PondRAT: новая атака на Linux и macOS затронула организации по всему миру

Исследователи раскрыли новый метод проникновения, нацеленный на разработчиков.


obn5ym06yden75t5t3yoe264nj1a9taf.jpg


Исследователи из Unit 42 обнаружили новую вредоносную кампанию, организованную северокорейской группировкой Gleaming Pisces и нацеленную на системы Linux и macOS с использованием вредоносных Python -пакетов. Злоумышленники распространяют заражённые пакеты через популярный репозиторий PyPI, внедряя в них бэкдор PondRAT — облегчённую версию ранее известного POOLRAT.

Атака начинается с загрузки вредоносных пакетов, таких как «real-ids», «coloredtxt», «beautifultext» и «minisound», в PyPI. При установке эти пакеты запускают команды, которые загружают PondRAT, обеспечивая злоумышленникам полный контроль над устройством. Вредоносное ПО позволяет загружать и выгружать файлы, выполнять команды и даже приостанавливать работу системы.

Особую опасность представляет кроссплатформенный характер атаки, которая охватывает как Linux, так и macOS. PondRAT, несмотря на меньший функционал по сравнению с POOLRAT, обладает достаточной мощью для кражи данных и нарушения работы сети. Анализ C2-инфаструктуры показал, что она практически идентична POOLRAT, что позволяет злоумышленникам управлять заражёнными системами с высокой эффективностью.

Группировка Gleaming Pisces, известная своими связями с разведывательным бюро Северной Кореи, не впервые привлекает внимание специалистов. Ранее она проводила атаки в криптовалютной сфере, распространяя вредоносное ПО под видом программ для торговли. Текущая кампания с использованием Python-пакетов демонстрирует её способность к адаптации и расширению методов атак.

Исследователи Unit 42 выявили сходства в коде PondRAT и вредоносных программ, применявшихся в предыдущих атаках Gleaming Pisces. Одинаковые названия функций, общие структуры кода и совпадающие ключи шифрования подтверждают, что это очередная попытка группировки захватить цепочку поставок ПО.

Несмотря на удаление заражённых пакетов из PyPI, угроза остаётся актуальной. Организациям рекомендуется внимательно проверять используемые пакеты, проводить регулярные ревизии кода и контролировать его выполнение в режиме реального времени, чтобы минимизировать риски подобных атак.