Kuzey Kore devlet destekli hackerlar, PyPI (Python Package Index) deposuna kötü amaçlı paketler yükleyen VMConnect kampanyasının arkasındadır. Bu paketlerden biri, VMware vSphere bağlayıcı modülü vConnector’ı taklit edenlerden biridir.
Paketler Ağustos ayının başında yüklendi ve bunlardan biri olan VMConnect, sanallaştırma araçları arayan IT profesyonellerini hedef aldı.
PyPI platformundan kaldırıldığı sırada VMConnect’in 237 indirilmesi oldu. ‘ethter’ ve ‘quantiumbase’ adlarıyla yayınlanan aynı kodu içeren iki paket daha, popüler yazılım projelerini taklit ederek sırasıyla 253 ve 216 kez indirildi.
Yazılım tedarik zinciri güvenliği şirketi ReversingLabs’ten gelen bir rapora göre, kampanyayı Kuzey Kore Lazarus hackerlarının bir alt grubu olan Labyrinth Chollima’ya atfetmektedir.
Araştırmacılar, aynı VMConnect operasyonunun bir parçası olan daha fazla paket keşfettiler, bunlar ‘tablediter’ (736 indirme), ‘request-plus’ (43 indirme) ve ‘requestspro’ (341 indirme) olarak adlandırıldı.
Yeni keşfedilen üçlünün ilki, tabloları düzenlemeye yardımcı olan bir araç olarak görünmeye çalışıyor gibi görünüyor, diğer ikisi HTTP istekleri yapmak için kullanılan popüler ‘requests’ Python kütüphanesini taklit ediyor.
Hackerlar, ismin sonuna “plus” ve “pro” ekleri ekleyerek girişleri, standart, meşru bir paketin ek yetenekleri olan sürümleri gibi görünmesini sağlıyor.
Kötü amaçlı paketler, orijinalleriyle aynı açıklamayı içeriyor ve minimal dosya yapısı ve içerik farklılıkları içeriyor; değişiklikler öncelikle ‘cookies.py’ dosyasından kötü amaçlı bir işlevi çalıştıran “init.py” dosyasını etkiliyor.
Bilgi, saldırganın komuta ve kontrol (C2) sunucularına bir POST HTTP isteği aracılığıyla iletilir.
Sunucu, Base64 ve XOR kullanılarak şifrelenen bir Python modülü ile yanıt verir ve yürütme parametreleri içerir. Modül ayrıca araştırmacıların alamadığı sonraki aşama yükü için indirme URL’sini içerir.
“VMConnect kampanyasının önceki sürümünde olduğu gibi, kampanyayla ilişkilendirilen C2 sunucusu varsayılan olarak ek komutlar sağlamadı, ancak uygun bir hedefi bekledi; bu durum kampanyanın tam kapsamını değerlendirmeyi zorlaştırdı.” – ReversingLabs
Atfetme güveni
ReversingLabs araştırmacıları, son aşama yükünü analiz etmemiş olsalar da, VMConnect kampanyasını ünlü Kuzey Kore Lazarus APT grubuna bağlayacak yeterli kanıt topladıklarını söylüyorlar.
Bunun bir argümanı, kötü amaçlı paketlerde bulunan ‘builder.py’ dosyasının, Japonya Bilgisayar Güvenlik Olay Yanıt Ekibi (CSIRT) olan JPCERT’in ‘py_Qrcode’ adlı başka bir dosyada bulduğu payload çözme rutini ile aynı olmasıdır.
JPCERT, bu kodu izledikleri başka bir Lazarus alt grubuna, DangerousPassword olarak adlandırılan gruba atfetmiştir.
Bu dosyanın işlevselliği, üçüncü bir dosya olan ‘QRLog’ ile aynıdır – Java tabanlı bir kötü amaçlı yazılım ki bu dosya Crowdstrike tarafından Labyrinth Chollima’ya yüksek güvenlikle atfedilmiştir.
kaynak: BleepingComputer