朝鲜最老练的威胁组织之一一直在开源 Python 包中隐藏适用于 macOS 和 Linux 的远程访问恶意软件。
近年来,朝鲜高级持续性威胁 (APT) 因某些特征类型的网络攻击而臭名昭著。加密货币骗局可以有多种形式——通常是虚假交易平台,受害者被引诱泄露钱包信息或下载恶意软件。供应链攻击很常见,尤其是通过在公共存储库上抢注有毒的软件包。最近一个顽皮的趋势是,以虚假的借口将实际、诚实的劳动力承包给西方公司,然后将赚到的薪水汇回金正恩所在的州。反之亦然 — 代理冒充技术招聘人员,说服开发人员下载恶意软件 — 也很常见。
这个乐队被帕洛阿尔托的 Unit 42 追踪为 Gleaming Pisces(Microsoft 追踪为 Citrine Sleet),似乎用第二类补充了第一类。这个以经济为动机、与朝鲜侦察总局 (RGB) 有关联的组织自 2018 年以来一直活跃,以将虚假加密平台武器化的攻击而闻名。Unit 42 现在以中等置信度评估,它负责在 2 月份将一些恶意包上传到 Python 包索引 (PyPI)。这些软件包已被撤下。
DPRK 中毒的 PyPI 程序包
大多数上传到开源存储库的软件包本质上都很简单。正如 Phylum 的联合创始人兼首席技术官 (CTO) Louis Lang 回忆的那样,“这些软件包的有趣之处在于,其复杂程度比通常的良性软件包要高。
Phylum 确定了四个值得再看一眼的包:real-ids、minisound、coloredtxt 和 beautifultext。这些无害的名称似乎暗示了合法的功能,例如终端输出的语法高亮显示。
实际上,这些软件包包含恶意代码,这些代码将在下载时解码和执行。然后,该代码将运行 bash 命令,以检索和下载 名为“PondRAT”的远程访问木马 (RAT)。
PondRAT 是一个非常简单的后门,只有几个功能:上传和下载文件、检查植入物是否处于活动状态或指示它进入睡眠状态,以及执行操作员发出的命令。从本质上讲,它是 PoolRAT 的“轻量级”版本。PoolRAT 是一个已知的 macOS 闪闪发光的双鱼座后门,它比其继任者多了六种标准功能,例如列出目录、删除文件等。
无需 Windows
比恶意软件本身更值得注意的是,它的作者仅为 macOS 和 Linux 系统编写了它。
不过,当考虑到 Gleaming Pisces 的典型受众时,放弃黑客长期以来喜欢的 Windows 操作系统是有道理的。正如 Lang 解释的那样,“他们的目标是实际的构建者、CI/CD 基础设施、开发人员工作站 — 这些环境绝大多数都将基于 Linux 或 macOS。很少有人在直接 Windows 上进行开发。因此,如果您以开发人员为目标,那么为这些系统提供变体是有意义的,因为那里是您的目标人群居住的地方。
因此,开发人员需要警惕网络钓鱼攻击,例如那些虚假的加密平台和招聘骗局。因为虽然很少有人会从 PyPI 中提取不受欢迎的超通用包,但同样的包完全有可能被悄悄地集成到更广泛的感染链中。
“如果你添加一个包,它可能会对下游产生影响,你实际上会拉入 30 到 40 个它可能 [连接到] 的其他包。因此,如果我是一名开发人员,我会非常清楚我正在安装的内容,并尝试通过最大限度地减少我拉入的包数量来最大限度地减少攻击面。然后,显然,扫描包——寻找这些僵尸,寻找高熵字符串,寻找代码混淆,“Lang 建议道。
“就像我们经常说的那样,”他补充道,“您距离恶意软件只差一个更新。
发表评论
您还未登录,请先登录。
登录