Atores de ameaças com ligações com a Coreia do Norte foram vistos usando pacotes Python envenenados como forma de entregar um malware chamado PondRAT como parte de uma campanha em andamento.
PondRAT, de acordo com novas descobertas da Unidade 42 da Palo Alto Networks, está sendo testado como uma versão simplificada do POOLRAT (também conhecido como SIMPLESEA), um conhecido backdoor macOS que anteriormente era chamado de Grupo Lazarus e foi incluído em ataques relacionados ao fornecimento 3CX corrente. compromisso no ano passado.
Alguns desses ataques fazem parte de uma campanha contínua de ataques cibernéticos chamada Operação Dream Job, onde os alvos são atraídos com empregos atraentes na tentativa de induzi-los a baixar malware.
“Os invasores por trás desta campanha enviaram muitos pacotes Python envenenados para o PyPI, um repositório Python de código aberto”, disse o pesquisador da Unidade 42, Yoav Zemah, vinculando o projeto com confiança moderada a um ator de ameaça chamado Gleaming Pisces.
O inimigo também é rastreado pela comunidade mais ampla de segurança cibernética sob os nomes de Citrine Sleet, Labyrinth Chollima, Nickel Academy e UNC4736, um subgrupo do Grupo Lazarus também conhecido por distribuir o malware AppleJeus.
Acredita-se que o objetivo final do ataque seja “garantir o acesso aos fornecedores da cadeia de suprimentos usando pontos de desenvolvedor e posteriormente obter acesso aos clientes finais dos fornecedores, conforme observado em incidentes anteriores”.
A lista de pacotes maliciosos, agora removidos do repositório PyPI, está abaixo –
A cadeia de infecção é simples porque os pacotes, quando baixados e instalados nos programas dos desenvolvedores, são projetados para executar o próximo estágio codificado, que usa as versões Linux e macOS do malware RAT após encontrá-lo em um servidor remoto. .
Uma análise mais aprofundada do PondRAT revelou semelhanças com o POOLRAT e o AppleJeus, com ataques também distribuindo novas variantes do POOLRAT para Linux.
“Versões Linux e macOS [of POOLRAT] usam a mesma estrutura de função para carregar sua configuração, que possui os mesmos nomes de métodos e funções”, disse Zemah.
“Além disso, os nomes dos métodos em ambos os tipos são notavelmente semelhantes e as strings são quase idênticas. Finalmente, o método que transporta os comandos de [command-and-control server] é quase a mesma coisa.”
PondRAT, uma versão menor do POOLRAT, vem com a capacidade de fazer upload e download de arquivos, pausar operações em um horário predefinido e emitir comandos arbitrários.
“Evidências de outras versões Linux do POOLRAT mostraram que Gleaming Pisces estava desenvolvendo seus recursos nas plataformas Linux e macOS”, disse a Unidade 42.
“As armas de pacotes Python de aparência legítima em sistemas operacionais representam um risco significativo para as organizações. A instalação bem-sucedida de pacotes maliciosos de terceiros pode levar a uma infecção por malware que compromete toda a rede.”
A revelação ocorre no momento em que a KnowBe4, que foi enganada para contratar um ator terrorista norte-coreano como funcionário, disse que mais de uma dúzia de empresas “estão contratando trabalhadores norte-coreanos ou foram assediadas por dezenas de cartas e candidaturas falsas enviadas por norte-coreanos na esperança de desembarcar um trabalho com sua organização.”
Descreveu a operação, que está sendo realizada pela CrowdStrike sob o apelido de Famous Chollima, como “trabalho internacional complexo, industrial e de alto nível” e que representa “um risco significativo para qualquer empresa com apenas trabalhadores remotos”.
