InvisibleFerret-Malware nutzt .pyd- und .so-Dateien, um Skript-Erkennung zu umgehen

Eine stillschweigend eines ihrer gefährlichsten Werkzeuge aktualisiert und damit die Erkennung durch Sicherheitsoftware erschwert. InvisibleFerret, eine nach Informationen stahle Eine stillschweigend eines ihrer gefährlichsten Werkzeuge aktualisiert und damit die Erkennung durch Sicherheitsoftware erschwert.

InvisibleFerret, eine nach Informationen stahlende Malware, die dem Bedrohungsakteur Void Dokkaebi (auch unter dem Namen Famous Chollima bekannt) zugeordnet wird, wurde in ein Format umgepackt, das viele herkömmliche Erkennungsmethoden umgeht. Anstatt als reine Python-Skripte anzukommen, wird sie nun als kompilierte Binärdateien getarnt verbreitet.

Void Dokkaebi richtet sich seit langem gegen Softwareentwickler, die Zugriff auf Kryptowährungs-Wallet-Zertifikate, Signaturschlüssel sowie auf Build-Pipelines oder Produktionssysteme haben.

Die Gruppe gibt sich als Recruiter ährungs- oder KI-Unternehmen aus und überzeugt Entwickler, Code-Repositories als Teil älschten Vorstellungsgesprächen zu klonen und auszuführen.

Sobald der bösartige Code ausgeführt wird, startet er eine mehrstufige Infektion, die darauf ausgelegt ist, sensible Daten zu stehlen und einen dauerhaften Zugriff aufrechtzuerhalten. Analysten, dass InvisibleFerret nun mit Cython verschleiert wurde, einem Werkzeug, das Python-Code in native Binärdateien umwandelt. Laut einem für