Peretas Korea Utara Menyebarkan Paket Python Berbahaya Baru di Repositori PyPI
Tiga paket Python jahat tambahan telah ditemukan di repositori Package Index (PyPI) sebagai bagian dari kampanye rantai pasokan perangkat lunak berbahaya yang sedang berlangsung yang disebut VMConnectdengan tanda-tanda yang menunjukkan keterlibatan aktor-aktor ancaman yang disponsori negara Korea Utara.
Temuan ini berasal dari ReversingLabs, yang mendeteksi paket tablediter, request-plus, dan requestpro.
Pertama kali diungkapkan pada awal bulan oleh perusahaan dan Sonatype, VMConnect mengacu pada kumpulan paket Python yang meniru alat Python open-source populer untuk mengunduh malware tahap kedua yang tidak diketahui.
Tahap terbaru juga demikian, dengan ReversingLabs mencatat bahwa pelaku jahat menyamarkan paket mereka dan membuatnya tampak dapat dipercaya dengan menggunakan teknik kesalahan ketik untuk meniru permintaan dan permintaan yang cantik dan membingungkan pengembang.
Kode jahat dalam tablediter dirancang untuk berjalan dalam loop eksekusi tanpa akhir di mana server jarak jauh disurvei secara berkala untuk mengambil dan mengeksekusi payload yang dikodekan Base64. Sifat pasti dari muatan tersebut saat ini tidak diketahui.
Salah satu perubahan utama yang diperkenalkan pada tablediter adalah kenyataan bahwa ia tidak lagi memicu kode berbahaya segera setelah instalasi paket untuk menghindari deteksi oleh perangkat lunak keamanan.
“Dengan menunggu sampai paket yang ditunjuk diimpor dan fungsinya dipanggil oleh aplikasi yang disusupi, mereka menghindari satu bentuk deteksi berbasis perilaku yang umum dan meningkatkan standar bagi calon pembela HAM,” kata peneliti keamanan Karlo Zanki.
Dua paket lainnya, request-plus dan requestpro, mengemas kemampuan untuk mengumpulkan informasi tentang mesin yang terinfeksi dan mengirimkannya ke server perintah-dan-kontrol (C2).
Setelah langkah ini, server merespons kembali dengan token, yang dikirim kembali oleh host yang terinfeksi ke URL berbeda di server C2 yang sama, yang pada akhirnya menerima modul Python berkode ganda dan URL unduhan sebagai imbalannya.
Diduga modul yang didekodekan mengunduh malware tahap berikutnya dari URL yang disediakan.
Jaringan Koneksi yang Kompleks Menuju Korea Utara
Penggunaan pendekatan berbasis token untuk tidak terdeteksi radar mencerminkan kampanye npm yang diungkapkan oleh Phylum pada bulan Juni, dan sejak itu telah dikaitkan dengan aktor Korea Utara. GitHub milik Microsoft mengaitkan serangan tersebut dengan aktor ancaman yang disebut Jade Sleet, yang juga dikenal sebagai TraderTraitor atau UNC4899.
TraderTraitor adalah salah satu senjata siber terkemuka di Korea Utara dalam skema peretasan untuk mendapatkan keuntungan, dan memiliki sejarah panjang dan sukses dalam menargetkan perusahaan mata uang kripto dan sektor lainnya untuk mendapatkan keuntungan finansial.
Potensi koneksi ini meningkatkan kemungkinan bahwa ini adalah taktik umum yang diadopsi musuh untuk secara selektif mengirimkan malware tahap kedua berdasarkan kriteria penyaringan tertentu.
“Pendekatan berbasis token memiliki kesamaan […] dalam kedua kasus tersebut dan sejauh yang kami tahu belum digunakan oleh pelaku lain dalam malware yang dihosting di repositori paket publik,” kata Zanki kepada The Hacker News dalam pernyataan email.
Kaitannya dengan Korea Utara juga dikuatkan oleh fakta bahwa ditemukan tumpang tindih infrastruktur antara kampanye rekayasa sosial npm dan peretasan JumpCloud pada Juni 2023.
Terlebih lagi, ReversingLabs mengatakan mereka menemukan paket Python bernama py_QRcode yang berisi fungsi berbahaya yang sangat mirip dengan yang ditemukan di paket VMConnect.
py_QRcode, kebetulan, dikatakan telah digunakan sebagai titik awal dari rantai serangan terpisah yang menargetkan pengembang bisnis pertukaran mata uang kripto pada akhir Mei 2023. JPCERT/CC, bulan lalu, mengaitkannya dengan aktivitas Korea Utara lainnya dengan nama sandi SnatchCrypto (alias CryptoMimic atau Kata Sandi Berbahaya).
“Malware Python ini berjalan di lingkungan Windows, macOS, dan Linux, dan ia memeriksa informasi OS dan mengubah aliran infeksi tergantung padanya,” kata agensi tersebut, menggambarkan aktor tersebut sebagai aktor unik yang menargetkan lingkungan pengembang dengan berbagai platform.
Aspek penting lainnya adalah serangan terhadap sistem macOS yang mencapai puncaknya dengan penerapan JokerSpy, sebuah pintu belakang baru yang pertama kali terungkap pada Juni 2023.
Bukan itu saja. Pada bulan Juni 2023, perusahaan keamanan siber SentinelOne merinci malware ketiga yang dijuluki QRLog yang hadir dengan fungsi yang sama dengan py_QRcode dan merujuk pada domain www.git-hub[.]saya, yang juga terlihat berhubungan dengan infeksi JokerSpy.
“Intrusi JokerSpy mengungkap aktor ancaman dengan kemampuan untuk menulis malware fungsional dalam beberapa bahasa berbeda – Python, Java, dan Swift – dan menargetkan beberapa platform sistem operasi,” peneliti keamanan Phil Stokes mencatat pada saat itu.
Peneliti keamanan siber Mauro Eldritch, yang pertama kali mendeteksi malware QRLog, mengatakan ada bukti yang menunjukkan bahwa aplikasi pembuat kode QR jebakan adalah karya musuh yang dikenal sebagai Labyrinth Chollima, yang merupakan sub-cluster dalam Grup Lazarus yang terkenal.
“Ini hanyalah salah satu rangkaian serangan berbahaya yang menargetkan pengguna repositori PyPI,” kata Zanki, seraya menambahkan “pelaku ancaman terus menggunakan repositori Python Package Index (PyPI) sebagai titik distribusi malware mereka.”
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
