Clicky

Nuevo malware PondRAT oculto en paquetes Python ataca a desarrolladores de software

malware PondRAT

Los paquetes maliciosos han sido eliminados ahora del repositorio PyPI

Se ha observado que actores de amenazas con vínculos con Corea del Norte utilizan paquetes de Python envenenados como una forma de distribuir un nuevo malware llamado PondRAT como parte de una campaña en curso.

Según nuevos hallazgos de la Unidad 42 de Palo Alto Networks, se evalúa que PondRAT es una versión más liviana de POOLRAT (también conocido como SIMPLESEA), una puerta trasera de macOS conocida que anteriormente se atribuyó al Grupo Lazarus y se implementó el año pasado en ataques relacionados con la vulneración de la cadena de suministro de 3CX.

Algunos de estos ataques son parte de una campaña de ciberataques persistente denominada Operación Dream Job, en la que se atrae a posibles objetivos con tentadoras ofertas de trabajo en un intento de engañarlos para que descarguen malware.

"Los atacantes detrás de esta campaña cargaron varios paquetes de Python envenenados en PyPI, un popular repositorio de paquetes de Python de código abierto", dijo el investigador de la Unidad 42 Yoav Zemah, vinculando la actividad con moderada confianza a un actor de amenazas llamado Gleaming Pisces.

El adversario también es rastreado por la comunidad de ciberseguridad más amplia bajo los nombres Citrine Sleet, Labyrinth Chollima, Nickel Academy y UNC4736, un subgrupo dentro del Grupo Lazarus que también es conocido por distribuir el malware AppleJeus.

Se cree que el objetivo final de los ataques es "asegurar el acceso a los proveedores de la cadena de suministro a través de los puntos finales de los desarrolladores y, posteriormente, obtener acceso a los puntos finales de los clientes de los proveedores, como se observó en incidentes anteriores".

La lista de paquetes maliciosos, ahora eliminados del repositorio PyPI, se encuentra a continuación:

real-ids (893 descargas)
coloredtxt (381 descargas)
beautifultext (736 descargas)
minisound (416 descargas)

La cadena de infección es bastante simple en el sentido de que los paquetes, una vez descargados e instalados en los sistemas de los desarrolladores, están diseñados para ejecutar una siguiente etapa codificada que, a su vez, ejecuta las versiones para Linux y macOS del malware RAT después de recuperarlas de un servidor remoto.

secuencia de ataque del malware PondRAT

Un análisis más detallado de PondRAT ha revelado similitudes con POOLRAT y AppleJeus, y los ataques también distribuyen nuevas variantes de POOLRAT para Linux.

"Las versiones de Linux y macOS [de POOLRAT] utilizan una estructura de funciones idéntica para cargar sus configuraciones, con nombres de métodos y funcionalidades similares", dijo Zemah.

"Además, los nombres de los métodos en ambas variantes son sorprendentemente similares y las cadenas son casi idénticas. Por último, el mecanismo que maneja los comandos del [servidor de comando y control] es casi idéntico".

PondRAT, una versión más sencilla de POOLRAT, viene con capacidades para cargar y descargar archivos, pausar operaciones durante un intervalo de tiempo predefinido y ejecutar comandos arbitrarios.

"La evidencia de variantes adicionales de Linux de POOLRAT mostró que Gleaming Pisces ha estado mejorando sus capacidades en plataformas Linux y macOS", dijo Unit 42.

"La utilización de paquetes Python de apariencia legítima como arma en varios sistemas operativos plantea un riesgo significativo para las organizaciones. La instalación exitosa de paquetes maliciosos de terceros puede provocar una infección de malware que comprometa a toda una red".

Jesus_Caceres