隐藏在 Python 软件包中的新型 PondRAT 恶意软件瞄准软件开发人员_显卡

文章图片

据观察，与朝鲜有联系的黑客组织在正在进行的活动中使用投毒 Python 包来传播一种名为 PondRAT 的新恶意软件。

根据 Palo Alto Networks Unit 42 的最新发现， PondRAT 被评估为 POOLRAT（又名 SIMPLESEA）的轻量级版本， POOLRAT 是一种已知的 macOS 后门，之前被认为归属于 Lazarus Group ，并部署在去年与3CX 供应链入侵相关的攻击中。

其中一些攻击是名为“Operation Dream Job（梦想工作行动）”的APT攻击活动的一部分，该活动以诱人的工作机会引诱潜在目标，试图诱骗他们下载恶意软件。

Unit 42 研究员 Yoav Zemah表示：“此次活动背后的攻击者将几个有毒的 Python 包上传到 PyPI（一个流行的开源 Python 包存储库）。 ”他有信心将此活动与一个名为 Gleaming Pisces 的攻击者组织联系起来。

网络安全社区还以 Citrine Sleet、Labyrinth Chollima、Nickel Academy 和 UNC4736 等名称追踪该攻击者，UNC4736 是 Lazarus Group 内的一个子集群，也因传播 AppleJeus 恶意软件而闻名。

人们认为，这些攻击的最终目标是“通过开发人员的端点获取对软件供应链供应商的访问权，并随后获得对供应商客户端点的访问权，就像在之前的事件中观察到的那样” 。

现已从 PyPI 存储库中删除的恶意软件列表如下：

real-ids（下载次数：893）
colourtxt（下载381次）
beautifultext（下载量 736 次）
【隐藏在 Python 软件包中的新型 PondRAT 恶意软件瞄准软件开发人员】minisound（416 次下载）

感染链相当简单，因为软件包一旦下载并安装在开发人员系统上，就会被设计为执行编码的下一阶段，然后在从远程服务器检索 RAT 恶意软件的 Linux 和 macOS 版本后运行它们。

对 PondRAT 的进一步分析显示，它与 POOLRAT 和 AppleJeus 有相似之处，并且攻击还传播了 POOLRAT 的新 Linux 变种。

Zemah 表示：“POOLRAT 的 Linux 和 macOS 版本使用相同的函数结构来加载其配置，具有相似的方法名称和功能。 ”

“此外，两种变体中的方法名称非常相似，字符串几乎相同。响应[C2服务器
的命令机制几乎相同。 ”

PondRAT 是 POOLRAT 的精简版，具有上传和下载文件、在预定义的时间间隔内暂停操作以及执行任意命令的功能。

Unit 42 表示：“POOLRAT 的其他 Linux 变体的证据表明， Gleaming Pisces 一直在增强其在 Linux 和 macOS 平台上的功能。 ”

“在多个操作系统中将看似合法的 Python 软件包武器化对组织构成了重大风险。成功安装恶意第三方软件包可能会导致恶意软件感染，从而危及整个网络。 ”

技术报告：https://unit42.paloaltonetworks.com/gleaming-pisces-applejeus-poolrat-and-pondrat/

新闻链接：
https://thehackernews.com/2024/09/new-pondrat-malware-hidden-in-python.html