En una nueva campaña de ciberataques, actores con vínculos a Corea del Norte han sido identificados utilizando paquetes de Python infectados para distribuir un malware llamado PondRAT, según un reciente informe de Palo Alto Networks Unit 42.
PondRAT es descrito como una versión más ligera de POOLRAT (también conocido como SIMPLESEA), un backdoor previamente atribuido al grupo Lazarus, famoso por ataques de alto perfil como el compromiso de la cadena de suministro de 3CX en 2023. Esta nueva amenaza está siendo utilizada en la operación continua Dream Job, donde los atacantes atraen a desarrolladores con ofertas de trabajo falsas para engañarlos y hacer que descarguen malware.
Distribución a través de PyPI
Los investigadores de Unit 42, liderados por Yoav Zemah, han vinculado esta actividad con confianza moderada a un actor de amenazas apodado Gleaming Pisces, también conocido en la comunidad de ciberseguridad bajo nombres como Citrine Sleet, Labyrinth Chollima, Nickel Academy y UNC4736. Este grupo es parte del famoso Lazarus Group, conocido por distribuir el malware AppleJeus.
El modus operandi de esta campaña consiste en la publicación de paquetes de Python maliciosos en el repositorio PyPI, una fuente popular de software de código abierto. Estos paquetes, una vez descargados e instalados por desarrolladores, ejecutan una carga codificada que posteriormente despliega versiones de PondRAT para Linux y macOS. Los paquetes infectados han sido retirados de PyPI, pero incluyen:
- real-ids (893 descargas)
- coloredtxt (381 descargas)
- beautifultext (736 descargas)
- minisound (416 descargas)
Objetivos y Funcionamiento de PondRAT
El objetivo final de estos ataques es infiltrarse en las redes de las empresas de la cadena de suministro a través de los endpoints de los desarrolladores y, eventualmente, comprometer los sistemas de los clientes. PondRAT cuenta con capacidades de descarga y subida de archivos, ejecución de comandos arbitrarios y pausas en su operación.
PondRAT comparte muchas similitudes con POOLRAT y AppleJeus, incluyendo una estructura de funciones casi idéntica para cargar configuraciones y manejar comandos desde el servidor de control. Según los investigadores, estas similitudes demuestran que Gleaming Pisces ha estado mejorando su malware para operar eficazmente tanto en Linux como en macOS.
Riesgos Para las Organizaciones
La utilización de paquetes de Python aparentemente legítimos y su capacidad para operar en múltiples sistemas operativos representa un riesgo significativo para las organizaciones. La instalación de estos paquetes maliciosos puede comprometer una red completa, facilitando el acceso no autorizado a través de endpoints vulnerables.
Infiltración de Trabajadores de Corea del Norte en Empresas Occidentales
La revelación de PondRAT llega junto con la preocupación creciente por la infiltración de trabajadores de Corea del Norte en empresas tecnológicas occidentales. Investigaciones de KnowBe4 y CrowdStrike detallan cómo agentes norcoreanos, utilizando identidades robadas, han logrado conseguir empleos remotos en diversas compañías de tecnología, aumentando los riesgos de ciberespionaje y sabotaje.
Este tipo de actividades, descritas como operaciones de estado a gran escala, representan una amenaza considerable, especialmente para las empresas que operan con empleados 100% remotos.
Este nuevo ataque subraya la necesidad de que los desarrolladores y empresas refuercen sus medidas de seguridad, especialmente cuando trabajan con dependencias de software de fuentes abiertas.