Malware PondRAT escondido em pacotes Python tem como alvo desenvolvedores de software
- Diego Arantes
- 26 de set. de 2024
- 3 min de leitura
Campanha Maliciosa da Coreia do Norte Utiliza Pacotes Python Enganados para Instalar Malware
Threat actors com ligações à Coreia do Norte foram observadas utilizando pacotes Python envenenados como uma forma de distribuir um novo malware chamado PondRAT como parte de uma campanha prolongada em andamento.
PondRAT, segundo novas descobertas da Palo Alto Networks Unit 42, é avaliado como uma versão mais leve do POOLRAT (ou SIMPLESEA), um conhecido backdoor macOS que foi previamente atribuído ao Grupo Lazarus e utilizado em ataques relacionados à comprometimento de supply chain do 3CX no ano passado.
Algumas dessas ações fazem parte de uma campanha de ataque persistente chamada Operação Dream Job, na qual os alvos potenciais são atraídos por ofertas de emprego atraentes em um esforço para enganá-los para baixar malware.
"Os atacantes por trás dessa campanha submeteram vários pacotes Python envenenados ao PyPI, uma popular biblioteca de pacotes open-source Python", disse o investigador da Unit 42, Yoav Zemah, e associou a atividade com confiança moderada ao grupo de atacadores chamado Gleaming Pisces.
A suposta intenção dos ataques é "obter acesso seguro a fornecedores de supply chain por meio de pontos de extremidade de desenvolvedores e subsequentemente obter acesso aos pontos de extremidade dos clientes dos fornecedores, conforme observado em incidentes anteriores".
A lista de pacotes maliciosos, agora removidos da biblioteca PyPI, é apresentada abaixo:
real-ids (893 downloads)
coloredtxt (381 downloads)
beautifultext (736 downloads)
minisound (416 downloads)
A cadeia de infecção é razoavelmente simples, na qual os pacotes, uma vez baixados e instalados em sistemas de desenvolvedores, são projetados para executar um próximo estágio codificado que, por sua vez, executa versões Linux e macOS do malware RAT após a recuperação delas de um servidor remoto.
A análise mais profunda do PondRAT revelou semelhanças tanto com o POOLRAT quanto com o AppleJeus, com os ataques também distribuindo novas variantes de POOLRAT para Linux.
"O Linux e macOS versões [do POOLRAT] usam uma mesma estrutura de função para carregar suas configurações, apresentando nomes de método semelhantes e funcionalidade", disse Zemah. "Adicionalmente, os nomes de método em ambas as variantes são impressionantemente semelhantes, e as strings quase idênticas. Por fim, o mecanismo que lidar com comando da [servidor de controle] é quase idêntico."
PondRAT, uma versão mais leve do POOLRAT, inclui capacidades para carregar e baixar arquivos, pausar operações por um intervalo de tempo pré-definido e executar comandos arbitrários.
"O evidência de variantes adicionais de Linux de POOLRAT mostrou que Gleaming Pisces tem sido aprimorando suas capacidades em ambas as plataformas Linux e macOS", disse a Unit 42. "A utilização de pacotes Python legítimos em vários sistemas operacionais apresenta um risco significativo para organizações. A instalação bem-sucedida de pacotes terceirizados maliciosos pode resultar na infecção por malware que compromete uma rede inteira".
O comunicado surge enquanto a KnowBe4, que foi enganada em contratar um atacante da Coreia do Norte como funcionário, disse que mais de uma dúzia de empresas "contrataram empregados norte-coreanos ou foram assoladas por uma multitude de currículos falsos e inscrições enviados por norte-coreanos esperando obter um emprego na organização".
A KnowBe4 descreveu a atividade como uma "operação complexa, escalável e persistente" e associou-a ao Grupo Lazarus. Disse que os atacantes utilizaram identidades roubadas para se infiltrar em empresas que tinham interesses de contratar ou comprar bens.
"Agora, o trabalho mais fácil para as organizações é estar preparada", disse a KnowBe4. "Nossa recomendação principal para essas empresas é instalar as ferramentas de segurança e realizar um treinamento com os funcionários. Além disso, as organizações precisam manter uma vigilância constante sobre suas redes e sistemas, buscando por sinal de malware ou atividades suspeitas."
A KnowBe4 também recomendou que as empresas que contratassem trabalhadores estrangeiros realizassem uma verificação rigorosa dos candidatos e identificassem possíveis riscos antes do início da relação.
"O principal é ter cuidado com os detalhes", disse a KnowBe4. "Se você estiver preocupado, procure conselho. Se você estiver preocupado, procure conselho."
A campanha maliciosa da Coreia do Norte que usou pacotes Python enganados para instalar malware tem causado uma grande preocupação na comunidade de segurança.
"O uso de pacotes legítimos como um meio de disseminar malware é uma estratégia antiga, mas ainda tão eficaz e perigosa", disse a KnowBe4. "É essencial que as organizações tomem medidas para proteger suas redes e sistemas contra esse tipo de ameaça."
A KnowBe4 também recomendou que as empresas realizassem simulações de ataques cibernéticos para identificar possíveis fraquezas em suas redes.
"Simulas de ataques são uma forma eficaz de detectar possíveis vulnerabilidades em suas redes", disse a KnowBe4. "Agora, o trabalho mais fácil para as organizações é estar preparada."
Em resumo, a campanha maliciosa da Coreia do Norte que usou pacotes Python enganados para instalar malware tem causado uma grande preocupação na comunidade de segurança e é essencial que as organizações tomem medidas para proteger suas redes e sistemas contra esse tipo de ameaça.
Comments