Експерти з кібербезпеки компанії Palo Alto Networks виявили серйозну загрозу для розробників програмного забезпечення. У популярному репозиторії Python-пакетів PyPI було знайдено шкідливе програмне забезпечення PondRAT, пов’язане з північнокорейськими хакерами. Ця знахідка викликає серйозне занепокоєння в спільноті кібербезпеки та вимагає підвищеної пильності від розробників.
Аналіз PondRAT: нова загроза з відомим корінням
PondRAT представляє собою полегшену версію вже відомого шкідливого програмного забезпечення POOLRAT (також відомого як SIMPLESEA). Цей бекдор для macOS раніше був пов’язаний з горезвісною хакерською групою Lazarus. Функціональність PondRAT включає можливість завантаження та вивантаження файлів, призупинення операцій на заданий час та виконання довільних команд, що робить його потужним інструментом в руках зловмисників.
Кампанія “Dream Job”: від фішингу до зараження систем
Виявлені атаки є частиною триваючої шкідливої кампанії під назвою “Dream Job”, вперше описаної експертами ClearSky у 2020 році. Ця кампанія використовує соціальну інженерію, приваблюючи користувачів фальшивими пропозиціями роботи з метою спонукання їх до завантаження шкідливого ПЗ. Така тактика демонструє високий рівень витонченості та цілеспрямованості атак.
Зв’язок з північнокорейськими хакерами
Дослідники Palo Alto Networks пов’язують цю активність з північнокорейською хакерською групою Gleaming Pisces (також відома як Citrine Sleet, Labyrinth Chollima, Nickel Academy і UNC4736). Ця група вважається підрозділом Lazarus і раніше була помічена в розповсюдженні шкідливого ПЗ AppleJeus. Такий зв’язок підкреслює серйозність загрози та потенційні геополітичні мотиви атак.
Механізм атаки: зараження через PyPI
Зловмисники завантажили кілька шкідливих Python-пакетів до репозиторію PyPI. Після встановлення на системах розробників ці пакети завантажували PondRAT з віддаленого сервера хакерів та запускали його на комп’ютерах жертв. Ця тактика націлена на отримання доступу до постачальників у ланцюжку поставок через кінцеві точки їхніх розробників, що потенційно може призвести до масштабних компрометацій.
Схожість з відомими загрозами
Аналіз PondRAT виявив значну схожість з POOLRAT та AppleJeus. Експерти відзначають ідентичну структуру функцій, схожі назви методів та функціональність у версіях для Linux і macOS. Такі збіги підтверджують зв’язок з раніше відомими атаками та вказують на еволюцію тактик північнокорейських хакерів.
Ця кібератака підкреслює критичну важливість безпеки ланцюжка поставок програмного забезпечення. Організаціям та розробникам настійно рекомендується посилити заходи безпеки, ретельно перевіряти сторонні пакети перед встановленням та регулярно оновлювати системи захисту. Пильність та проактивний підхід до кібербезпеки стають ключовими факторами в протидії таким витонченим загрозам.