Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El nuevo malware PondRAT oculto en paquetes Python ataca a desarrolladores de software
  • Tecnología

El nuevo malware PondRAT oculto en paquetes Python ataca a desarrolladores de software

teknomers 23 de Eylül de 2024 (Last updated: 23 de Eylül de 2024) 4 minutes read
El nuevo malware PondRAT oculto en paquetes Python ataca a


23 de septiembre de 2024Ravie LakshmananSeguridad del software / Cadena de suministro

Se ha observado que actores de amenazas con vínculos con Corea del Norte utilizan paquetes Python envenenados como una forma de distribuir un nuevo malware llamado PondRAT como parte de una campaña en curso.

Según nuevos hallazgos de la Unidad 42 de Palo Alto Networks, se evalúa que PondRAT es una versión más liviana de POOLRAT (también conocido como SIMPLESEA), una puerta trasera de macOS conocida que anteriormente se atribuyó al Grupo Lazarus y se implementó en ataques relacionados con la vulneración de la cadena de suministro de 3CX el año pasado.

Algunos de estos ataques son parte de una campaña de ciberataques persistente denominada Operación Dream Job, en la que se atrae a posibles objetivos con tentadoras ofertas de trabajo en un intento de engañarlos para que descarguen malware.

“Los atacantes detrás de esta campaña cargaron varios paquetes Python envenenados en PyPI, un repositorio popular de paquetes Python de código abierto”, dijo el investigador de la Unidad 42 Yoav Zemah. dichovinculando la actividad con confianza moderada a un actor de amenazas llamado Gleaming Pisces.

Ciberseguridad

El adversario también es rastreado por la comunidad de ciberseguridad más amplia bajo los nombres Citrine Sleet, Labyrinth Chollima, Nickel Academy y UNC4736, un subgrupo dentro del Grupo Lazarus que también es conocido por distribuir el malware AppleJeus.

Se cree que el objetivo final de los ataques es “asegurar el acceso a los proveedores de la cadena de suministro a través de los puntos finales de los desarrolladores y, posteriormente, obtener acceso a los puntos finales de los clientes de los proveedores, como se observó en incidentes anteriores”.

La lista de paquetes maliciosos, ahora eliminados del repositorio PyPI, se encuentra a continuación:

La cadena de infección es bastante simple en el sentido de que los paquetes, una vez descargados e instalados en los sistemas de los desarrolladores, están diseñados para ejecutar una siguiente etapa codificada que, a su vez, ejecuta las versiones para Linux y macOS del malware RAT después de recuperarlas de un servidor remoto.

Los paquetes de Python están destinados a los desarrolladores de software

Un análisis más detallado de PondRAT ha revelado similitudes con POOLRAT y AppleJeus, y los ataques también distribuyen nuevas variantes de POOLRAT para Linux.

“Las versiones de Linux y macOS [of POOLRAT] “Utilizan una estructura de funciones idéntica para cargar sus configuraciones, con nombres de métodos y funcionalidades similares”, dijo Zemah.

“Además, los nombres de los métodos en ambas variantes son sorprendentemente similares y las cadenas son casi idénticas. Por último, el mecanismo que maneja los comandos desde el [command-and-control server] “es casi idéntico.”

PondRAT, una versión más sencilla de POOLRAT, viene con capacidades para cargar y descargar archivos, pausar operaciones durante un intervalo de tiempo predefinido y ejecutar comandos arbitrarios.

Ciberseguridad

“La evidencia de variantes adicionales de Linux de POOLRAT mostró que Gleaming Pisces ha estado mejorando sus capacidades en plataformas Linux y macOS”, dijo Unit 42.

“La utilización de paquetes Python de apariencia legítima como arma en varios sistemas operativos plantea un riesgo significativo para las organizaciones. La instalación exitosa de paquetes maliciosos de terceros puede provocar una infección de malware que comprometa a toda una red”.

La revelación se produce cuando KnowBe4, que fue engañado para contratar a un actor de amenazas norcoreano como empleado, dicho Más de una docena de empresas “contrataron a empleados norcoreanos o fueron asediadas por una multitud de currículos y solicitudes falsos presentados por norcoreanos con la esperanza de conseguir un trabajo en su organización”.

Describió la actividad, rastreada por CrowdStrike bajo el nombre de Famous Chollima, como una “operación compleja, industrial y a gran escala de un estado-nación” y que representa un “riesgo grave para cualquier empresa con empleados que trabajan únicamente de forma remota”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: La estrella de Doctor Who, John Barrowman, abandona el programa de supervivencia vomitando en media hora
Next: Los tigres del refugio Anna Paulowna van a Kazajstán para salvar especies salvajes

Related Stories

Galaxy Z Flip 8: esta filtración preocupante podría arruinarlo todo
  • Tecnología

Galaxy Z Flip 8: esta filtración preocupante podría arruinarlo todo antes de su lanzamiento

teknomers 16 de Temmuz de 2026
Visaje agrietado, pepinillo, faro: se revelan los diseños de los
  • Tecnología

Visaje agrietado, pepinillo, faro: se revelan los diseños de los 9 futuros emojis

teknomers 16 de Temmuz de 2026
RMC BFM ha perdido casi un 40 % de su
  • Tecnología

RMC BFM ha perdido casi un 40 % de su valor en 18 meses desde su adquisición por CMA CGM

teknomers 16 de Temmuz de 2026

You May Have Missed

  • General

La inclusión comunitaria es el enfoque clave en la reunión de expertos técnicos de BRICS sobre resiliencia urbana inteligente ante el clima: NDMA

teknomers 16 de Temmuz de 2026
Tour de Francia 2026, etapa 12: recorrido y perfil de
  • Deporte

Tour de Francia 2026, etapa 12: recorrido y perfil de la etapa del día entre Magny-Cours y Chalon-sur-Saône

teknomers 16 de Temmuz de 2026
  • General

«Reforzar la seguridad de un aliado»: por qué Estados Unidos vende armas a Arabia Saudita por dos mil millones de dólares

teknomers 16 de Temmuz de 2026
Galaxy Z Flip 8: esta filtración preocupante podría arruinarlo todo
  • Tecnología

Galaxy Z Flip 8: esta filtración preocupante podría arruinarlo todo antes de su lanzamiento

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.