Typosquatting agli sviluppatori: Lazarus Group diffonde malware attraverso pacchetti Python

Redazione RHC : 1 Marzo 2024 11:27

Il gruppo di hacker nordcoreano Lazarus, sostenuto dallo stato, ha rilasciato quattro pacchetti dannosi nel repository Python Package Index (PyPI) con l’obiettivo di infettare i sistemi degli sviluppatori con software dannoso.

I pacchetti specificati – “pycryptoenv”, “pycryptoconf”, “quasarlib” e “swapmempool” – erano già stati rimossi dalla piattaforma, ma prima erano riusciti ad accumulare 3269 download, di cui “pycryptoconf” era il più popolare (1351 download) .

Shusei Tomonaga, ricercatore presso il centro di coordinamento giapponese JPCERT, ha notato che i nomi dei pacchetti “pycryptoenv” e “pycryptoconf” sono simili a “pycrypto”, un popolare pacchetto Python per la crittografia, indicando un attacco mirato di typo squatting agli sviluppatori .

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Questa scoperta segue la recente scoperta di diversi pacchetti dannosi nel registro npm da parte della società di ricerca Phylum. Questi pacchetti erano rivolti agli sviluppatori che cercavano attivamente lavoro. Ciò che entrambe le campagne hanno in comune è l’uso di codice dannoso nascosto in uno script di test, che in realtà è solo una copertura per un file DLL crittografato XOR.

Questo file crea altri due file DLL chiamati “IconCache.db” e “NTUSER.DAT”, che vengono poi utilizzati per scaricare ed eseguire il malware Comebacker, che consente la comunicazione con il server di comando e controllo per eseguire il file eseguibile di Windows.

Secondo JPCERT, i pacchetti scoperti fanno parte di una campagna descritta per la prima volta da Phylum nel novembre 2023 che utilizzava moduli npm a tema criptovaluta per distribuire malware Comebacker.

Shusei Tomonaga avverte che tali attacchi mirano a distrarre l’utente e portare al download di malware. Gli sviluppatori dovrebbero prestare attenzione quando installano pacchetti da repository e altri software per evitare download indesiderati di software dannoso.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli