朝鲜APT组织Gleaming Pisces再度出击：Python包传播PondRAT恶意软件

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，网络安全研究机构Unit 42披露了一场与朝鲜APT组织Gleaming Pisces（也称Citrine Sleet）相关的网络攻击活动，攻击者通过受污染的Python包向Linux和macOS系统分发新型恶意软件PondRAT。这一攻击活动对开发者及其供应链构成了严重威胁。

PondRAT：POOLRAT的轻量变体

PondRAT是一款远程访问木马（RAT），被认为是早前macOS平台上知名的恶意软件POOLRAT的轻量级版本。此次攻击的目标主要是通过受污染的Python包对开发人员系统进行渗透，从而进一步攻击供应链上下游的供应商及其客户。

通过对PondRAT的详细分析，研究人员发现其与Gleaming Pisces之前发起的AppleJeus攻击中的macOS恶意软件具有显著相似之处。这些相似性包括代码结构、函数名称、加密密钥和执行流程等。

被污染的Python包曝光

这次攻击的传播途径是受污染的Python包，这些包被上传至广泛使用的Python存储库PyPI，直接威胁到了广大开发者的安全。研究人员已经确认并删除了以下含有恶意软件的Python包：

real-ids（下载次数：893）

colourtxt（下载次数：381）

beautifultext（下载次数：736）

minisound（下载次数：416）

这些恶意软件包通过在开发者的系统上执行多条bash命令，下载并运行PondRAT木马，进一步感染系统。

Gleaming Pisces的历史与加密货币攻击

Gleaming Pisces自2018年起一直活跃在网络间谍领域，尤其以针对加密货币行业的复杂攻击闻名。这次的PondRAT攻击活动与其以往的攻击手法一脉相承，再次表明了该组织对Linux和macOS平台的渗透能力正在持续增强。

安全威胁：供应链攻击的阴影

这类通过看似合法的第三方Python包来传播恶意软件的手法，给组织和企业带来了巨大的安全风险。研究人员指出，此类攻击极具隐蔽性，通常很难被检测到。一旦开发者误安装这些恶意包，整个网络可能会遭到入侵，进而危害企业的数据安全和业务运营。

如何防范？

加强供应链安全审查：定期检查第三方依赖包的安全性，不轻易使用来历不明的代码。

及时更新防护措施：确保使用最新的杀毒软件和系统补丁，并采取多层次的安全防护措施。

加强网络流量监控：及时发现异常流量，识别潜在威胁。

总结

Gleaming Pisces的这次攻击再度敲响了供应链安全的警钟。随着攻击技术的不断进化，企业和开发者需要时刻保持警惕，加强对第三方软件包的安全审查，以防止类似的攻击入侵系统。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT组织Gleaming Pisces再度出击：Python包传播PondRAT恶意软件