Agentes de ameaças com laços com a Coreia do Norte foram observados usando pacotes Python envenenados como forma de distribuir um novo malware chamado PondRAT como parte de uma campanha em andamento.
PondRAT, de acordo com novas descobertas da Unidade 42 da Palo Alto Networks, é avaliado como uma versão mais leve do POOLRAT (também conhecido como SIMPLESEA), um backdoor conhecido do macOS que foi anteriormente atribuído ao Lazarus Group e implantado em ataques relacionados ao comprometimento da cadeia de suprimentos da 3CX no ano passado.
Alguns desses ataques fazem parte de uma campanha persistente de ataques cibernéticos chamada Operação Emprego dos Sonhos, na qual possíveis alvos são atraídos com ofertas de emprego atraentes na tentativa de induzi-los a baixar malware.
“Os invasores por trás desta campanha enviaram vários pacotes Python envenenados para o PyPI, um repositório widespread de pacotes Python de código aberto”, disse o pesquisador da Unidade 42, Yoav Zemah, vinculando a atividade com confiança moderada a um agente de ameaça chamado Gleaming Pisces.
O adversário também é rastreado pela comunidade de segurança cibernética mais ampla sob os nomes Citrine Sleet, Labyrinth Chollima, Nickel Academy e UNC4736, um subgrupo dentro do Lazarus Group que também é conhecido por distribuir o malware AppleJeus.
Acredita-se que o objetivo closing dos ataques seja “proteger o acesso aos fornecedores da cadeia de suprimentos por meio dos endpoints dos desenvolvedores e, posteriormente, obter acesso aos endpoints dos clientes dos fornecedores, conforme observado em incidentes anteriores”.
A lista de pacotes maliciosos, agora removidos do repositório PyPI, está abaixo –
A cadeia de infecção é bastante simples, pois os pacotes, uma vez baixados e instalados nos sistemas do desenvolvedor, são projetados para executar um próximo estágio codificado que, por sua vez, executa as versões Linux e macOS do malware RAT após recuperá-las de um servidor remoto.
Análises mais aprofundadas do PondRAT revelaram semelhanças com o POOLRAT e o AppleJeus, com os ataques também distribuindo novas variantes Linux do POOLRAT.
“As versões Linux e macOS (do POOLRAT) usam uma estrutura de função idêntica para carregar suas configurações, apresentando nomes de métodos e funcionalidades semelhantes”, disse Zemah.
“Além disso, os nomes dos métodos em ambas as variantes são surpreendentemente similares, e as strings são quase idênticas. Por fim, o mecanismo que manipula comandos do (servidor de comando e controle) é quase idêntico.”
O PondRAT, uma versão mais enxuta do POOLRAT, vem com recursos para carregar e baixar arquivos, pausar operações por um intervalo de tempo predefinido e executar comandos arbitrários.
“A evidência de variantes Linux adicionais do POOLRAT mostrou que o Gleaming Pisces vem aprimorando seus recursos nas plataformas Linux e macOS”, disse a Unit 42.
“A armamentização de pacotes Python aparentemente legítimos em vários sistemas operacionais representa um risco significativo para as organizações. A instalação bem-sucedida de pacotes maliciosos de terceiros pode resultar em infecção por malware que compromete uma rede inteira.”
A divulgação ocorre no momento em que a KnowBe4, que foi enganada para contratar um agente de ameaças norte-coreano como funcionário, disse que mais de uma dúzia de empresas “contrataram funcionários norte-coreanos ou foram cercadas por uma infinidade de currículos e candidaturas falsas enviadas por norte-coreanos na esperança de conseguir um emprego em sua organização”.
Ele descreveu a atividade, rastreada pela CrowdStrike sob o apelido Well-known Chollima, como uma “operação complexa, industrial e em escala de um estado-nação” e que representa um “risco sério para qualquer empresa com funcionários exclusivamente remotos”.
