北韩高级网络威胁组织的最新动态

文章重点

• 北韩的高级持续性威胁（APT）组织正在利用开源Python套件潜藏远程访问恶意软件。
• 该组织以比特币诈骗和供应链攻击而闻名，并在这些策略中纳入了新的手段。
• 最近发现的恶意套件运行于macOS和Linux系统中，并专门针对开发者。
• 开发者需要警惕钓鱼攻击，特别是在安装套件时应维持高度的警觉性。

北韩的进阶持续性威胁组织，特别是与朝鲜劳动党情报局（RGB）有关的GleamingPisces，近期被发现将远程访问恶意软件隐藏在开源Python套件中。这些组织以比特币诈骗及供应链攻击闻名，如今似乎在其已知的作为中增加了新策略。根据PaloAlto的Unit 42评估，该组织在今年二月上传了几个恶意套件，而这些套件已被移除。

北韩毒化的PyPI套件

大多数上传到开源仓库的套件本质上都很简单。Phylum的共同创办人兼首席技术官（CTO）LouisLang提到，「这些套件的复杂性高于通常见到的良性套件。」

Phylum共识别出了四个值得重点关注的套件：real- ids、minisound、coloredtxt和beautifultext。这些看似无害的名称隐含著类似于语法高亮显示这样的合法功能。

然而，实际上这些套件包含的恶意代码会在下载后被解码并执行。该代码将运行bash命令，以检索并下载名为"PondRAT"的远程访问木马（RAT）。

PondRAT是一个相对简单的后门，能够执行少量功能：上传和下载文件、检查植入程序是否活跃、将其设置为静默以及执行操作员发出的命令。本质上，它是一个“轻量级”的PoolRAT版本。PoolRAT是一种已知的GleamingPisces后门，支持的功能远超其后继版本，如显示目录、删除文件等。

不再依赖Windows

比起恶意代码本身，更值得注意的是其创作者仅为macOS和Linux系统编写该代码。

放弃黑客们长期以来偏爱的Windows操作系统并不意外，尤其是考虑到GleamingPisces的目标受众。Lang解释道：「他们的目标实际上是建设者、持续集成/持续交付（CI/CD）基础设施、开发者工作站——这些环境几乎都是基于Linux或macOS。直接在Windows上进行开发的人几乎很少。因此，如果你的目标是开发者，针对这些系统提供版本是有道理的，因为这是你目标群体的所在地。」

因此，开发者需要对钓鱼攻击保持警惕，包括假冒的比特币平台和求职诈骗。虽然不太可能有人会从PyPI拉取一个不受欢迎且超通用的套件，但同一套件可能会悄悄地整合到更广泛的感染链中。

Lang建议道：「如果你新增了一个套件，它可能会对下游产生影响，实际上会拉入30、40个其他连结的套件。所以如果我是一名开发者，我会非常注意我在安装什么，试著通过减少安装的套件来最小化攻击面。当然，还要扫描这些套件——检查是否有僵尸代码、查看高熵字符串、寻找代码混淆。」

他补充道：「就像我们常说的那样，你离恶意软件只有一次更新的距离。」