Um novo malware denominado PondRAT está visando a comunidade de desenvolvedores de software ao se esconder em pacotes Python, conforme descoberto pelos pesquisadores da Unidade 42 da Palo Alto Networks. Acredita-se que os agentes por trás do ataque estejam ligados à Coreia do Norte, com ligações ao Lazarus Group, conhecidos por outros ciberataques de alto perfil.
PondRAT é uma amostra mais leve de outro malware conhecido como POOLRAT (ou SIMPLESEA), um backdoor que infectou sistemas macOS e esteve envolvido na violação da cadeia de suprimentos da empresa 3CX no último ano. O recente ataque faz parte de uma ampla campanha apelidada de “Operação Emprego dos Sonhos”, que engana os alvos oferecendo oportunidades de emprego fictícias para levá-los a baixar os programas maliciosos.
Os cibercriminosos distribuíram diversos pacotes maliciosos através do repositório PyPI, que é uma plataforma popular para o compartilhamento e distribuição de pacotes Python de código aberto. Segundo Yoav Zemah, pesquisador da Unidade 42, esses pacotes estavam vinculados a um agente de ameaça chamado Gleaming Pisces, que atua sob diversos outros pseudônimos dentro da comunidade cibernética, como Citrine Sleet, Labyrinth Chollima, Nickel Academy e UNC4736.
Os pacotes que foram identificados e removidos do PyPI incluíram “IDs reais,” “coloredtxt,” “texto bonito,” e “minisound,” com números totais de downloads variando de 381 a 893. A infecção se inicia quando os pacotes mal intencionados são baixados e instalados. Eles executam script que baixa e instala versões Linux e macOS do malware a partir de um servidor remoto.
Uma análise minuciosa mostrou que o PondRAT tem semelhanças com POOLRAT e AppleJeus, com funcionalidades incluindo a capacidade de carregar e baixar arquivos, pausar operações por períodos predeterminados e executar comandos arbitrários. Isso sugere que Gleaming Pisces está aprimorando suas capacidades de ataque contra sistemas Linux e macOS.
Esta descoberta levanta preocupações significativas para as organizações, uma vez que a instalação de pacotes maliciosos pode colocar em risco toda uma rede. Além desta campanha, foi também relatado pela empresa de segurança KnowBe4 e confirmado pela CrowdStrike, que empresas têm sido alvo de esquemas fraudulentos de emprego ligados à Coreia do Norte, uma operação que representa um risco sério para empresas com trabalhadores remotos.
Os especialistas em segurança cibernética recomendam que organizações e desenvolvedores permaneçam vigilantes no que diz respeito a downloads e instalações de pacotes de fontes não verificadas para ajudar a mitigar tais riscos.