无操作系统边界：新的 Lazarus 攻击涵盖所有流行平台

朝鲜正在渗透关键工业系统。

360高级威胁研究院的专家发现了朝鲜组织Lazarus（APT-C-26）的新活动，该活动期间分发恶意PyPI软件包。

已找到 PyPI

Lazarus 继续积极开展针对各行业网络攻击的工作。这一次，黑客的目标不仅是金融机构和加密货币交易所，还包括世界各地的政府组织、航空航天工业和军事机构。攻击的主要目标是获取经济利益并窃取机密信息。

恶意包以合法库的幌子加载到 PyPI 中。这些软件包不会引起开发人员的怀疑，他们可能会意外地将它们安装到他们的项目中。受感染的软件包是针对各种操作系统而设计的，可用于发起多层攻击。

Lazarus 感染链

感染链 拉撒路

使用其中一个包的示例，您可以准确地了解恶意机制的工作原理。安装软件包时，在某些条件下，会执行 init.py 文件，该文件会解码恶意代码并将其保存为 DLL 文件。然后使用 rundll32 命令执行 DLL，从而允许攻击者执行恶意命令。

DLL

对于 Windows，恶意包包含加密的有效负载，该有效负载会逐渐解密并加载到内存中，不会在磁盘上留下任何痕迹。在Linux上，恶意包会下载具有全套远程控制功能的ELF文件。在 MacOS 上，恶意代码与 Linux 版本类似。这表明攻击过程是相似的。

根据分析，检测到的文件之一（config.py）包含用于进一步传播攻击的恶意代码。 config.py 加载并解密新的 DLL，将它们放置在系统目录中，包括 OneDrive。然后通过任务计划程序、注册表设置或启动目录执行这些文件。