Lazarus在 Python 社区实“抢注”攻击

黑客组织 Lazarus 已向 Python Package Index ( PyPI ) 存储库发布了四个恶意软件包，目的是用恶意软件感染开发人员的系统。指定的软件包——“pycryptoenv”、“pycryptoconf”、“quasarlib”和“swapmempool”——已经从平台上删除，但在此之前它们已经累计了 3269 次下载，其中“pycryptoconf”是最受欢迎的（1351 次下载） 。日本JPCERT协调中心 研究员 Shusei Tomonaga指出， 包名“pycryptoenv”和“pycryptoconf”与流行的 Python 加密包“pycrypto”类似，表明这是针对开发人员的有针对性的类型抢注攻击。此前， 研究公司Phylum最近 在 npm 注册表中发现了多个恶意软件包。这些软件包针对的是正在积极寻找工作的开发人员。这两个活动的共同点是使用隐藏在测试脚本中的恶意代码，这实际上只是 XOR 加密的 DLL 文件的掩护。该文件创建另外两个 DLL 文件，名为“IconCache.db”和“NTUSER. ………………………………