Lazarus explora erros de digitação para infiltrar malware PyPI em sistemas de desenvolvimento
![dll](https://i1.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoOsvoEPlyoX-fS2syYNGtZUBYDatyFso4vFhczOLHv2RN26jv1aYHAlfM6N1GnfOWfmbARMQWwiU2gWQ_ckElD6-NNqTYUJaauHWhP4n0AeAyjKIyakYdSVFYoinbYDKsVdIazYQ6Dnz3crRqalSPwYylrYGrPlkmHHnJg1AmMA2iLtjEoGFNZ7EZUl9b/s728-rw-e365/dll.jpg?w=780&resize=780,470&ssl=1)
![Malware PyPI Malware PyPI](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoOsvoEPlyoX-fS2syYNGtZUBYDatyFso4vFhczOLHv2RN26jv1aYHAlfM6N1GnfOWfmbARMQWwiU2gWQ_ckElD6-NNqTYUJaauHWhP4n0AeAyjKIyakYdSVFYoinbYDKsVdIazYQ6Dnz3crRqalSPwYylrYGrPlkmHHnJg1AmMA2iLtjEoGFNZ7EZUl9b/s728-rw-e365/dll.jpg)
O notório grupo de hackers bravo pelo estado norte-coreano Lazarus carregou quatro pacotes no repositório Python Package Índice (PyPI) com o objetivo de infectar sistemas de desenvolvedores com malware.
Os pacotes, agora retirados, são pycryptoenv, pycryptoconf, quasarlib e swapmempool. Eles foram baixados coletivamente 3.269 vezes, com o pycryptoconf sendo responsável pelo maior número de downloads, 1.351.
“Os nomes dos pacotes pycryptoenv e pycryptoconf são semelhantes ao pycrypto, que é um pacote Python usado para algoritmos de criptografia em Python”, disse Shusei Tomonaga, pesquisador do JPCERT/CC. “Portanto, o invasor provavelmente preparou pacotes maliciosos contendo malware para atingir erros de digitação dos usuários na instalação de pacotes Python.”
A divulgação ocorre dias depois que Phylum descobriu vários pacotes nocivos no registro npm que foram usados para realçar desenvolvedores de software porquê segmento de uma campanha chamada Contagious Interview.
Um ponto em generalidade interessante entre os dois conjuntos de ataques é que o código malicioso fica oculto em um script de teste (“test.py”). Nesse caso, entretanto, o registro de teste é somente uma cortinado de fumaça para o que é um registro DLL codificado em XOR, que, por sua vez, cria dois arquivos DLL chamados IconCache.db e NTUSER.DAT.
A sequência de ataque portanto usa NTUSER.DAT para carregar e executar IconCache.db, um malware chamado Comebacker responsável por estabelecer conexões com um servidor de comando e controle (C2) para buscar e executar um registro realizável do Windows.
JPCERT/CC disse que os pacotes são uma prolongamento de uma campanha que Phylum detalhou pela primeira vez em novembro de 2023 porquê aproveitando módulos npm com tema criptográfico para entregar o Comebacker.
“Os invasores podem ter porquê mira os erros de digitação dos usuários para fazer o download do malware”, disse Tomonaga. “Ao instalar módulos e outros tipos de software em seu envolvente de desenvolvimento, faça-o com desvelo para evitar a instalação de pacotes indesejados.”