Se ha observado que actores de amenazas con vínculos con Corea del Norte utilizan paquetes Python envenenados como una forma de distribuir un nuevo malware llamado PondRAT como parte de una campaña en curso.
Según nuevos hallazgos de la Unidad 42 de Palo Alto Networks, se evalúa que PondRAT es una versión más liviana de POOLRAT (también conocido como SIMPLESEA), una puerta trasera de macOS conocida que anteriormente se atribuyó al Grupo Lazarus y se implementó en ataques relacionados con la vulneración de la cadena de suministro de 3CX el año pasado.
Algunos de estos ataques son parte de una campaña de ciberataques persistente denominada Operación Dream Job, en la que se atrae a posibles objetivos con tentadoras ofertas de trabajo en un intento de engañarlos para que descarguen malware.
“Los atacantes detrás de esta campaña cargaron varios paquetes Python envenenados en PyPI, un repositorio popular de paquetes Python de código abierto”, dijo el investigador de la Unidad 42 Yoav Zemah. dichovinculando la actividad con confianza moderada a un actor de amenazas llamado Gleaming Pisces.
El adversario también es rastreado por la comunidad de ciberseguridad más amplia bajo los nombres Citrine Sleet, Labyrinth Chollima, Nickel Academy y UNC4736, un subgrupo dentro del Grupo Lazarus que también es conocido por distribuir el malware AppleJeus.
Se cree que el objetivo final de los ataques es “asegurar el acceso a los proveedores de la cadena de suministro a través de los puntos finales de los desarrolladores y, posteriormente, obtener acceso a los puntos finales de los clientes de los proveedores, como se observó en incidentes anteriores”.
La lista de paquetes maliciosos, ahora eliminados del repositorio PyPI, se encuentra a continuación:
La cadena de infección es bastante simple en el sentido de que los paquetes, una vez descargados e instalados en los sistemas de los desarrolladores, están diseñados para ejecutar una siguiente etapa codificada que, a su vez, ejecuta las versiones para Linux y macOS del malware RAT después de recuperarlas de un servidor remoto.
Un análisis más detallado de PondRAT ha revelado similitudes con POOLRAT y AppleJeus, y los ataques también distribuyen nuevas variantes de POOLRAT para Linux.
“Las versiones de Linux y macOS [of POOLRAT] “Utilizan una estructura de funciones idéntica para cargar sus configuraciones, con nombres de métodos y funcionalidades similares”, dijo Zemah.
“Además, los nombres de los métodos en ambas variantes son sorprendentemente similares y las cadenas son casi idénticas. Por último, el mecanismo que maneja los comandos desde el [command-and-control server] “es casi idéntico.”
PondRAT, una versión más sencilla de POOLRAT, viene con capacidades para cargar y descargar archivos, pausar operaciones durante un intervalo de tiempo predefinido y ejecutar comandos arbitrarios.
“La evidencia de variantes adicionales de Linux de POOLRAT mostró que Gleaming Pisces ha estado mejorando sus capacidades en plataformas Linux y macOS”, dijo Unit 42.
“La utilización de paquetes Python de apariencia legítima como arma en varios sistemas operativos plantea un riesgo significativo para las organizaciones. La instalación exitosa de paquetes maliciosos de terceros puede provocar una infección de malware que comprometa a toda una red”.
La revelación se produce cuando KnowBe4, que fue engañado para contratar a un actor de amenazas norcoreano como empleado, dicho Más de una docena de empresas “contrataron a empleados norcoreanos o fueron asediadas por una multitud de currículos y solicitudes falsos presentados por norcoreanos con la esperanza de conseguir un trabajo en su organización”.
Describió la actividad, rastreada por CrowdStrike bajo el nombre de Famous Chollima, como una “operación compleja, industrial y a gran escala de un estado-nación” y que representa un “riesgo grave para cualquier empresa con empleados que trabajan únicamente de forma remota”.