Atores de ameaças com laços com a Coreia do Norte foram detectados usando pacotes Python comprometidos para entregar um malware recém-descoberto chamado PondRAT, como parte de uma campanha cibernética em andamento.
De acordo com descobertas recentes da Unidade 42 da Palo Alto Networks, o PondRAT parece ser uma variante mais leve do POOLRAT (também conhecido como SIMPLESEA), um backdoor do macOS anteriormente vinculado ao Lazarus Group e usado no ataque à cadeia de suprimentos 3CX no ano passado.
Esta atividade faz parte da Operação Dream Job, uma campanha de longa duração em que as vítimas são atraídas com falsas ofertas de emprego para induzi-las a baixar software malicioso.
“Os invasores carregaram vários pacotes Python infectados no PyPI, um repositório bem conhecido para código Python de código aberto”, afirmou Yoav Zemah, pesquisador da Unit 42, que atribuiu a atividade ao agente de ameaça Gleaming Pisces com confiança moderada.
O adversário, também rastreado pela comunidade de segurança cibernética sob nomes como Citrine Sleet, Labyrinth Chollima, Nickel Academy e UNC4736 (um subcluster do Lazarus Group), também é famoso por distribuir malware AppleJeus.
O objetivo desses ataques é provavelmente proteger o acesso aos fornecedores da cadeia de suprimentos por meio dos sistemas dos desenvolvedores e, finalmente, infiltrar os endpoints dos clientes desses fornecedores, como visto em incidentes anteriores.
A lista de pacotes maliciosos — já removidos do PyPI — inclui:
- real-ids (893 downloads)
- coloredtxt (381 downloads)
- beautifultext (736 downloads)
- minisound (416 downloads)
O processo de infecção é direto: uma vez que esses pacotes são baixados e instalados, eles acionam a execução de uma carga útil codificada de próximo estágio, que recupera versões Linux e macOS do malware RAT de um servidor remoto.
Uma investigação mais aprofundada sobre o PondRAT revelou semelhanças notáveis com o POOLRAT e o AppleJeus, com os ataques também distribuindo novas versões Linux do POOLRAT.
“As variantes Linux e macOS do POOLRAT compartilham uma estrutura de função idêntica para carregar configurações, com nomes de métodos e funcionalidades quase idênticos”, explicou Yoav Zemah, pesquisador da Unit 42.
Ele também observou que “os nomes dos métodos entre as duas versões são surpreendentemente semelhantes, e suas strings são quase idênticas. Além disso, o mecanismo de manipulação de comandos do servidor de comando e controle é quase o mesmo.”
O PondRAT, uma versão simplificada do POOLRAT, inclui recursos para carregar e baixar arquivos, pausar operações por um tempo definido e executar comandos arbitrários.
A Unidade 42 declarou ainda que “a descoberta de variantes Linux adicionais do POOLRAT indica que o Gleaming Pisces vem expandindo suas capacidades nas plataformas Linux e macOS.”
O uso de pacotes Python aparentemente legítimos em vários sistemas operacionais representa umaameaça significativa para as organizações. A instalação desses pacotes maliciosos de terceiros pode levar a infecções generalizadas de malware, comprometendo redes inteiras.
Esta divulgação vem junto com notícias do KnowBe4, que revelou que um agente de ameaça norte-coreano conseguiu emprego na empresa. Mais de uma dúzia de outras empresas contrataram agentes norte-coreanos ou foram alvos de currículos e candidaturas falsas de norte-coreanos em busca de emprego.
A CrowdStrike, rastreando essa atividade sob o nome de Famous Chollima, descreveu-a como uma “operação sofisticada e em larga escala de estado-nação”, destacando o sério risco que representa para organizações com funcionários remotos.
Fonte: TheHackerNews