PondRAT: nuevo ataque a Linux y macOS afecta a organizaciones de todo el mundo

Ciberataques PondRAT Gleaming Pisces Python macOS Linux Unit 42 RPDC
PondRAT: nuevo ataque a Linux y macOS afecta a organizaciones de todo el mundo
Ciberataques PondRAT Gleaming Pisces Python macOS Linux Unit 42 RPDC

Los investigadores han descubierto un nuevo método de infiltración dirigido a los desarrolladores.

image

Los investigadores de Unit 42 descubrieron una nueva campaña maliciosa organizada por el grupo norcoreano Gleaming Pisces, dirigida a sistemas Linux y macOS utilizando paquetes maliciosos de Python. Los atacantes distribuyen paquetes infectados a través del popular repositorio PyPI, introduciendo en ellos el backdoor PondRAT, una versión más ligera del previamente conocido POOLRAT.

El ataque comienza con la carga de paquetes maliciosos, como "real-ids", "coloredtxt", "beautifultext" y "minisound", en PyPI. Al instalarse, estos paquetes ejecutan comandos que descargan PondRAT, proporcionando a los atacantes control total sobre el dispositivo. El malware permite cargar y descargar archivos, ejecutar comandos e incluso pausar el funcionamiento del sistema.

El carácter multiplataforma del ataque, que afecta tanto a Linux como a macOS, representa un peligro particular. PondRAT, a pesar de tener menos funcionalidades en comparación con POOLRAT, tiene suficiente capacidad para robar datos y comprometer el funcionamiento de la red. El análisis de la infraestructura de C2 mostró que es prácticamente idéntica a POOLRAT, lo que permite a los atacantes gestionar los sistemas infectados con gran eficacia.

El grupo Gleaming Pisces, conocido por sus vínculos con la oficina de inteligencia de Corea del Norte, ya ha llamado la atención de los expertos anteriormente. Anteriormente, realizó ataques en el ámbito de las criptomonedas, distribuyendo malware disfrazado de software de comercio. La campaña actual que utiliza paquetes de Python demuestra su capacidad de adaptación y expansión de los métodos de ataque.

Los investigadores de Unit 42 identificaron similitudes en el código de PondRAT y en los programas maliciosos utilizados en ataques anteriores de Gleaming Pisces. Los nombres de las funciones, las estructuras de código comunes y las claves de cifrado coincidentes confirman que este es otro intento del grupo de comprometer la cadena de suministro de software.

A pesar de que los paquetes infectados han sido eliminados de PyPI, la amenaza sigue siendo relevante. Se recomienda a las organizaciones revisar cuidadosamente los paquetes que utilizan, realizar auditorías periódicas del código y monitorear su ejecución en tiempo real para minimizar los riesgos de este tipo de ataques.

Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla

¡Únete a nosotros!

Noticias sobre el tema

Azure Storage Explorer: una nueva arma en el arsenal de ransomware

Instagram desafía al contenido tóxico: ¿están preparados los adolescentes para las nuevas restricciones?

SambaSpy se aprovecha de los italianos: el troyano roba datos y espía a través de la mirilla de la cámara web

Operación Kraken: la policía desenmascara a los usuarios de la red criminal Ghost

Doble juego de Integrity Tech: otra empresa china entra en la lista negra del FBI

De mano en mano: cómo el código comprado en un foro paralizó el trabajo de los hospitales

LinkedIn se ha convertido en un campo de batalla: ¿cómo protegerse de los hackers norcoreanos?

Marko Polo convirtió Zoom en una trampa para gamers e influenciadores de criptomonedas

Zhujian Cup: cómo una competición de hacking ético se convirtió en un ciberataque real