Los investigadores han descubierto un nuevo método de infiltración dirigido a los desarrolladores.
Los investigadores de Unit 42 descubrieron una nueva campaña maliciosa organizada por el grupo norcoreano Gleaming Pisces, dirigida a sistemas Linux y macOS utilizando paquetes maliciosos de Python. Los atacantes distribuyen paquetes infectados a través del popular repositorio PyPI, introduciendo en ellos el backdoor PondRAT, una versión más ligera del previamente conocido POOLRAT.
El ataque comienza con la carga de paquetes maliciosos, como "real-ids", "coloredtxt", "beautifultext" y "minisound", en PyPI. Al instalarse, estos paquetes ejecutan comandos que descargan PondRAT, proporcionando a los atacantes control total sobre el dispositivo. El malware permite cargar y descargar archivos, ejecutar comandos e incluso pausar el funcionamiento del sistema.
El carácter multiplataforma del ataque, que afecta tanto a Linux como a macOS, representa un peligro particular. PondRAT, a pesar de tener menos funcionalidades en comparación con POOLRAT, tiene suficiente capacidad para robar datos y comprometer el funcionamiento de la red. El análisis de la infraestructura de C2 mostró que es prácticamente idéntica a POOLRAT, lo que permite a los atacantes gestionar los sistemas infectados con gran eficacia.
El grupo Gleaming Pisces, conocido por sus vínculos con la oficina de inteligencia de Corea del Norte, ya ha llamado la atención de los expertos anteriormente. Anteriormente, realizó ataques en el ámbito de las criptomonedas, distribuyendo malware disfrazado de software de comercio. La campaña actual que utiliza paquetes de Python demuestra su capacidad de adaptación y expansión de los métodos de ataque.
Los investigadores de Unit 42 identificaron similitudes en el código de PondRAT y en los programas maliciosos utilizados en ataques anteriores de Gleaming Pisces. Los nombres de las funciones, las estructuras de código comunes y las claves de cifrado coincidentes confirman que este es otro intento del grupo de comprometer la cadena de suministro de software.
A pesar de que los paquetes infectados han sido eliminados de PyPI, la amenaza sigue siendo relevante. Se recomienda a las organizaciones revisar cuidadosamente los paquetes que utilizan, realizar auditorías periódicas del código y monitorear su ejecución en tiempo real para minimizar los riesgos de este tipo de ataques.