23 de septiembre de 2024Ravie LakshmananSeguridad de software / Cadena de suministro Se ha observado que actores de amenazas con vínculos con Corea del Norte utilizan paquetes de Python envenenados como una forma de distribuir un nuevo malware llamado PondRAT como parte de una campaña en curso. PondRAT, según los nuevos hallazgos de la Unidad 42 de Palo Alto Networks, se considera una versión más ligera de POOLRAT (también conocido como SIMPLESEA), una puerta trasera de macOS conocida que se ha atribuido anteriormente al Grupo Lazarus y se implementó en ataques relacionados con el compromiso de la cadena de suministro de 3CX el año pasado. Algunos de estos ataques son parte de una campaña de ciberataque persistente denominada Operación Dream Job, en la que se atrae a los posibles objetivos con tentadoras ofertas de trabajo en un intento de engañarlos para que descarguen malware. «Los atacantes detrás de esta campaña cargaron varios paquetes de Python envenenados en PyPI, un repositorio popular de paquetes de Python de código abierto», dijo el investigador de la Unidad 42 Yoav Zemah, vinculando la actividad con moderada confianza a un actor de amenazas llamado Gleaming Pisces. El adversario también es rastreado por la comunidad de ciberseguridad más amplia bajo los nombres Citrine Sleet, Labyrinth Chollima, Nickel Academy y UNC4736, un subgrupo dentro del Grupo Lazarus que también es conocido por distribuir el malware AppleJeus. Se cree que el objetivo final de los ataques es «asegurar el acceso a los proveedores de la cadena de suministro a través de los puntos finales de los desarrolladores y, posteriormente, obtener acceso a los puntos finales de los clientes de los proveedores, como se observó en incidentes anteriores». La lista de paquetes maliciosos, ahora eliminados del repositorio PyPI, se encuentra a continuación: La cadena de infección es bastante simple en el sentido de que los paquetes, una vez descargados e instalados en los sistemas de los desarrolladores, están diseñados para ejecutar una siguiente etapa codificada que, a su vez, ejecuta las versiones de Linux y macOS del malware RAT después de recuperarlas de un servidor remoto. Un análisis más detallado de PondRAT ha revelado similitudes con POOLRAT y AppleJeus, y los ataques también distribuyen nuevas variantes de Linux de POOLRAT. «Las versiones de Linux y macOS [of POOLRAT] «Utilizan una estructura de funciones idéntica para cargar sus configuraciones, con nombres de métodos y funcionalidades similares», dijo Zemah. «Además, los nombres de los métodos en ambas variantes son sorprendentemente similares y las cadenas son casi idénticas. Por último, el mecanismo que maneja los comandos desde el [command-and-control server] es casi idéntico». PondRAT, una versión más sencilla de POOLRAT, viene con capacidades para cargar y descargar archivos, pausar operaciones durante un intervalo de tiempo predefinido y ejecutar comandos arbitrarios. «La evidencia de variantes Linux adicionales de POOLRAT mostró que Gleaming Pisces ha estado mejorando sus capacidades en las plataformas Linux y macOS», dijo Unit 42. «La utilización de paquetes Python de apariencia legítima como arma en múltiples sistemas operativos representa un riesgo significativo para las organizaciones. La instalación exitosa de paquetes maliciosos de terceros puede resultar en una infección de malware que compromete una red completa». La revelación se produce cuando KnowBe4, que fue engañada para contratar a un actor de amenazas norcoreano como empleado, dijo que más de una docena de empresas «contrataron a empleados norcoreanos o habían sido asediadas por una multitud de currículums y solicitudes falsos enviados por norcoreanos con la esperanza de conseguir un trabajo en su organización». Describió la actividad, rastreada por CrowdStrike bajo el apodo de Famous Chollima, como una «operación compleja, industrial y a gran escala de un estado-nación» y que representa un «riesgo grave para cualquier empresa con empleados que solo trabajan a distancia». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.