Η Lazarus Group χτύπησε την Ιαπωνία

Ιάπωνες αξιωματούχοι κυβερνοασφάλειας προειδοποίησαν ότι η διαβόητη ομάδα χάκερ Lazarus Group της Βόρειας Κορέας πραγματοποίησε πρόσφατα επίθεση στην αλυσίδα εφοδιασμού με στόχο το αποθετήριο λογισμικού PyPI για εφαρμογές Python.

Οι δράστες της απειλής ανέβασαν μολυσμένα πακέτα με ονόματα όπως “pycryptoenv” και “pycryptoconf” – παρόμοια στο όνομα με τη νόμιμη εργαλειοθήκη κρυπτογράφησης “pycrypto” για την Python. Όσοι προγραμματιστές ξεγελιούνται και κατεβάζουν τα κακόβουλα πακέτα στα μηχανήματά τους με Windows μολύνονται με ένα επικίνδυνο Trojan γνωστό ως “Comebacker”.

«Τα κακόβουλα πακέτα που προσομοίαζαν σε αρχεία της Python επιβεβαιώθηκαν πως έχουν μεταφορτωθεί περίπου 300 έως 1.200 φορές», ανέφερε η Japan CERT σε ανακοίνωσή της  που εκδόθηκε στα τέλη του περασμένου μήνα. «Οι επιτιθέμενοι μπορεί να στοχεύουν σε τυπογραφικά λάθη των χρηστών για να κατεβάσουν το κακόβουλο λογισμικό». Ο ανώτερος διευθυντής και αναλυτής της Gartner, Dale Gardner, περιγράφει το Comebacker ως ένα trojan γενικού σκοπού που χρησιμοποιείται για την απόρριψη ransomware, την κλοπή διαπιστευτηρίων και τη διείσδυση στον αγωγό ανάπτυξης.

Το Comebacker έχει αναπτυχθεί σε άλλες κυβερνοεπιθέσεις που συνδέονται με τη Βόρεια Κορέα, συμπεριλαμβανομένης μιας επίθεσης σε ένα αποθετήριο ανάπτυξης λογισμικού npm.

«Αυτοί οι τύποι επιθέσεων αυξάνονται ραγδαία – η έκθεση Sonatype 2023 για τον ανοιχτό κώδικα αποκάλυψε ότι 245.000 τέτοια πακέτα ανακαλύφθηκαν το 2023, δηλαδή διπλάσια από τον αριθμό των πακέτων που ανακαλύφθηκαν, συνδυαστικά, από το 2019», λέει ο Gardner. «Αυτή η επίθεση δεν είναι κάτι που θα επηρέαζε μόνο τους προγραμματιστές στην Ιαπωνία και τις κοντινές περιοχές», επισημαίνει ο Gardner. «Είναι κάτι για το οποίο οι προγραμματιστές παντού και πάντα θα πρέπει να είναι σε επιφυλακή».