Pesquisadores de segurança cibernética detectaram uma nova campanha maliciosa associada à Coreia do Norte, que utiliza pacotes Python adulterados para entregar um malware inédito chamado PondRAT. O malware tem como alvo desenvolvedores de software, aproveitando-se de repositórios populares de código aberto, como o PyPI, para distribuir cargas maliciosas.

De acordo com novas descobertas da equipe Unit 42 da Palo Alto Networks, o PondRAT é uma versão mais leve do POOLRAT (também conhecido como SIMPLESEA), um backdoor já conhecido que anteriormente foi atribuído ao infame grupo Lazarus. O POOLRAT já havia sido usado em ataques, incluindo a comprometida cadeia de suprimentos da 3CX no ano passado.

As atividades relacionadas ao PondRAT fazem parte de uma campanha persistente de ataques cibernéticos chamada “Operação Dream Job,” onde os atacantes tentam atrair suas vítimas com ofertas de emprego atraentes para enganá-las e fazer com que baixem malware em seus sistemas. Os atacantes carregaram vários pacotes Python envenenados no PyPI, que, quando instalados, desencadeiam a execução do malware.

Acredita-se que a operação seja conduzida por um grupo conhecido como Gleaming Pisces, que é rastreado na comunidade de cibersegurança sob diferentes nomes, como Citrine Sleet e Labyrinth Chollima. O PondRAT compartilha muitas semelhanças com o POOLRAT e o AppleJeus, outro malware atribuído ao mesmo grupo. Quando o pacote Python adulterado é baixado e instalado, ele executa uma carga codificada que recupera e instala as versões do RAT (Trojan de Acesso Remoto) tanto para Linux quanto para macOS a partir de um servidor remoto.