Desarrolladores de software atacados por malware oculto en paquetes de Python

Los expertos han advertido que los desarrolladores de Python que trabajan en dispositivos Mac están una vez más en el punto de mira de los piratas informáticos norcoreanos.

Según un informe de la Unidad 42 de investigadores de ciberseguridad, el ataque es parte de la llamada “Operación Dream Job”, dirigida, al menos en parte, por el notorio grupo de hackers Lazarus Group, que está al servicio de Corea del Norte. La operación consiste en crear anuncios de empleo falsos y atraer a desarrolladores de software para que presenten solicitudes. Durante el proceso de reclutamiento, los delincuentes engañan a los desarrolladores para que descarguen y ejecuten paquetes maliciosos, otorgando a los atacantes acceso a recursos críticos.

En este caso, se observó a los delincuentes cargando paquetes de Python armados en PyPI, uno de los repositorios de paquetes de Python más populares del mundo.

libra de rata

Hasta ahora, los investigadores han identificado cuatro paquetes que desde entonces han sido marcados y eliminados de la plataforma.

identificadores reales (893 descargas)
texto coloreado (381 descargas)
hermoso texto (736 descargas)
Mini Sonido (416 descargas)

Estos paquetes supuestamente contenían malware llamado PondRAT. Este troyano de acceso remoto es una versión simplificada de POOLRAT (también conocido como SIMPLESEA), una conocida puerta trasera de macOS que Lazarus ha visto implementada en el pasado.

PondRAT no puede hacer todo lo que puede hacer POOLRAT, pero puede cargar y descargar archivos, ejecutar comandos arbitrarios e incluso dejar de funcionar por un tiempo.

Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, funciones y orientación que necesita para tener éxito en su negocio.

“La evidencia de variantes adicionales de Linux de POOLRAT indica que Gleaming Pisces tiene una funcionalidad mejorada en las plataformas Linux y macOS”, dijo la Unidad 42. Según la Unidad 42, los Piscis relucientes son un subgrupo de Lázaro.

“La utilización como arma de paquetes Python de apariencia legítima en múltiples sistemas operativos representa un riesgo significativo para las organizaciones. La instalación exitosa de paquetes maliciosos de terceros resulta en infecciones de malware que comprometen toda la red. Existe una posibilidad”.

En los últimos meses, Lazarus ha estado creando anuncios de trabajo falsos para estafar a los desarrolladores que trabajan en empresas conocidas. También se ha confirmado que intentaba ser contratado por estas empresas.

De noticias de hackers

Más artículos de TechRadar Pro

https://www.techradar.com/pro/security/software-developers-targeted-by-malware-hidden-in-python-packages