隱藏在 Python 軟件包中的新型 PondRAT 惡意軟件瞄準軟件開發人員

2026-04-27 顯卡 RTX4090

文章圖片

據觀察，與朝鮮有聯系的黑客組織在正在進行的活動中使用投毒 Python 包來傳播一種名為 PondRAT 的新惡意軟件。

根據 Palo Alto Networks Unit 42 的最新發現， PondRAT 被評估為 POOLRAT（又名 SIMPLESEA）的輕量級版本， POOLRAT 是一種已知的 macOS 后門，之前被認為歸屬于 Lazarus Group ，并部署在去年與3CX 供應鏈入侵相關的攻擊中。

其中一些攻擊是名為“Operation Dream Job（夢想工作行動）”的APT攻擊活動的一部分，該活動以誘人的工作機會引誘潛在目標，試圖誘騙他們下載惡意軟件。

Unit 42 研究員 Yoav Zemah表示：“此次活動背后的攻擊者將幾個有毒的 Python 包上傳到 PyPI（一個流行的開源 Python 包存儲庫）。 ”他有信心將此活動與一個名為 Gleaming Pisces 的攻擊者組織聯系起來。

網絡安全社區還以 Citrine Sleet、Labyrinth Chollima、Nickel Academy 和 UNC4736 等名稱追蹤該攻擊者，UNC4736 是 Lazarus Group 內的一個子集群，也因傳播 AppleJeus 惡意軟件而聞名。

人們認為，這些攻擊的最終目標是“通過開發人員的端點獲取對軟件供應鏈供應商的訪問權，并隨后獲得對供應商客戶端點的訪問權，就像在之前的事件中觀察到的那樣” 。

現已從 PyPI 存儲庫中刪除的惡意軟件列表如下：

real-ids（下載次數：893）
colourtxt（下載381次）
beautifultext（下載量 736 次）
【隱藏在 Python 軟件包中的新型 PondRAT 惡意軟件瞄準軟件開發人員】minisound（416 次下載）

感染鏈相當簡單，因為軟件包一旦下載并安裝在開發人員系統上，就會被設計為執行編碼的下一階段，然后在從遠程服務器檢索 RAT 惡意軟件的 Linux 和 macOS 版本后運行它們。

對 PondRAT 的進一步分析顯示，它與 POOLRAT 和 AppleJeus 有相似之處，并且攻擊還傳播了 POOLRAT 的新 Linux 變種。

Zemah 表示：“POOLRAT 的 Linux 和 macOS 版本使用相同的函數結構來加載其配置，具有相似的方法名稱和功能。 ”

“此外，兩種變體中的方法名稱非常相似，字符串幾乎相同。響應[C2服務器
的命令機制幾乎相同。 ”

PondRAT 是 POOLRAT 的精簡版，具有上傳和下載文件、在預定義的時間間隔內暫停操作以及執行任意命令的功能。

Unit 42 表示：“POOLRAT 的其他 Linux 變體的證據表明， Gleaming Pisces 一直在增強其在 Linux 和 macOS 平臺上的功能。 ”

“在多個操作系統中將看似合法的 Python 軟件包武器化對組織構成了重大風險。成功安裝惡意第三方軟件包可能會導致惡意軟件感染，從而危及整個網絡。 ”

技術報告：https://unit42.paloaltonetworks.com/gleaming-pisces-applejeus-poolrat-and-pondrat/

新聞鏈接：
https://thehackernews.com/2024/09/new-pondrat-malware-hidden-in-python.html

推薦閱讀

上一篇：可視化大屏設計中，如何實現目標對象的精確選擇

下一篇：5英寸小屏“神機”，大電池、長焦相機、LCD屏，沖不沖？