اخیرا مشاهده شده است که هکرهای مرتبط با کره شمالی در حال توزیع پکیجهای پایتون آلوده به بدافزار PondRAT میباشند.
PondRAT یک نسخه سبکتر از بدافزار POOLRAT (معروف به SIMPLESEA)، یک بکدور شناخته شده مختص سیستم عامل macOS میباشد که قبلاً به گروه Lazarus (لازاروس) نسبت داده شده و در حملات مربوط به زنجیره تأمین CX3 استفاده شده است.
بدافزار PondRAT دارای قابلیتهایی برای آپلود و دانلود فایلها، توقف عملیات برای یک بازه زمانی از پیش تعریف شده و اجرای دستورات دلخواه است.
هکرهایی که در پشت این حملات قرار دارند، چندین پکیج Python آلوده را در مخزن PyPI، آپلود کردهاند و این فعالیت با اطمینان متوسطی به تهدید کنندهای به نام Gleaming Pisces نسبت داده شده است.
گروه Gleaming Pisces همچنین توسط جامعه امنیت سایبری گستردهتر تحت نامهای Citrine Sleet، Labyrinth Chollima، Nickel Academy و UNC4736، یک گروه فرعی در گروه Lazarus که به دلیل توزیع بدافزار AppleJeus شناخته میشود، دنبال میگردد.
لیست پکیجهای مخرب که اکنون از مخزن PyPI حذف شدهاند، به شرح زیر میباشد:
- real-ids (893 دانلود)
- coloredtxt (381 دانلود)
- beautifultext (736 دانلود)
- minisound (416 دانلود)
زنجیره نفوذ بدافزار PondRAT
زنجیره نفوذ بدافزار PondRAT بسیار ساده است، زیرا پکیجها پس از دانلود و نصب بر روی سیستم توسعه دهندگان، پیلود مرحله بعدی را اجرا میکنند که به نوبه خود، نسخههای Linux و macOS بدافزار RAT را پس از دانلود از یک سرور راه دور، اجرا میکنند.
تجزیه و تحلیل بیشتر بدافزار PondRAT بیانگر شباهتهایی با بدافزارهای POOLRAT و AppleJeus میباشد. نسخههای لینوکس و macOS بدافزار POOLRAT از ساختار عملکرد یکسانی برای بارگذاری پیکربندیهای خود استفاده میکنند که دارای عملکرد و نام متدهای مشابهی هستند.
نام متدها در هر دو نوع به طور قابل توجهی مشابه بوده و رشتهها تقریباً یکسان میباشند و مکانیزمی که دستورات را از سرور فرماندهی و کنترل، مدیریت میکند نیز تا حد زیادی یکسان است.
شواهد حاکی از آن است که Gleaming Pisces، قابلیتهای خود را در پلتفرمهای لینوکس و macOS افزایش داده است.
ایجاد پکیجهای پایتون آلوده با ظاهر قانونی در چندین سیستم عامل، خطر قابل توجهی را برای سازمانها ایجاد میکند. نصب موفقیتآمیز پکیجهای مخرب میتواند کل شبکه را به خطر اندازد.
