Հյուսիսային Կորեայի հովանու ներքո գործող Lazarus խումբը չորս նոր փաթեթ է վերբեռնել Python Package Index (PyPI) պահոցում։ Նպատակը մեկն է՝ ներքին համակարգերի աշխատանքի խաթարումը malware ծրագրերով:
Փաթեթները, որոնք այժմ հեռացվել են, հետևյալն էին՝ pycryptoenv, pycryptoconf, quasarlib և swapmempool–ը։ Դրանք միասին ներբեռնվել են 3269 անգամ, ընդ որում pycryptoconf-ն ունեցել է ամենաշատ ներբեռնումները՝ թվով 1351 ներբեռնում։
Բացահայտումը տեղի ունեցավ այն ժամանակ, երբ Phylum-ը npm գրանցամատյանում մի քանի կասկածելի փաթեթներ բացահայտեց, որոնք օգտագործվել էին ծրագրավորոցների կողմից։
Հարձակման հաջորդականության տրամաբանությամբ այնուհետև օգտագործվել է NTUSER.DAT–ը՝ IconCache.db-ը բեռնելու և գործարկելու համար։ Comebacker malware-ը պատասխանատու է command-and-control (C2) server–ի հետ կապ հաստատելու համար։
JPCERT/CC-ի փոխանցմամբ փաթեթները հարձակման արշավի շարունակությունն են միայն։ Phylum-ն առաջին անգամ մանրամասներ ներկայացրեց 2023 թվականին՝ այն որպես կրիպտո npm մոդուլներ օգտագործելու նպատակով։
«Հաքերները կարող են թիրախավորել օգտատերերի տառասխալները, որպեսզի հաջողությամբ malware-ներ տեղադրեն», – նշում է Թոմոնագան:
«Երբ օգտատերերը նոր ծրագրեր են բեռնում, պետք է շատ ուշադիր լինեն, որպեսզի խուսափեն անցանկալի փաթեթների համատեղ տեղադրումից»:
Աղբյուրը՝ https://thehackernews.com/
