В PyPI обнаружили бэкдор PondRAT - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»

Эксперты Palo Alto Networks сообщают, что в нескольких пакетах в репозитории PyPI нашли малварь PondRAT, связанную с северокорейскими хакерами.


По словам специалистов, PondRAT представляет собой облегченную версию малвари POOLRAT (он же SIMPLESEA), известного бэкдора для macOS, который ранее уже связывали с группировкой Lazarus. К примеру, он использовался в атаках, связанных со взломом цепочки поставок 3CX в прошлом году. Этот бэкдор способен загружать и скачивать файлы, приостанавливать операции на заданный промежуток времени и выполнять произвольные команды.


Другие атаки с использованием этой малвари являются частью продолжающейся вредоносной кампании, которая носит название Dream Job, и впервые, еще в 2020 году, ее описали специалисты компании ClearSky. В рамках этой кампании пользователей завлекают заманчивыми предложениями о работе, пытаясь в итоге склонить их к загрузке вредоносного ПО.


Как сообщили в Palo Alto Networks, злоумышленники, связанные с этой кампанией, загрузили несколько вредоносных Python-пакетов в PyPI. Судя по всему, эта активность связана с северокорейской группировкой Gleaming Pisces (она же Citrine Sleet, Labyrinth Chollima, Nickel Academy и UNC4736 в классификации других компаний) — подгруппой в составе Lazarus, которая известна распространением малвари AppleJeus.


Предполагается, что вредоносные пакеты были загружены в PyPI ради «получения доступа к поставщикам цепочки поставок через эндпоинты их разработчиков и последующего получения доступа к эндпонитам их клиентов, как это наблюдалось в предыдущих инцидентах».


Список вредоносных пакетов, которые в настоящее время уже удалены из репозитория PyPI, выглядит следующим образом:



  • real-ids (893 загрузки);

  • coloredtxt (381 загрузка);

  • beautifultext (736 загрузок);

  • minisound (416 загрузок).


Цепочка заражения выглядела довольно просто: после загрузки и установки в системах разработчиков эти пакеты загружали с удаленного сервера хакеров PondRAT и запускали малварь в системах жертв.



В PyPI обнаружили бэкдор PondRAT - «Новости»


Исследователи отмечают, что анализ PondRAT выявил сходство с упомянутыми выше POOLRAT и AppleJeus.


«Версии [POOLRAT] для Linux и macOS используют идентичную структуру функций для загрузки своих конфигураций, имеют схожие имена методов и функциональность. Кроме того, имена методов в обоих вариантах удивительно похожи, а строки практически идентичны. Более того, механизм обработки команд от [управляющего сервера] практически аналогичен», — гласит отчет специалистов.


Исследователи предупреждают, что заражение Python-пакетов в различных операционных системах представляет значительный риск для организаций.


«Успешная установка вредоносных пакетов сторонних разработчиков может привести к заражению вредоносным ПО, что в итоге поставит под угрозу всю сеть», — резюмируют в Palo Alto Networks.


Эксперты Palo Alto Networks сообщают, что в нескольких пакетах в репозитории PyPI нашли малварь PondRAT, связанную с северокорейскими хакерами. По словам специалистов, PondRAT представляет собой облегченную версию малвари POOLRAT (он же SIMPLESEA), известного бэкдора для macOS, который ранее уже связывали с группировкой Lazarus. К примеру, он использовался в атаках, связанных со взломом цепочки поставок 3CX в прошлом году. Этот бэкдор способен загружать и скачивать файлы, приостанавливать операции на заданный промежуток времени и выполнять произвольные команды. Другие атаки с использованием этой малвари являются частью продолжающейся вредоносной кампании, которая носит название Dream Job, и впервые, еще в 2020 году, ее описали специалисты компании ClearSky. В рамках этой кампании пользователей завлекают заманчивыми предложениями о работе, пытаясь в итоге склонить их к загрузке вредоносного ПО. Как сообщили в Palo Alto Networks, злоумышленники, связанные с этой кампанией, загрузили несколько вредоносных Python-пакетов в PyPI. Судя по всему, эта активность связана с северокорейской группировкой Gleaming Pisces (она же Citrine Sleet, Labyrinth Chollima, Nickel Academy и UNC4736 в классификации других компаний) — подгруппой в составе Lazarus, которая известна распространением малвари AppleJeus. Предполагается, что вредоносные пакеты были загружены в PyPI ради «получения доступа к поставщикам цепочки поставок через эндпоинты их разработчиков и последующего получения доступа к эндпонитам их клиентов, как это наблюдалось в предыдущих инцидентах». Список вредоносных пакетов, которые в настоящее время уже удалены из репозитория PyPI, выглядит следующим образом: real-ids (893 загрузки); coloredtxt (381 загрузка); beautifultext (736 загрузок); minisound (416 загрузок). Цепочка заражения выглядела довольно просто: после загрузки и установки в системах разработчиков эти пакеты загружали с удаленного сервера хакеров PondRAT и запускали малварь в системах жертв. Исследователи отмечают, что анализ PondRAT выявил сходство с упомянутыми выше POOLRAT и AppleJeus. «Версии _
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: