Исследователи из Unit 42 обнаружили новую вредоносную кампанию, организованную северокорейской группировкой Gleaming Pisces и нацеленную на системы Linux и macOS с использованием вредоносных Python-пакетов. Злоумышленники распространяют заражённые пакеты через популярный репозиторий PyPI, внедряя в них бэкдор PondRAT – облегчённую версию ранее известного POOLRAT.
Атака начинается с загрузки вредоносных пакетов, таких как “real-ids”, “coloredtxt”, “beautifultext” и “minisound”, в PyPI. При установке эти пакеты запускают команды, которые загружают PondRAT, обеспечивая злоумышленникам полный контроль над системой. Вредоносное ПО позволяет загружать и выгружать файлы, выполнять команды и даже приостанавливать работу системы.
Особую опасность представляет кроссплатформенный характер атаки, которая охватывает как Linux, так и macOS. PondRAT, несмотря на меньший функционал по сравнению с POOLRAT, обладает достаточной мощью для кражи данных и нарушения работы сети. Анализ командной структуры показал, что она практически идентична POOLRAT, что позволяет злоумышленникам управлять заражёнными системами с высокой эффективностью.
Группировка Gleaming Pisces, известная своими связями с разведывательным бюро Северной Кореи, не впервые привлекает внимание специалистов. Ранее она проводила атаки в криптовалютной сфере, распространяя вредоносное ПО под видом программ для торговли. Текущая кампания с использованием Python-пакетов демонстрирует её способность к адаптации и расширению методов атак.
Исследователи Unit 42 выявили сходства в коде PondRAT и вредоносных программ, применявшихся в предыдущих атаках Gleaming Pisces. Одинаковые названия функций, общие структуры кода и совпадающие ключи шифрования подтверждают, что это очередная попытка группировки проникнуть в цепочки поставок ПО.
Несмотря на удаление заражённых пакетов из PyPI, угроза остаётся актуальной. Организациям рекомендуется внимательно проверять используемые пакеты, проводить регулярные ревизии кода и контролировать его выполнение в режиме реального времени, чтобы минимизировать риски подобных атак.