Kuzey Kore’nin en gelişmiş tehdit gruplarından biri, macOS ve Linux için uzaktan erişim zararlı yazılımlarını açık kaynaklı Python paketlerinin içine gizliyor.
Kuzey Kore’nin gelişmiş sürekli tehditleri (APT’ler) son yıllarda belirli karakteristik siber saldırı türleriyle ünlendi. Kripto para dolandırıcılığı var, bu birçok biçimde olabilir — genellikle kurbanların cüzdan bilgilerini ifşa etmeye veya kötü amaçlı yazılım indirmeye kandırıldığı sahte bir ticaret platformu. Tedarik zinciri saldırıları yaygındır, özellikle zehirli paketler genel depolara typosquattingSon zamanlardaki yaramaz bir trend, sözleşme yapmayı içeriyor Batılı şirketlere gerçek, dürüst emek sahte iddialarla, sonra kazanılan maaşları Kim’in eyaletine geri göndermek. Tersi – teknoloji işe alımcıları gibi davranan, geliştiricileri kötü amaçlı yazılım indirmeye ikna eden ajanlar – da yaygındır.
Palo Alto’nun Unit 42’sinin Gleaming Pisces (ve Microsoft’un Citrine Sleet) olarak takip ettiği grup, birinci kategoriyi ikinci kategoriyle tamamlamış gibi görünüyor. 2018’den beri aktif olan, finansal olarak motive olmuş, DPRK Reconnaissance General Bureau (RGB) bağlantılı grup, silahlandırma amaçlı saldırılarıyla biliniyor sahte kripto platformları. 42. Birim artık yüklemeden kendisinin sorumlu olduğunu orta düzeyde güvenle değerlendiriyor bir avuç kötü amaçlı paket Şubat ayında Python Paket Endeksi’ne (PyPI) eklendi. Paketler o zamandan beri kaldırıldı.
DPRK-Zehirli PyPI Paketleri
Açık kaynaklı depolara yüklenen paketlerin çoğu doğası gereği basittir. Phylum’un kurucu ortağı ve CTO’su Louis Lang’ın hatırladığı gibi, “Bu paketler hakkında ilginç olan şey, genellikle iyi huylu paketlerde bulduğunuzdan daha yüksek bir karmaşıklık düzeyine sahip olmalarıydı.”
Phylum, ikinci kez bakmaya değer dört paket tanımlamıştı: real-ids, minisound, coloredtxt ve beautifultext. Zararsız isimler, terminal çıktıları için sözdizimi vurgulama gibi meşru işlevselliğe gönderme yapıyor gibi görünüyordu.
Gerçekte, paketler indirildiğinde kodu çözülecek ve yürütülecek kötü amaçlı kod içeriyordu. Kod daha sonra bir dosyayı almak ve indirmek için bash komutlarını çalıştıracaktı. uzaktan erişim trojan’ı (RAT) “PondRAT” olarak adlandırıldı.
PondRAT, yalnızca birkaç işlevi yerine getirebilen tamamen basit bir arka kapıdır: dosyaları yükleme ve indirme, bir implantın etkin olup olmadığını kontrol etme veya uyumasını söyleme ve operatör tarafından verilen komutları yürütme. Özünde, PoolRAT’ın “hafif” bir sürümüdür. PoolRAT, dizinleri listeleme, dosyaları silme vb. gibi halefinden yarım düzine daha fazla standart yeteneğe sahip macOS için bilinen bir Gleaming Pisces arka kapısıdır.
Windows’a Gerek Yok
Kötü amaçlı yazılımın kendisinden daha dikkat çekici olan şey ise yazarlarının onu yalnızca macOS ve Linux sistemleri için yazmış olmaları.
Ancak, Gleaming Pisces’ın tipik kitlesi düşünüldüğünde, hackerların uzun süredir tercih ettiği Windows işletim sistemini bir kenara bırakmak mantıklıdır. Lang’ın açıkladığı gibi, “Gerçek geliştiricileri, CI/CD altyapısını, geliştirici iş istasyonlarını hedefliyorlar; bunlar çoğunlukla Linux veya macOS tabanlı olacak ortamlar. Çok az kişi doğrudan Windows üzerinde geliştirme yapıyor. Bu nedenle, geliştiricileri hedefliyorsanız, bu sistemler için varyantlar sunmak mantıklıdır, çünkü hedef kitleniz orada yaşıyor.”
Geliştiricilerin, sahte kripto platformları ve iş alım dolandırıcılıkları gibi kimlik avı saldırılarına karşı uyanık olmaları gerekir. Çünkü herhangi birinin PyPI’dan popüler olmayan, aşırı genel bir paket çekmesi nadir olsa da, aynı paketin daha geniş bir enfeksiyon zincirine sessizce entegre edilmesi oldukça olasıdır.
“Bir paket eklerseniz, bunun aşağı yönlü etkileri olabilir, aslında 30, 40 başka paket daha eklersiniz. [be connected to]. Yani eğer bir geliştirici olsaydım, ne yüklediğimin çok farkında olurdum ve çektiğim paket sayısını en aza indirerek saldırı yüzeyini en aza indirmeye çalışırdım. Ve sonra, tabii ki, paketleri tarardım – bu zombileri arardım, yüksek entropili dizeleri arardım, kod karartmasını arardım,” diye öneriyor Lang.
“Her zaman söylediğimiz gibi,” diye ekliyor, “kötü amaçlı yazılımlara bir güncelleme kadar yakınsınız.”