Эксперты компании Palo Alto Networks выявили новую масштабную кибератаку, нацеленную на разработчиков программного обеспечения. Злоумышленники, предположительно связанные с северокорейской хакерской группировкой Lazarus, разместили в популярном репозитории PyPI несколько вредоносных Python-пакетов, содержащих малварь PondRAT.
Анализ вредоносного ПО PondRAT
PondRAT представляет собой облегченную версию ранее известного бэкдора POOLRAT (также известного как SIMPLESEA), который использовался группировкой Lazarus в прошлогодней атаке на 3CX. Этот вредоносный инструмент обладает широким функционалом, включая возможности:
- Загрузки и выгрузки файлов
- Приостановки операций на заданный промежуток времени
- Выполнения произвольных команд на зараженной системе
Исследователи отмечают значительное сходство PondRAT с POOLRAT и другой известной малварью северокорейского происхождения — AppleJeus. Это позволяет с высокой вероятностью связать данную кампанию с группировкой Gleaming Pisces, являющейся подразделением Lazarus.
Механизм атаки и цели злоумышленников
Вредоносные пакеты, загруженные в PyPI, были нацелены на разработчиков и компании, участвующие в цепочках поставок программного обеспечения. После установки зараженных пакетов на системы жертв, малварь PondRAT загружалась с удаленного сервера и активировалась.
Основные цели атаки:
- Получение доступа к системам разработчиков
- Проникновение в инфраструктуру поставщиков ПО
- Дальнейшее распространение на системы клиентов через зараженные продукты
Связь с кампанией Dream Job
Эксперты Palo Alto Networks связывают обнаруженную активность с продолжающейся вредоносной кампанией Dream Job, впервые описанной компанией ClearSky в 2020 году. В рамках этой операции злоумышленники используют фишинговые письма с привлекательными предложениями о работе для распространения вредоносного ПО.
Рекомендации по защите
Учитывая серьезность угрозы, специалисты по кибербезопасности рекомендуют организациям принять следующие меры:
- Тщательно проверять все сторонние пакеты перед установкой
- Использовать инструменты анализа зависимостей для выявления потенциально опасных компонентов
- Регулярно обновлять системы безопасности и проводить аудит используемого ПО
- Обучать сотрудников правилам кибергигиены и распознаванию фишинговых атак
Обнаружение вредоносных пакетов в PyPI подчеркивает растущую угрозу атак на цепочки поставок ПО. Организациям необходимо усилить меры безопасности и проявлять повышенную бдительность при работе с внешними репозиториями и сторонними компонентами. Только комплексный подход к кибербезопасности позволит эффективно противостоять столь изощренным атакам со стороны высококвалифицированных хакерских группировок.
