北韩骇客集团再现：新的Python恶意套件曝光

文章要点

• 三个新发现的恶意Python套件与VMConnect活动及北韩Lazarus集团有关。
• VMConnect是一款流行的虚拟机管理工具，潜在影响范围广泛。
• 研究显示这些套件的恶意功能与之前的恶意程式几乎相同，表明攻击者正在使用成熟的技术。
• 北韩的网路攻击具持久性，且在软体供应链方面展现成熟的战略。

随著最新发现的三个恶意Python套件被上传至Python套件索引（PyPI），目前已被认为与VMConnect活动有关，并且与相连结。VMConnect是IT团队用来连接虚拟机、安装或与客户作业系统互动的流行工具。鉴于VMware在全球拥有超过50万个客户，这可能对企业运营造成相当大的影响。

ReversingLabs的研究负责人KarloZanki表示，该团队在最新的VMConnect活动中收集到的样本，其恶意功能（透过builder.py档案）与一个之前发现且有文献记录的恶意套件py_QRcode几乎相同，而后者并非公开托管的档案。

“当我们更深入分析时，发现py_QRcode中的恶意代码几乎与之前识别的Java恶意程式QRLog中的恶意代码完全相同，这两个套件共享了代码和指挥控制（C2）基础设施，”Zanki说。

进一步深入研究，Zanki提到QRLog最初由威胁研究员MauroEldritch发现，并且Crowdstrike对其进行的分析高可信度地归因于Lazarus集团内的一个小组Labyrinth Chollima。

“简而言之，当我们查看这些最新的VMConnect恶意套件的恶意代码及其支持基础设施时，许多线索指向之前发现和记录的与Lazarus集团和朝鲜民主主义人民共和国（DPRK）相关的恶意程式和活动，”Zanki说。

Lazarus集团：持续的威胁

ReversingLabs在中首次识别了VMConnect，报告称该活动包含二十多个恶意Python套件被发布至PyPI开源库。Sonatype也在中报导了此案例，指出VMConnect含有与其合法的VMware对应程式相同的代码，根据_PePy.tech_的数据，该套件已被下载237次。

Approov的首席执行官TedMiracco表示，此活动对北韩针对软体供应链的网路操作演变和持续性带来了悲观的见解。他说，尽管北韩的参与者多年来一直活跃于网路间谍活动和金融犯罪，但VMConnect及其相关努力标志著其向更隐蔽、以软体为基础的攻击的计算转变，显示出其技术日益成熟和耐心。他认为，透过逐渐建立无害套件的声誉，再加上延迟触发的设计，反映出一种长期策略，即感染广泛使用的开源库。

“这强调了北韩使用极少数非常先进的网路对手对抗更大国家的不对称方法，”Miracco表示。“因无法在经