Исследователи ReversingLabs обнаружили новые пакеты, являющиеся частью ранее выявленной кампании VMConnect, а также доказательства, связывающие эту кампанию с северокорейскими угрозами.
Пакеты имитировали популярные инструменты Python с открытым исходным кодом, включая vConnector - модуль-обертку для привязки pyVmomi к VMware vSphere; eth-tester - набор инструментов для тестирования приложений на базе Ethereum; и databases - инструмент, обеспечивающий асинхронную поддержку ряда баз данных.
Исследовательская группа продолжила мониторинг PyPI и теперь обнаружила еще три вредоносных пакета Python, которые, как предполагается, являются продолжением кампании VMConnect: tablediter, request-plus и requestspro.
Indicators of Compromise
IPv4
- 45.61.136.133
Domains
- tableditermanaging.pro
SHA1
- 049cc8d88a086c8fc69b51d76b6c0c4c2a66fa08
- 2c72edf29d5bca22525d612c94f1ee323c47be0c
- 321363f11464208ee24e56a700ad5d26154df4bd
- 39e9859f0cf85a0c8361e042e8316d4e185d1cfb
- 5e026885bcf4b67993aefa4e992153f6d81c11da
- 859f5b0af717fca9f890dcba0b87ac63be469033
- 89c05ecd388c5f168704c5a8e1d37f72a7f0f0f4
- 9b8eefa1d7ee348c2b1b4c350028df5c2707c3d8
- aeeb445216a205abd770546dfa8d03f8b94515a1
- b1880340818a1feda156abd272255bcc018f8bef
- bbb1e2ac1d243b8db922a23821de570702140145
- e063b210b50ca1426da45afa430d87c53b2ef5d2
- e3545b2c53c2cb8f012f0badc1bf452badfee341
- fdea182ffe7c04c28f28f88ceb9624732bb36bdc