Se ha observado que actores maliciosos con vínculos con Corea del Norte utilizan paquetes de Python envenenados como medio para distribuir un nuevo malware llamado PondRAT como parte de una campaña en curso.
Se cree que PondRAT, según nuevos hallazgos de la Unidad 42 de Palo Alto Networks, es una versión simplificada de POOLRAT (también conocido como SIMPLESEA), una conocida puerta trasera de macOS que anteriormente se atribuyó al Grupo Lazarus y se implementó en ataques relacionados con el compromiso de datos. cadena de suministro de 3CX el año pasado.
Algunos de estos ataques son parte de una campaña de ciberataques en curso denominada Operación Dream Job, en la que los objetivos potenciales son atraídos por tentadoras ofertas de trabajo en un intento de engañarlos para que descarguen malware.
“Los atacantes detrás de esta campaña subieron varios paquetes de Python envenenados a PyPI, un repositorio popular de paquetes de Python de código abierto”, dijo el investigador de la Unidad 42, Yoav Zemah. dichovinculando la actividad con confianza moderada a un actor de amenazas llamado Gleaming Piscis.
El adversario también es rastreado por la comunidad de ciberseguridad más amplia como Citrine Sleet, Labyrinth Chollima, Nickel Academy y UNC4736, un subgrupo dentro del Grupo Lazarus también conocido por distribuir el malware AppleJeus.
Se cree que el objetivo final de los ataques es “asegurar el acceso a los proveedores de la cadena de suministro a través de puntos finales de los desarrolladores y luego obtener acceso a los puntos finales de los proveedores y clientes, como se observó en incidentes anteriores”.
La lista de paquetes maliciosos, ahora eliminados del repositorio de PyPI, se encuentra a continuación:
La cadena de infección es bastante simple en el sentido de que los paquetes, una vez descargados e instalados en los sistemas de los desarrolladores, están diseñados para ejecutar un siguiente paso codificado que, a su vez, ejecuta las versiones de Linux y macOS del malware RAT después de haberlas recuperado de un servidor remoto.
Un análisis más detallado de PondRAT reveló similitudes con POOLRAT y AppleJeus, y los ataques también distribuyeron nuevas variantes de Linux de POOLRAT.
“Versiones de Linux y macOS [of POOLRAT] “Utilice una estructura de funciones idéntica para cargar sus configuraciones, con nombres de métodos y funcionalidades similares”, dijo Zemah.
“Además, los nombres de los métodos en ambas variantes son sorprendentemente similares y las cadenas son casi idénticas. Finalmente, el mecanismo que maneja los comandos del [command-and-control server] es casi idéntico.”
PondRAT, una versión ligera de POOLRAT, viene con funciones para descargar y cargar archivos, suspender operaciones durante un intervalo de tiempo predefinido y ejecutar comandos arbitrarios.
“La evidencia de variantes adicionales de Linux de POOLRAT ha demostrado que Gleaming Pisces ha mejorado sus capacidades en plataformas Linux y macOS”, dijo la Unidad 42.
“La utilización de paquetes Python aparentemente legítimos en múltiples sistemas operativos representa un riesgo significativo para las empresas. La instalación exitosa de paquetes maliciosos de terceros puede provocar una infección de malware que comprometa toda una red. »
Esta revelación se produce cuando KnowBe4, que fue engañado para contratar a un actor de amenazas norcoreano como empleado, dicho más de una docena de empresas “contrataron empleados norcoreanos o fueron asediadas por una multitud de currículums y solicitudes falsos presentados por norcoreanos con la esperanza de obtener empleo en sus organizaciones”.
La compañía describió la actividad, rastreada por CrowdStrike como Famous Chollima, como una “operación compleja, industrial, de estado-nación” y dijo que representaba un “grave riesgo para cualquier empresa cuyos empleados trabajen sólo de forma remota”.