Trois autres packages Python malveillants ont été découverts dans le référentiel Package Index (PyPI) dans le cadre d’une campagne en cours sur la chaîne d’approvisionnement de logiciels malveillants appelée VMConnectavec des signes indiquant l’implication d’acteurs menaçants parrainés par l’État nord-coréen.
Les résultats proviennent de ReversingLabs, qui a détecté les packages tablediter, request-plus et requestpro.
Divulgué pour la première fois au début du mois par la société et Sonatype, VMConnect fait référence à une collection de packages Python qui imitent les outils Python open source populaires pour télécharger un malware inconnu de deuxième étape.
La dernière tranche n’est pas différente, ReversingLabs notant que les mauvais acteurs déguisent leurs packages et les font paraître dignes de confiance en utilisant des techniques de typosquatting pour usurper l’identité de jolies tables et requêtes et confondre les développeurs.
Le code néfaste de tablediter est conçu pour s’exécuter dans une boucle d’exécution sans fin dans laquelle un serveur distant est interrogé périodiquement pour récupérer et exécuter une charge utile codée en Base64. La nature exacte de la charge utile est actuellement inconnue.
L’un des principaux changements introduits dans tablediter est le fait qu’il ne déclenche plus le code malveillant immédiatement lors de l’installation du package afin d’échapper à la détection par les logiciels de sécurité.
« En attendant que le package désigné soit importé et que ses fonctions soient appelées par l’application compromise, ils évitent une forme de détection courante basée sur le comportement et placent la barre plus haut pour les défenseurs potentiels », a déclaré le chercheur en sécurité Karlo Zanki.
Les deux autres packages, request-plus et requestpro, offrent la possibilité de collecter des informations sur la machine infectée et de les transmettre à un serveur de commande et de contrôle (C2).
Suite à cette étape, le serveur répond avec un jeton, que l’hôte infecté renvoie à une URL différente sur le même serveur C2, recevant finalement en retour un module Python à double encodage et une URL de téléchargement.
On soupçonne que le module décodé télécharge l’étape suivante du malware à partir de l’URL fournie.
Un réseau complexe de connexions menant à la Corée du Nord
L’utilisation d’une approche basée sur des jetons pour passer inaperçu reflète une campagne NPM divulguée par Phylum en juin et qui a depuis été associée à des acteurs nord-coréens. GitHub, propriété de Microsoft, a attribué les attaques à un acteur menaçant qu’il appelle Jade Sleet, également connu sous le nom de TraderTraitor ou UNC4899.
TraderTraitor est l’une des principales cyber-armes de la Corée du Nord dans ses programmes de piratage à des fins lucratives, et a une longue et fructueuse histoire de ciblage des sociétés de crypto-monnaie et d’autres secteurs à des fins de gain financier.
Les connexions potentielles soulèvent la possibilité qu’il s’agisse d’une tactique courante adoptée par les adversaires pour diffuser sélectivement un malware de deuxième étape en fonction de certains critères de filtrage.
Les liens avec la Corée du Nord sont également corroborés par le fait que des chevauchements d’infrastructures ont été découverts entre la campagne d’ingénierie npm et le piratage JumpCloud de juin 2023.
De plus, ReversingLabs a déclaré avoir trouvé un package Python nommé py_QRcode qui contient des fonctionnalités malveillantes très similaires à celles trouvées dans le package VMConnect.
Il se trouve que py_QRcode aurait été utilisé comme point de départ d’une chaîne d’attaque distincte ciblant les développeurs d’entreprises d’échange de crypto-monnaie fin mai 2023. JPCERT/CC, le mois dernier, l’a attribué à une autre activité nord-coréenne nommée SnatchCrypto (alias CryptoMimic ou DangerousPassword).
« Ce malware Python fonctionne dans les environnements Windows, macOS et Linux, et il vérifie les informations du système d’exploitation et modifie le flux d’infection en fonction de celles-ci », a déclaré l’agence, décrivant l’acteur comme unique pour cibler l’environnement des développeurs avec une variété de plates-formes.
Un autre aspect notable est que les attaques contre les systèmes macOS ont abouti au déploiement de JokerSpy, une nouvelle porte dérobée apparue pour la première fois en juin 2023.
Ce n’est pas tout. En juin 2023, la société de cybersécurité SentinelOne a détaillé un autre logiciel malveillant baptisé QRLog, doté de fonctionnalités identiques à celles de py_QRcode et faisant référence au domaine www.git-hub.[.]moi, ce qui a également été observé en relation avec une infection JokerSpy.
« Les intrusions de JokerSpy révèlent un acteur menaçant capable d’écrire des logiciels malveillants fonctionnels dans plusieurs langages différents – Python, Java et Swift – et de cibler plusieurs plates-formes de systèmes d’exploitation », notait à l’époque le chercheur en sécurité Phil Stokes.
Le chercheur en cybersécurité Mauro Eldritch, qui a détecté le logiciel malveillant QRLog pour la première fois, a déclaré qu’il existe des preuves suggérant que l’application génératrice de codes QR piégés est l’œuvre d’un adversaire connu sous le nom de Labyrinth Chollima, qui est un sous-groupe au sein du tristement célèbre groupe Lazarus.
« Il ne s’agit que d’une autre attaque malveillante ciblant les utilisateurs du référentiel PyPI », a déclaré Zanki, ajoutant que « les acteurs de la menace continuent d’utiliser le référentiel Python Package Index (PyPI) comme point de distribution de leurs logiciels malveillants ».
