 已向 Python Package Index ( PyPI ) 存储库发布了四个恶意软件包,目的是用恶意软件感染开发人员的系统。

指定的软件包——“pycryptoenv”、“pycryptoconf”、“quasarlib”和“swapmempool”——已经从平台上删除,但在此之前它们已经累计了 3269 次下载,其中“pycryptoconf”是最受欢迎的(1351 次下载) 。

日本JPCERT协调中心 研究员 Shusei Tomonaga指出, 包名“pycryptoenv”和“pycryptoconf”与流行的 Python 加密包“pycrypto”类似,表明这是针对开发人员的有针对性的类型抢注攻击。

此前, 研究公司Phylum最近 在 npm 注册表中发现了多个恶意软件包。这些软件包针对的是正在积极寻找工作的开发人员。

这两个活动的共同点是使用隐藏在测试脚本中的恶意代码,这实际上只是 XOR 加密的 DLL 文件的掩护。

该文件创建另外两个 DLL 文件,名为“IconCache.db”和“NTUSER.DAT”,然后用于下载并执行 Comebacker 恶意软件,该恶意软件允许与命令和控制服务器通信以执行 Windows 可执行文件。


一般攻击模式

据 JPCERT 称,发现的软件包是 Phylum 于 2023 年 11 月首次描述的活动的一部分 ,该活动使用以加密货币为主题的 npm 模块来传播 Comebacker 恶意软件。

Shusei Tomonaga 警告说,此类攻击的目的是用户注意力不集中,从而导致恶意软件的下载。开发人员在从存储库和其他软件安装软件包时应小心,以避免不必要的恶意软件下载。


分享到:微信
+16赞
收藏
ISC6196381205
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66