Se ha observado que actores de amenazas con v\u00ednculos con Corea del Norte utilizan paquetes Python envenenados como una forma de distribuir un nuevo malware llamado PondRAT como parte de una campa\u00f1a en curso.<\/p>\n
Seg\u00fan nuevos hallazgos de la Unidad 42 de Palo Alto Networks, se eval\u00faa que PondRAT es una versi\u00f3n m\u00e1s liviana de POOLRAT (tambi\u00e9n conocido como SIMPLESEA), una puerta trasera de macOS conocida que anteriormente se atribuy\u00f3 al Grupo Lazarus y se implement\u00f3 en ataques relacionados con la vulneraci\u00f3n de la cadena de suministro de 3CX el a\u00f1o pasado.<\/p>\n
Algunos de estos ataques son parte de una campa\u00f1a de ciberataques persistente denominada Operaci\u00f3n Dream Job, en la que se atrae a posibles objetivos con tentadoras ofertas de trabajo en un intento de enga\u00f1arlos para que descarguen malware.<\/p>\n
“Los atacantes detr\u00e1s de esta campa\u00f1a cargaron varios paquetes Python envenenados en PyPI, un repositorio popular de paquetes Python de c\u00f3digo abierto”, dijo el investigador de la Unidad 42 Yoav Zemah. dicho<\/a>vinculando la actividad con confianza moderada a un actor de amenazas llamado Gleaming Pisces.<\/p>\n El adversario tambi\u00e9n es rastreado por la comunidad de ciberseguridad m\u00e1s amplia bajo los nombres Citrine Sleet, Labyrinth Chollima, Nickel Academy y UNC4736, un subgrupo dentro del Grupo Lazarus que tambi\u00e9n es conocido por distribuir el malware AppleJeus.<\/p>\n Se cree que el objetivo final de los ataques es “asegurar el acceso a los proveedores de la cadena de suministro a trav\u00e9s de los puntos finales de los desarrolladores y, posteriormente, obtener acceso a los puntos finales de los clientes de los proveedores, como se observ\u00f3 en incidentes anteriores”.<\/p>\n La lista de paquetes maliciosos, ahora eliminados del repositorio PyPI, se encuentra a continuaci\u00f3n:<\/p>\n La cadena de infecci\u00f3n es bastante simple en el sentido de que los paquetes, una vez descargados e instalados en los sistemas de los desarrolladores, est\u00e1n dise\u00f1ados para ejecutar una siguiente etapa codificada que, a su vez, ejecuta las versiones para Linux y macOS del malware RAT despu\u00e9s de recuperarlas de un servidor remoto.<\/p>\n Un an\u00e1lisis m\u00e1s detallado de PondRAT ha revelado similitudes con POOLRAT y AppleJeus, y los ataques tambi\u00e9n distribuyen nuevas variantes de POOLRAT para Linux.<\/p>\n “Las versiones de Linux y macOS [of POOLRAT] “Utilizan una estructura de funciones id\u00e9ntica para cargar sus configuraciones, con nombres de m\u00e9todos y funcionalidades similares”, dijo Zemah.<\/p>\n “Adem\u00e1s, los nombres de los m\u00e9todos en ambas variantes son sorprendentemente similares y las cadenas son casi id\u00e9nticas. Por \u00faltimo, el mecanismo que maneja los comandos desde el [command-and-control server] “es casi id\u00e9ntico.”<\/p>\n PondRAT, una versi\u00f3n m\u00e1s sencilla de POOLRAT, viene con capacidades para cargar y descargar archivos, pausar operaciones durante un intervalo de tiempo predefinido y ejecutar comandos arbitrarios.<\/p>\n “La evidencia de variantes adicionales de Linux de POOLRAT mostr\u00f3 que Gleaming Pisces ha estado mejorando sus capacidades en plataformas Linux y macOS”, dijo Unit 42.<\/p>\n “La utilizaci\u00f3n de paquetes Python de apariencia leg\u00edtima como arma en varios sistemas operativos plantea un riesgo significativo para las organizaciones. La instalaci\u00f3n exitosa de paquetes maliciosos de terceros puede provocar una infecci\u00f3n de malware que comprometa a toda una red”.<\/p>\n La revelaci\u00f3n se produce cuando KnowBe4, que fue enga\u00f1ado para contratar a un actor de amenazas norcoreano como empleado, dicho<\/a> M\u00e1s de una docena de empresas “contrataron a empleados norcoreanos o fueron asediadas por una multitud de curr\u00edculos y solicitudes falsos presentados por norcoreanos con la esperanza de conseguir un trabajo en su organizaci\u00f3n”.<\/p>\n Describi\u00f3 la actividad, rastreada por CrowdStrike bajo el nombre de Famous Chollima, como una “operaci\u00f3n compleja, industrial y a gran escala de un estado-naci\u00f3n” y que representa un “riesgo grave para cualquier empresa con empleados que trabajan \u00fanicamente de forma remota”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/El-nuevo-malware-PondRAT-oculto-en-paquetes-Python-ataca-a.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n