据观察,与朝鲜有联系的黑客组织在正在进行的活动中使用投毒 Python 包来传播一种名为 PondRAT 的新恶意软件。
根据 Palo Alto Networks Unit 42 的最新发现,PondRAT 被评估为 POOLRAT(又名 SIMPLESEA)的轻量级版本,POOLRAT 是一种已知的 macOS 后门,之前被认为归属于 Lazarus Group,并部署在去年与3CX 供应链入侵相关的攻击中。
其中一些攻击是名为“Operation Dream Job(梦想工作行动)”的APT攻击活动的一部分,该活动以诱人的工作机会引诱潜在目标,试图诱骗他们下载恶意软件。
Unit 42 研究员 Yoav Zemah表示:“此次活动背后的攻击者将几个有毒的 Python 包上传到 PyPI(一个流行的开源 Python 包存储库)。”他有信心将此活动与一个名为 Gleaming Pisces 的攻击者组织联系起来。
网络安全社区还以 Citrine Sleet、Labyrinth Chollima、Nickel Academy 和 UNC4736 等名称追踪该攻击者, UNC4736 是 Lazarus Group 内的一个子集群,也因传播 AppleJeus 恶意软件而闻名。
人们认为,这些攻击的最终目标是“通过开发人员的端点获取对软件供应链供应商的访问权,并随后获得对供应商客户端点的访问权,就像在之前的事件中观察到的那样”。
现已从 PyPI 存储库中删除的恶意软件列表如下:
real-ids(下载次数:893)
colourtxt(下载381次)
beautifultext(下载量 736 次)
minisound(416 次下载)
感染链相当简单,因为软件包一旦下载并安装在开发人员系统上,就会被设计为执行编码的下一阶段,然后在从远程服务器检索 RAT 恶意软件的 Linux 和 macOS 版本后运行它们。
对 PondRAT 的进一步分析显示,它与 POOLRAT 和 AppleJeus 有相似之处,并且攻击还传播了 POOLRAT 的新 Linux 变种。
Zemah 表示:“POOLRAT 的 Linux 和 macOS 版本使用相同的函数结构来加载其配置,具有相似的方法名称和功能。”
“此外,两种变体中的方法名称非常相似,字符串几乎相同。响应[C2服务器]的命令机制几乎相同。”
PondRAT 是 POOLRAT 的精简版,具有上传和下载文件、在预定义的时间间隔内暂停操作以及执行任意命令的功能。
Unit 42 表示:“POOLRAT 的其他 Linux 变体的证据表明,Gleaming Pisces 一直在增强其在 Linux 和 macOS 平台上的功能。”
“在多个操作系统中将看似合法的 Python 软件包武器化对组织构成了重大风险。成功安装恶意第三方软件包可能会导致恶意软件感染,从而危及整个网络。”
