Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Typosquatting agli sviluppatori: Lazarus Group diffonde malware attraverso pacchetti Python

Redazione RHC : 1 Marzo 2024 11:27

Il gruppo di hacker nordcoreano Lazarus, sostenuto dallo stato, ha rilasciato quattro pacchetti dannosi nel repository Python Package Index (PyPI) con l’obiettivo di infettare i sistemi degli sviluppatori con software dannoso.

I pacchetti specificati – “pycryptoenv”, “pycryptoconf”, “quasarlib” e “swapmempool” – erano già stati rimossi dalla piattaforma, ma prima erano riusciti ad accumulare 3269 download, di cui “pycryptoconf” era il più popolare (1351 download) .

Shusei Tomonaga, ricercatore presso il centro di coordinamento giapponese JPCERT, ha notato che i nomi dei pacchetti “pycryptoenv” e “pycryptoconf” sono simili a “pycrypto”, un popolare pacchetto Python per la crittografia, indicando un attacco mirato di typo squatting agli sviluppatori .


Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un paccheto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.

Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Questa scoperta segue la recente scoperta di diversi pacchetti dannosi nel registro npm da parte della società di ricerca Phylum. Questi pacchetti erano rivolti agli sviluppatori che cercavano attivamente lavoro. Ciò che entrambe le campagne hanno in comune è l’uso di codice dannoso nascosto in uno script di test, che in realtà è solo una copertura per un file DLL crittografato XOR.

Questo file crea altri due file DLL chiamati “IconCache.db” e “NTUSER.DAT”, che vengono poi utilizzati per scaricare ed eseguire il malware Comebacker, che consente la comunicazione con il server di comando e controllo per eseguire il file eseguibile di Windows.

Schema generale di attacco

Secondo JPCERT, i pacchetti scoperti fanno parte di una campagna descritta per la prima volta da Phylum nel novembre 2023 che utilizzava moduli npm a tema criptovaluta per distribuire malware Comebacker.

Shusei Tomonaga avverte che tali attacchi mirano a distrarre l’utente e portare al download di malware. Gli sviluppatori dovrebbero prestare attenzione quando installano pacchetti da repository e altri software per evitare download indesiderati di software dannoso.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Gli hacker criminali di The Gentlemen pubblicano la prima vittima italiana
Di Redazione RHC - 10/09/2025

Nella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) il primo attacco ad una azienda italiana. Disclaimer: Questo rapporto include s...

10 su 10! SAP rilascia patch di sicurezza per vulnerabilità critiche in Netweaver
Di Redazione RHC - 10/09/2025

SAP ha reso disponibili degli aggiornamenti per la sicurezza Martedì, con l’obiettivo di risolvere varie vulnerabilità. Tra queste vulnerabilità, ve ne sono tre particolarmente critiche che si ve...

Verso L’Uroboro! Il CEO di OpenAI avverte: i social sono pieni di contenuti dei bot AI
Di Redazione RHC - 10/09/2025

Ci stiamo avviando a passi da gigante vero l’uroboro, ovvero il serpente che mangia la sua stessa coda. Ne avevamo parlato qualche settimana fa che il traffico umano su internet è in calo vertigino...

Preludio alla compromissione: è boom sulle scansioni mirate contro Cisco ASA
Di Redazione RHC - 10/09/2025

A fine agosto, GreyNoise ha registrato un forte aumento dell’attività di scansione mirata ai dispositivi Cisco ASA. Gli esperti avvertono che tali ondate spesso precedono la scoperta di nuove vulne...

In Nepal si muore per i Social Network! In 19 hanno perso la vita per riavere Facebook
Di Redazione RHC - 09/09/2025

Con una drammatica inversione di tendenza, il Nepal ha revocato il blackout nazionale sui social media imposto la scorsa settimana dopo che aveva scatenato massicce proteste giovanili e causato almeno...