Três novos pacotes Python maliciosos foram descobertos no repositório PyPI como parte de uma campanha de software malicioso em andamento chamada VMConnect, que aparentemente envolve atores patrocinados pelo estado norte-coreano.

Os pesquisadores identificaram os pacotes tablediter, request-plus e requestspro. Esses pacotes imitam ferramentas Python populares para baixar um malware de segunda fase ainda desconhecido.

Os atores maliciosos estão disfarçando seus pacotes para parecerem confiáveis, usando técnicas de typosquatting para se passar por pacotes legítimos como prettytable e requests.

O código malicioso dentro do pacote tablediter foi projetado para executar em um loop infinito, onde um servidor remoto é consultado periodicamente para recuperar e executar um payload codificado em Base64.

Uma das principais mudanças em tablediter é que ele não aciona o código malicioso imediatamente após a instalação, para evitar detecção por softwares de segurança.

O servidor responde com um token, que o host infectado envia de volta para um URL diferente no mesmo servidor, recebendo em troca um módulo Python codificado duas vezes e um URL para download.

Outros malwares, como JokerSpy e QRLog, também foram identificados em ataques relacionados, demonstrando a habilidade do ator de ameaça em escrever malwares funcionais em várias linguagens e para múltiplos sistemas operacionais.