Aktor ancaman yang memiliki hubungan dengan Korea Utara telah terlihat menggunakan paket Python beracun sebagai cara untuk mengirimkan malware baru yang disebut PondRAT sebagai bagian dari kampanye yang sedang berlangsung.
PondRAT, menurut temuan baru dari Palo Alto Networks Unit 42, dinilai sebagai versi lebih ringan dari POOLRAT (alias SIMPLESEA), pintu belakang macOS yang diketahui sebelumnya dikaitkan dengan Lazarus Group dan digunakan dalam serangan yang terkait dengan kompromi rantai pasokan 3CX tahun lalu.
Beberapa serangan ini merupakan bagian dari kampanye serangan cyber berkelanjutan yang dijuluki Operasi Dream Job, di mana calon target diiming-imingi dengan tawaran pekerjaan yang menarik sebagai upaya untuk mengelabui mereka agar mengunduh malware.
“Penyerang di balik kampanye ini mengunggah beberapa paket Python beracun ke PyPI, repositori populer paket Python sumber terbuka,” kata peneliti Unit 42 Yoav Zemah, yang dengan keyakinan sedang mengaitkan aktivitas tersebut dengan aktor ancaman bernama Gleaming Pisces.
Musuh juga dilacak oleh komunitas keamanan siber yang lebih luas dengan nama Citrine Sleet, Labyrinth Chollima, Nickel Academy, dan UNC4736, sub-kluster dalam Lazarus Group yang juga dikenal mendistribusikan malware AppleJeus.
Diyakini bahwa tujuan akhir dari serangan tersebut adalah untuk “mengamankan akses ke vendor rantai pasokan melalui titik akhir pengembang dan kemudian mendapatkan akses ke titik akhir pelanggan vendor, seperti yang diamati dalam insiden sebelumnya.”
Daftar paket berbahaya, yang sekarang dihapus dari repositori PyPI, ada di bawah ini –
Rantai infeksinya cukup sederhana karena paket-paketnya, setelah diunduh dan diinstal pada sistem pengembang, direkayasa untuk menjalankan tahap berikutnya yang dikodekan, yang pada gilirannya, menjalankan versi Linux dan macOS dari malware RAT setelah mengambilnya dari server jarak jauh.
Analisis lebih lanjut terhadap PondRAT telah mengungkapkan kemiripan dengan POOLRAT dan AppleJeus, dengan serangan tersebut juga mendistribusikan varian Linux baru dari POOLRAT.
“Versi Linux dan macOS [of POOLRAT] menggunakan struktur fungsi yang identik untuk memuat konfigurasinya, menampilkan nama metode dan fungsionalitas yang serupa,” kata Zemah.
“Selain itu, nama metode di kedua varian sangat mirip, dan stringnya hampir identik. Terakhir, mekanisme yang menangani perintah dari [command-and-control server] “hampir identik.”
PondRAT, versi POOLRAT yang lebih ramping, dilengkapi dengan kemampuan untuk mengunggah dan mengunduh berkas, menjeda operasi untuk interval waktu yang telah ditentukan, dan menjalankan perintah sembarangan.
“Bukti varian Linux tambahan dari POOLRAT menunjukkan bahwa Gleaming Pisces telah meningkatkan kemampuannya di seluruh platform Linux dan macOS,” kata Unit 42.
“Pemanfaatan paket Python yang tampak sah di berbagai sistem operasi dapat menimbulkan risiko yang signifikan bagi organisasi. Pemasangan paket pihak ketiga yang berbahaya dapat mengakibatkan infeksi malware yang membahayakan seluruh jaringan.”
Pengungkapan tersebut muncul setelah KnowBe4, yang ditipu untuk mempekerjakan seorang pelaku ancaman Korea Utara sebagai karyawannya, mengatakan lebih dari selusin perusahaan “mempekerjakan karyawan Korea Utara atau telah diserbu oleh banyak resume dan lamaran palsu yang diajukan oleh warga Korea Utara yang berharap mendapatkan pekerjaan di organisasi mereka.”
Ia menggambarkan aktivitas tersebut, yang dilacak oleh CrowdStrike dengan nama samaran Famous Chollima, sebagai “operasi negara-bangsa yang kompleks, berskala industrial” dan menimbulkan “risiko serius bagi perusahaan mana pun yang karyawannya hanya bekerja jarak jauh.”