Hackers patrocinados pelo governo norte-coreano estão por trás da campanha VMConnect que descarregou programas maliciosos no repositório PyPI (Python Package Index), um deles imitando o módulo de conector VMware vSphere vConnector, de acordo com um relatório publicado pela ReversingLabs. Os pacotes foram carregados no início de agosto, com um chamado VMConnect voltado para profissionais de TI que buscam ferramentas de virtualização, segundo a empresa de segurança da cadeia de suprimentos de software.
A ReversingLabs atribui a campanha ao Labyrinth Chollima, um subgrupo de hackers norte-coreanos do grupo Lazarus. Ela diz que, no momento em que foi retirado da plataforma PyPI, o VMConnect contabilizou 237 downloads. Mais dois pacotes com o mesmo código, publicados com os nomes “ethter” e “quantiumbase” e também representando projetos de software populares, foram baixados 253 e 216 vezes, respectivamente.
Os pesquisadores de segurança da empresa descobriram mais pacotes que fazem parte da mesma operação VMConnect, nomeadamente “tablediter” (736 downloads), “request-plus” (43 downloads) e “requestspro” (341 downloads).
O primeiro do trio de pacotes recém-descobertos parece ser uma tentativa de se passar por uma ferramenta que ajuda na edição de tabelas, enquanto os outros dois personificam a popular biblioteca Python de solicitações usada para fazer solicitações HTTP. Ao anexar os sufixos “plus” e “pro” ao nome, os hackers fazem com que as entradas pareçam versões do pacote legítimo padrão com recursos adicionais.
Veja isso
Lazarus invade ManageEngine para hackear provedor de internet
Grupo Lazarus viola servidores IIS para espalhar malware
Os pacotes maliciosos apresentam a mesma descrição dos originais e contêm diferenças mínimas de estrutura e conteúdo de arquivos, com as modificações principalmente relacionadas ao arquivo “__init__.py”, que executa uma função maliciosa do “cookies.py” que aciona a coleta de dados do máquina infectada.
As informações são entregues aos servidores de comando e controle (C&C) do invasor por meio de uma solicitação POST HTTP.
O servidor responde com um módulo Python ofuscado usando Base64 e XOR e com parâmetros de execução. O módulo também inclui o URL de download para a carga útil do próximo estágio, que os pesquisadores não conseguiram recuperar.
“Como foi o caso na iteração anterior da campanha VMConnect, o servidor C&C associado à campanha não forneceu comandos adicionais por padrão, mas esperou por um alvo adequado, dificultando a avaliação de todo o escopo da campanha”, diz a ReversingLabs.Embora não tenham analisado a carga final, os pesquisadores do ReversingLabs dizem que coletaram evidências suficientes para vincular a campanha VMConnect ao grupo norte-coreano Lazarus APT. Com informações da ReversingLabs.