Uno de los grupos de amenazas más sofisticados de Corea del Norte ha ocultado malware de acceso remoto para macOS y Linux dentro de paquetes Python de código abierto.
La Amenaza Persistente Avanzada (APT, por sus siglas en inglés) de Corea del Norte se ha vuelto famosa en los últimos años por un tipo distintivo de ciberataque. Las estafas con criptomonedas se presentan de muchas formas, pero a menudo son plataformas comerciales falsas en las que se engaña a las víctimas para que divulguen la información de su billetera o descarguen malware. Los ataques a la cadena de suministro son comunes, especialmente con paquetes contaminados que se encuentran en repositorios públicos. La última y traviesa tendencia es utilizar pretextos falsos para obligar a trabajadores realmente honestos a firmar contratos con empresas occidentales y enviar sus salarios ganados al régimen de Kim. También es común lo contrario: los agentes se hacen pasar por reclutadores técnicos y persuaden a los desarrolladores para que descarguen malware.
El grupo, rastreado por la Unidad 42 de Palo Alto como Gleaming Piscis (conocido por Microsoft como Citrine Sleet), parece haber agregado la Categoría 2 a la Categoría 1. El grupo con motivación financiera, que ha estado activo desde 2018, tiene vínculos con la Oficina General de Reconocimiento (RGB) de Corea del Norte y es conocido por ataques armados con plataformas criptográficas falsas. La Unidad 42 actualmente evalúa con confianza media que el grupo fue responsable de cargar varios paquetes maliciosos en el Índice de paquetes de Python (PyPI) en febrero. Desde entonces, estos paquetes se han eliminado.
Paquetes PyPI modificados por la RPDC
La mayoría de los paquetes cargados en repositorios de código abierto son de naturaleza simple. “Lo interesante de estos paquetes es que tienen un mayor grado de complejidad que lo que normalmente se vería en un paquete inofensivo”, recuerda Louis Lang, cofundador y director de tecnología de Phylum.
Phylum identificó cuatro paquetes que vale la pena revisar: real-ids, minisound, colouredtxt y beautifultext. El nombre inofensivo parece implicar una funcionalidad legítima, como el resaltado de sintaxis de la salida del terminal.
En realidad, el paquete contenía código malicioso que fue decodificado y ejecutado tras la descarga. Luego, el código ejecuta un comando bash para recuperar y descargar un troyano de acceso remoto (RAT) llamado 'PondRAT'.
PondRAT es una puerta trasera completamente simple que solo puede realizar algunas funciones, como cargar y descargar archivos, verificar si el implante está activo e indicarle que duerma, y ejecutar comandos emitidos por el operador. Es esencialmente una versión “ligera” de PoolRAT. PoolRAT es conocida como la puerta trasera Gleaming Piscis para macOS y tiene seis veces más funciones estándar que sus sucesores, incluida la lista de directorios, la eliminación de archivos y más.
No se requiere Windows
Quizás más notable que el malware en sí es el hecho de que sus autores lo crearon específicamente para sistemas macOS y Linux.
Pero dada la base de usuarios típica de Gleaming Piscis, tiene sentido no adoptar el sistema operativo Windows que los piratas informáticos han favorecido durante mucho tiempo. Lang explica: “Están apuntando a constructores reales, infraestructura CI/CD, estaciones de trabajo para desarrolladores. Esos entornos estarán basados abrumadoramente en Linux o macOS. Personas que están haciendo desarrollo puro de Windows. Entonces, si está apuntando a desarrolladores, tiene sentido enviar variantes para estos sistemas porque ahí es donde vive su público objetivo.
Por lo tanto, los desarrolladores deben tener cuidado con los ataques de phishing, como las plataformas criptográficas falsas y las estafas laborales. Aunque es raro que un paquete impopular y altamente genérico sea extraído de PyPI, es muy posible que el mismo paquete se integre silenciosamente en una cadena de infección más amplia.
“Cuando agregas un paquete, puede tener efectos posteriores. En realidad, estás incorporando otros 30 o 40 paquetes a los que ese paquete podría estar conectado. Entonces… Si fuera desarrollador, intentaría minimizar mi superficie de ataque. siendo muy consciente de lo que instalo y minimizando la cantidad de paquetes que incluyo y, por supuesto, escaneando los paquetes en busca de zombis, cadenas de alta entropía y confusión de código”, sugiere Lang.
“Como siempre decimos, una actualización puede provocar una infección de malware”, añadió.
https://www.darkreading.com/threat-intelligence/citrine-sleet-poisons-pypi-packages-mac-linux-malware
