Se han descubierto tres paquetes adicionales de Python maliciosos en el repositorio de Package Index (PyPI) como parte de una campaña en curso de la cadena de suministro de software malicioso llamada VMConnect , con señales que apuntan a la participación de actores de amenazas patrocinados por el estado de Corea del Norte.
Los hallazgos provienen de ReversingLabs, que detectó los paquetes tablediter, request-plus y requestpro.
VMConnect, revelado por primera vez a principios de mes por la compañía y Sonatype, se refiere a una colección de paquetes de Python que imitan herramientas populares de código abierto de Python para descargar un malware desconocido de segunda etapa.
El último tramo no es diferente, ReversingLabs señaló que los malos actores están disfrazando sus paquetes y haciéndolos parecer confiables mediante el uso de técnicas de typosquatting para hacerse pasar por Prettytable y Requests y confundir a los desarrolladores.
El nefasto código dentro de tablediter está diseñado para ejecutarse en un bucle de ejecución interminable en el que un servidor remoto es sondeado periódicamente para recuperar y ejecutar una carga útil codificada en Base64. Actualmente se desconoce la naturaleza exacta de la carga útil.
Uno de los principales cambios introducidos en tablediter es el hecho de que ya no activa el código malicioso inmediatamente después de la instalación del paquete para evadir la detección por parte del software de seguridad.
«Al esperar hasta que el paquete designado sea importado y sus funciones sean llamadas por la aplicación comprometida, evitan una forma común de detección basada en el comportamiento y elevan el listón para los posibles defensores», dijo el investigador de seguridad Karlo Zanki.
Los otros dos paquetes, request-plus y requestpro, incluyen la capacidad de recopilar información sobre la máquina infectada y transmitirla a un servidor de comando y control (C2).
Después de este paso, el servidor responde con un token, que el host infectado envía a una URL diferente en el mismo servidor C2 y, en última instancia, recibe a cambio un módulo Python con doble codificación y una URL de descarga.
Se sospecha que el módulo decodificado descarga la siguiente etapa del malware desde la URL proporcionada.
Una compleja red de conexiones que conducen a Corea del Norte#
El uso de un enfoque basado en tokens para pasar desapercibido refleja una campaña de npm que Phylum reveló en junio y que desde entonces se ha asociado con actores norcoreanos. GitHub, propiedad de Microsoft, atribuyó los ataques a un actor de amenazas al que llama Jade Sleet, también conocido como TraderTraitor o UNC4899.
TraderTraitor es una de las armas cibernéticas más destacadas de Corea del Norte en sus esquemas de piratería con fines de lucro y tiene una larga y exitosa historia de apuntar a empresas de criptomonedas y otros sectores para obtener ganancias financieras.
Las posibles conexiones plantean la posibilidad de que se trate de una táctica común que los adversarios estén adoptando para entregar selectivamente un malware de segunda etapa en función de ciertos criterios de filtrado.
Los vínculos con Corea del Norte también se ven corroborados por el hecho de que se han descubierto superposiciones de infraestructura entre la campaña de ingeniería npm y el hackeo de JumpCloud de junio de 2023 .
Es más, ReversingLabs dijo que encontró un paquete de Python llamado py_QRcode que contiene una funcionalidad maliciosa muy similar a la que se encuentra en el paquete VMConnect.
Se dice que py_QRcode se empleó como punto de partida de una cadena de ataque separada dirigida a desarrolladores de negocios de intercambio de criptomonedas a finales de mayo de 2023. JPCERT/CC, el mes pasado, lo atribuyó a otra actividad norcoreana con nombre en código SnatchCrypto (también conocido como CryptoMimic o DangerousPassword ).
«Este malware Python se ejecuta en entornos Windows, macOS y Linux, verifica la información del sistema operativo y cambia el flujo de infección dependiendo de ello», dijo la agencia, describiendo al actor como único para apuntar al entorno de desarrollador con una variedad de plataformas.
Otro aspecto destacable es que los ataques contra sistemas macOS culminaron con el despliegue de JokerSpy , una novedosa puerta trasera que salió a la luz por primera vez en junio de 2023.
Eso no es todo. En junio de 2023, la empresa de ciberseguridad SentinelOne detalló otro malware denominado QRLog que viene con una funcionalidad idéntica a la de py_QRcode y hace referencia al dominio www.git-hub[.]me, que también se ha visto en relación con una infección de JokerSpy .
«Las intrusiones de JokerSpy revelan un actor de amenazas con la capacidad de escribir malware funcional en varios lenguajes diferentes (Python, Java y Swift) y apuntar a múltiples plataformas de sistemas operativos», señaló en ese momento el investigador de seguridad Phil Stokes .
El investigador de ciberseguridad Mauro Eldritch, quien detectó por primera vez el malware QRLog, dijo que hay evidencia que sugiere que la aplicación generadora de códigos QR con trampa explosiva es obra de un adversario conocido como Labyrinth Chollima, que es un subgrupo dentro del infame Grupo Lazarus .
«Este es sólo otro de una serie de ataques maliciosos dirigidos a usuarios del repositorio PyPI», dijo Zanki, y agregó que «los actores de amenazas continúan utilizando el repositorio Python Package Index (PyPI) como punto de distribución para su malware».
Fuente y redacción: thehackernews.com
