Gli hacker nordcoreani sono sospettati di essere dietro l’implementazione di tre nuovi pacchetti Python malevoli nel repository Package Index (PyPI), come parte di una campagna malevola di fornitura di software chiamata VMConnect.
Dettagli sui pacchetti malevoli
ReversingLabs ha rilevato i pacchetti malevoli denominati tablediter, request-plus e requestspro. Questi pacchetti mimano strumenti Python open-source popolari per scaricare un malware sconosciuto di seconda fase. Gli attori malevoli stanno mascherando i loro pacchetti e li rendono affidabili utilizzando tecniche di typosquatting per impersonare strumenti come prettytable e requests.
Funzionamento di tablediter
Il codice malevolo all’interno di tablediter è progettato per funzionare in un ciclo di esecuzione infinito, in cui un server remoto viene interrogato periodicamente per recuperare ed eseguire un payload codificato in Base64. La natura esatta del payload è attualmente sconosciuta. Una delle principali modifiche introdotte in tablediter è che non attiva più il codice malevolo immediatamente dopo l’installazione del pacchetto, al fine di eludere il rilevamento da parte del software di sicurezza.
Altri pacchetti e loro funzionalità
I pacchetti request-plus e requestspro hanno la capacità di raccogliere informazioni sulla macchina infetta e trasmetterle a un server di comando e controllo (C2). Dopo questo passaggio, il server risponde con un token, che l’host infetto invia a un URL diverso sullo stesso server C2, ricevendo in cambio un modulo Python doppio codificato e un URL di download.
Connessioni con la Corea del Nord
L’uso di un approccio basato su token per evitare il rilevamento rispecchia una campagna npm divulgata da Phylum a giugno, che è stata successivamente collegata agli attori nordcoreani. GitHub, di proprietà di Microsoft, ha attribuito gli attacchi a un attore minaccioso chiamato Jade Sleet, noto anche come TraderTraitor o UNC4899. Quest’ultimo è uno degli strumenti cyber più noti della Corea del Nord nei suoi schemi di “hack per profitto”, con una lunga e consolidata storia di attacchi a società di criptovaluta e altri settori per guadagno finanziario.
