L’Équipe japonaise de réponse aux incidents de sécurité informatique (JPCERT/CC) avertit que le célèbre groupe de piratage nord-coréen Lazarus a téléchargé quatre packages PyPI malveillants pour infecter les développeurs avec des logiciels malveillants.

PyPI (Python Package Index) est un référentiel de progiciels open source que les développeurs de logiciels peuvent utiliser dans leurs projets Python pour ajouter des fonctionnalités supplémentaires à leurs programmes avec un minimum d’effort.

L’absence de contrôles stricts sur la plate-forme permet aux acteurs de la menace de télécharger des packages malveillants tels que des logiciels malveillants de vol d’informations et des portes dérobées qui infectent les ordinateurs des développeurs avec des logiciels malveillants lorsqu’ils sont ajoutés à leurs projets.

Ce malware permet au groupe de piratage d’accéder au réseau du développeur, où il effectue une fraude financière ou compromet des projets logiciels pour mener des attaques sur la chaîne d’approvisionnement.

Lazarus avait déjà utilisé PyPI pour distribuer des logiciels malveillants en août 2023, lorsque les pirates parrainés par l’État nord-coréen ont soumis des packages camouflés en module de connecteur VMware vSphere.

Les nouveaux paquets PyPI de Lazarus
Aujourd’hui, JPCERT/CC avertit que Lazarus a de nouveau téléchargé des paquets sur PyPI qui installeront le chargeur de logiciels malveillants « Comebacker ».

Les quatre nouveaux paquets que JPCERT / CC attribue à Lazarus sont:

  • pycryptoenv – 743 téléchargements
  • pycryptoconf – 1344 téléchargements
  • quasarlib – 778 téléchargements
  • swapmempool – 392 téléchargements

Les noms des deux premiers paquets créent un faux lien vers le projet légitime « pycrypto » (Python Cryptography Toolkit), une collection de fonctions de hachage sécurisées et divers algorithmes de chiffrement téléchargés 9 millions de fois par mois.

Aucun des quatre paquets n’est actuellement disponible sur PyPI, car ils ont été supprimés du référentiel pas plus tard qu’hier.

Cependant, la plateforme de suivi des statistiques de téléchargement Pepi a signalé un nombre total d’installations de 3 252, de sorte que des milliers de systèmes ont été compromis par le logiciel malveillant Lazarus.

Les paquets malveillants partagent une structure de fichiers similaire, contenant un ‘test.py’ fichier qui n’est pas vraiment un script Python mais un fichier DLL codé en XOR exécuté par le ‘init.py ‘ fichier, qui est également inclus dans le package.

Décodage et exécution test.py

L’exécution de test.py déclenche le décodage et la création de fichiers DLL supplémentaires qui apparaissent faussement comme des fichiers de base de données, comme illustré dans le diagramme suivant.

Chaîne d’exécution

L’agence japonaise de cybersécurité affirme que la charge utile finale (IconCache.db), exécuté en mémoire, est un malware connu sous le nom de « Comebacker », identifié pour la première fois par les analystes de Google en janvier 2021, qui ont signalé qu’il était utilisé contre des chercheurs en sécurité.

Le logiciel malveillant Comebacker se connecte au serveur de commande et de contrôle (C2) de l’attaquant, envoie une requête HTTP POST avec des chaînes codées et attend que d’autres logiciels malveillants Windows soient chargés en mémoire.

Sur la base de divers indicateurs, JPCERT/CC indique que cette dernière attaque est une autre vague du même Phylum de campagne signalé en novembre 2023 impliquant cinq packages npm sur le thème de la cryptographie.

Lazarus a une longue histoire de violation des réseaux d’entreprise pour mener des fraudes financières, généralement pour voler des crypto-monnaies.

Les attaques précédentes attribuées à Lazarus incluent le vol d’Ethereum d’une valeur de 620 millions de dollars sur le pont du réseau Ronin d’Axie Infinity et d’autres vols de crypto sur Harmony Horizon, Alphapo, CoinsPaid et Atomic Wallet.

En juillet, GitHub a averti que Lazarus ciblait les développeurs des sociétés de blockchain, de crypto-monnaie, de jeux d’argent en ligne et de cybersécurité utilisant des référentiels malveillants.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *