Des pirates informatiques parrainés par l’État nord-coréen sont à l’origine de la campagne VMConnect qui a téléchargé dans le référentiel PyPI (Python Package Index) des packages malveillants, l’un d’eux imitant le module de connecteur VMware vSphere vConnector.
Les packages ont été mis en ligne début août, l’un d’eux nommé VMConnect ciblant les professionnels de l’informatique à la recherche d’outils de virtualisation.
Au moment de sa suppression de la plateforme PyPI, VMConnect comptait 237 téléchargements. Deux autres packages contenant le même code, publiés sous les noms « ether » et « quantiumbase » et se faisant également passer pour des projets logiciels populaires, ont été téléchargés respectivement 253 et 216 fois.
Un rapport publié aujourd’hui par ReversingLabs, une société de sécurité de la chaîne d’approvisionnement en logiciels, attribue la campagne à Labyrinth Chollima, un sous-groupe de pirates informatiques nord-coréens Lazarus.
Les chercheurs ont découvert davantage de packages faisant partie de la même opération VMConnect, à savoir « tablediter » (736 téléchargements), « request-plus » (43 téléchargements) et « requestspro » (341 téléchargements).
Le premier du trio de packages récemment découverts semble être une tentative de se faire passer pour un outil d’aide à l’édition de tables, tandis que les deux autres usurpent l’identité de la bibliothèque Python « requêtes » populaire utilisée pour effectuer des requêtes HTTP.
En ajoutant les suffixes « plus » et « pro » au nom, les pirates informatiques font ressembler les entrées à des versions du package standard et légitime avec des fonctionnalités supplémentaires.
Les packages malveillants présentent la même description que les originaux et contiennent des différences minimes en matière de structure de fichier et de contenu, les modifications concernant principalement le fichier « init.py », qui exécute une fonction malveillante à partir de « cookies.py » qui déclenche la collecte de données à partir du fichier « init.py ». machine infectée.
Les informations sont transmises aux serveurs de commande et de contrôle (C2) de l’attaquant via une requête HTTP POST.
Le serveur répond avec un module Python obscurci à l’aide de Base64 et XOR et avec des paramètres d’exécution. Le module inclut également l’URL de téléchargement de la charge utile de l’étape suivante, que les chercheurs n’ont pas pu récupérer.
« Comme ce fut le cas lors de la précédente itération de la campagne VMConnect, le serveur C2 associé à la campagne ne fournissait pas de commandes supplémentaires par défaut mais attendait plutôt une cible appropriée, ce qui rendait difficile l’évaluation de l’ampleur complète de la campagne. » – Laboratoires d’inversion
Confiance d’attribution
Bien qu’ils n’aient pas analysé la charge utile finale, les chercheurs de ReversingLabs affirment avoir collecté suffisamment de preuves pour relier la campagne VMConnect au tristement célèbre groupe nord-coréen Lazarus APT.
Un argument est la découverte du fichier « builder.py » dans les packages malveillants, qui contient la même routine de décodage de charge utile que JPCERT, l’équipe japonaise de réponse aux incidents de sécurité informatique (CSIRT) a trouvée sur un autre fichier appelé « py_Qrcode ».
JPCERT a attribué le code à un autre sous-groupe de Lazarus qu’il suit sous le nom de DangerousPassword.
La fonctionnalité de ce fichier est identique à un troisième nommé « QRLog » – un malware basé sur Java que Crowdstrike a attribué avec une grande confiance à Labyrinth Chollima.