กลุ่มผู้ไม่ประสงค์ดีได้อัปโหลดอุปกรณ์ที่เป็นอันตรายไปยัง PyPI (Python Package Index)
โดยหนึ่งในนั้นเป็นโมดูลตัวเชื่อมต่อ VMware vSphere ชื่อ vConnector
ซึ่งอุปกรณ์ดังกล่าวได้รับการอัปโหลดเมื่อต้นเดือนสิงหาคม
โดยหนึ่งในนั้นชื่อ VMConnect และมีการกำหนดเป้าหมายไปที่ผู้เชี่ยวชาญด้านไอที
ที่กำลังมองหาเครื่องมือการจำลองเสมือน VMConnect (ดาวน์โหลด 237 ครั้ง)
และยังมีการดาวน์โหลดอีกสองอุปกรณ์ที่มีรหัสเดียวกันซึ่งเผยแพร่ด้วยชื่อ ethter และ quantiumbase
อุปกรณ์เพิ่มเติมที่เป็นส่วนหนึ่งของ VMConnect เดียวกัน ได้แก่ tablediter (ดาวน์โหลด 736 ครั้ง), request-plus (ดาวน์โหลด 43 ครั้ง) และ requestspro (ดาวน์โหลด 341 ครั้ง)
ซึ่งอุปกรณ์แรกจะเป็นเครื่องมือที่ใช้ในการช่วยแก้ไขตาราง และอีกสองอุปกรณ์จะปลอมแปลงเป็น Python
ที่ใช้สำหรับสร้างคำขอ HTTP โดยอุปกรณ์ที่ปลอมแปลงจะมีโครงสร้างไฟล์และเนื้อหาที่แตกต่างกับต้นฉบับน้อยที่สุด โดยการแก้ไขส่วนใหญ่จะเกี่ยวข้องกับไฟล์ init.py ซึ่งจะเรียกใช้ฟังก์ชันที่เป็นอันตรายจาก cookies.py
การค้นพบไฟล์ builder.py ในอุปกรณ์ที่เป็นอันตราย ซึ่งมีรูทีนการถอดรหัสแบบเดียวกับที่ JPCERT
ซึ่งเป็นทีมตอบสนองเหตุการณ์ความปลอดภัยทางคอมพิวเตอร์ของญี่ปุ่น (CSIRT) ที่พบในไฟล์อื่นที่เรียกว่า py_Qrcode ฟังก์ชันการทำงานของไฟล์จะเหมือนกับ QRLog ซึ่งเป็นมัลแวร์บน Java
ที่ Crowdstrike เชื่อว่ามาจาก Labyrinth Chollima
Ref: https://www.bleepingcomputer.com/news/security/lazarus-hackers-deploy-fake-vmware-pypi-packages-in-vmconnect-attacks/