
CISA και MS-ISAC προειδοποιούν για κυβερνοεπίθεση σε κρατικό οργανισμό
21 Φεβρουαρίου, 2024
Συμμορία Lazarus: Κυβερνοεπιθέσεις με επιχείρηση κατασκοπείας
23 Φεβρουαρίου, 2024Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν δύο κακόβουλα packages Python με τα ονόματα NP6HelperHttptest και NP6HelperHttper στο Python Package Index (PyPI).

Αυτά τα packages, τα οποία ελήφθηκαν 537 και 166 φορές αντίστοιχα, χρησιμοποιούσαν πλευρική φόρτωση DLL για να αποφύγουν λογισμικό ασφαλείας και να εκτελέσουν κακόβουλο κώδικα. Παρίσταναν νόμιμα εργαλεία που σχετίζονται με τη λύση αυτοματισμού μάρκετινγκ NP6 της ChapsVision. Ο στόχος ήταν να εξαπατηθούν οι προγραμματιστές, ώστε να κατεβάσουν αυτά αντί των αυθεντικών NP6HelperHttp και NP6HelperConfig. Τα κακόβουλα packages περιείχαν ένα σενάριο setup.py που περιείχε δύο αρχεία: ένα ευπαθές εκτελέσιμο αρχείο από την Kingsoft Corporation και ένα κακόβουλο DLL (dgdeskband64.dll) για πλευρική φόρτωση. Το DLL επικοινωνούσε με τον τομέα που ελεγχόταν από τον χάκερ για να αποκτήσει ένα αρχείο GIF, το οποίο στην πραγματικότητα ήταν shellcode Cobalt Strike Beacon, που επέτρεπε την απομακρυσμένη πρόσβαση. Αυτά τα packages πιστεύεται ότι αποτελούν μέρος μιας ευρύτερης καμπάνιας που εκμεταλλεύεται αρχεία που είναι επιρρεπή σε πλευρική φόρτωση DLL..

Ειδικοί σε θέματα ασφάλειας επισήμαναν τη σπουδαιότητα για τους οργανισμούς να αντιλαμβάνονται τις απειλές που υφίστανται η ασφάλεια της εφοδιαστικής αλυσίδας. Ακόμη κι αν δεν χρησιμοποιούν απευθείας ανοιχτού κώδικα αποθετήρια, οι χάκερς ενδέχεται να εκμεταλλευτούν τυχόν ευκαιρίες που προκύπτουν για να μιμηθούν νόμιμες εταιρείες και εργαλεία.