北韩骇客集团再现：新的Python恶意套件曝光

文章要点

随著最新发现的三个恶意Python套件被上传至Python套件索引PyPI，目前已被认为与VMConnect活动有关，并且与北韩的Lazarus集团相连结。VMConnect是IT团队用来连接虚拟机、安装或与客户作业系统互动的流行工具。鉴于VMware在全球拥有超过50万个客户，这可能对企业运营造成相当大的影响。

ReversingLabs的研究负责人Karlo Zanki表示，该团队在最新的VMConnect活动中收集到的样本，其恶意功能透过builderpy档案与一个之前发现且有文献记录的恶意套件pyQRcode几乎相同，而后者并非公开托管的档案。

“当我们更深入分析时，发现pyQRcode中的恶意代码几乎与之前识别的Java恶意程式QRLog中的恶意代码完全相同，这两个套件共享了代码和指挥控制C2基础设施，”Zanki说。

进一步深入研究，Zanki提到QRLog最初由威胁研究员Mauro Eldritch发现，并且Crowdstrike对其进行的分析高可信度地归因于Lazarus集团内的一个小组Labyrinth Chollima。

“简而言之，当我们查看这些最新的VMConnect恶意套件的恶意代码及其支持基础设施时，许多线索指向之前发现和记录的与Lazarus集团和朝鲜民主主义人民共和国DPRK相关的恶意程式和活动，”Zanki说。

Lazarus集团：持续的威胁

ReversingLabs在8月3日的一篇博客文章中首次识别了VMConnect，报告称该活动包含二十多个恶意Python套件被发布至PyPI开源库。Sonatype也在8月的博客文章中报导了此案例，指出VMConnect含有与其合法的VMware对应程式相同的代码，根据PePytech的数据，该套件已被下载237次。

Approov的首席执行官Ted Miracco表示，此活动对北韩针对软体供应链的网路操作演变和持续性带来了悲观的见解。他说，尽管北韩的参与者多年来一直活跃于网路间谍活动和金融犯罪，但VMConnect及其相关努力标志著其向更隐蔽、以软体为基础的攻击的计算转变，显示出其技术日益成熟和耐心。他认为，透过逐渐建立无害套件的声誉，再加上延迟触发的设计，反映出一种长期策略，即感染广泛使用的开源库。

“这强调了北韩使用极少数非常先进的网路对手对抗更大国家的不对称方法，”Miracco表示。“因无法在经