北韩网络攻击活动“闪亮的鲤鱼”

文章重点

• 北韩的网络威胁行动“闪亮的鲤鱼”被认为是拉撒路集团的一个子集。
• 恶意的Python包被用于部署新型PondRAT恶意软件。
• 被感染的包已从PyPI仓库中删除，能够执行后续有效载荷并部署PondRAT。
• PondRAT具备文件上传、下载及任意命令执行能力，针对Linux和macOS系统。
• 合法的Python包被武器化，给组织构成严重风险。

北韩的高级持续威胁（APT）行动“闪亮的鲤鱼”被认为是拉撒路集团（Lazarus Group）的一个子集，近期利用了恶意的Python包索引（PackageIndex）来促进新型PondRAT恶意软件的部署。根据，PondRAT被认为是POOLRAT macOS后门的一个更紧凑的版本。

这四个已从PyPI（Python包索引）库中移除的被感染的包，允许在部署PondRAT之前执行编码的下一阶段有效载荷，支持Linux和macOS系统。PondRAT提供文件上传、下载及任意命令执行的能力，PaloAlto Networks的Unit 42报告指出。同时，袭击者还推出了更多Linux版本的POOLRAT木马。

Unit 42表示： “在多个操作系统上武器化合法的Python包对组织造成了重大风险，恶意第三方包的成功安装可能导致整个网络被感染。”

相关链接