El grupo de hackers Lazarus, respaldado por el estado norcoreano, intenta infectar los sistemas de desarrolladores a través del repositorio de Python Package Index (PyPI). Según ha revelado el investigador de JPCERT / CC, Shusei Tomonaga, los paquetes maliciosos PyCryptoEnv y PyCryptoConf, similares a PyCrypto, han sido eliminados después de ser descargados más de 3.269 veces. La estrategia de Lazarus es aprovechar los errores de los usuarios al instalar paquetes de Python.
Recientemente, Phylum ha descubierto un caso similar con registros falsos en npm, la plataforma de software de código abierto. Los ataques presentan la misma técnica de ocultar el código malicioso dentro del script de prueba. En el caso actual, el archivo de prueba actúa como una pantalla de humo para esconder archivos DLL codificados con XOR, que desencadenan el malware Comebacker para establecer conexiones con un servidor de comando y control (C2).
Esta estrategia es parte de una campaña más amplia que aprovecha módulos con temas criptográficos para enviar archivos maliciosos. El cuidado al instalar paquetes y software es crucial para evitar descargas no deseadas de malware. Los usuarios deben tener precaución y comprobar la fuente y el nombre de cualquier archivo que descarguen.
Vía The Hacker News
