pondrat - RunkIntel

# PondRAT > Tipo: **RAT multiplataforma** - Lazarus Group/Gleaming Pisces - macOS e Linux via cadeia de suprimentos PyPI > [!danger] RAT Lazarus via Cadeia de Suprimentos PyPI - Fevereiro 2024 > O **PondRAT** é um trojan de acesso remoto (RAT) multiplataforma desenvolvido pelo grupo **Lazarus Group** (cluster **Gleaming Pisces**), descoberto em fevereiro de 2024 embutido em pacotes Python maliciosos no repositório PyPI. Mira desenvolvedores de software como vetor de acesso inicial a organizações, especialmente no setor de criptomoedas e tecnologia. Versão mais sofisticada do **POOLRAT** (macOS), com suporte expandido para Linux. ## Visão Geral [[pondrat|PondRAT]] é um trojan de acesso remoto multiplataforma atribuído ao grupo de ameaça norte-coreano [[g0032-lazarus-group|Lazarus Group]], específicamente ao cluster operacional denominado **Gleaming Pisces** (também rastreado como Citrine Sleet por outros vendors). O malware foi descoberto pela Unit 42 da Palo Alto Networks em fevereiro de 2024, embutido em pacotes Python legítimos públicados no repositório PyPI - a principal plataforma de distribuição de pacotes para desenvolvedores Python. A campanha faz parte de uma estratégia de longo prazo do [[g0032-lazarus-group|Lazarus Group]] de comprometer desenvolvedores de software como vetor de **acesso inicial a criptoexchanges e plataformas DeFi**. Ao infectar a estação de trabalho de um desenvolvedor, os atacantes ganham acesso ao ambiente de build, possibilitando comprometer binários de produção, repositórios de código e infraestrutura de CI/CD. O [[pondrat|PondRAT]] é uma evolução do **POOLRAT** (macOS-only), expandido para suportar também Linux - tornando-o uma ameaça transversal ao ecossistema de desenvolvimento moderno. Os pacotes maliciosos identificados incluíam `real-ids`, `coloredtxt`, `beautifultext`, `minisound`, `py_bankster` e outros nomes que simulavam bibliotecas legítimas populares. Uma vez instalados via `pip install`, executavam scripts de pós-instalação que baixavam e executavam o payload PondRAT em segundo plano enquanto o desenvolvedor recebia funcionalidade aparentemente legítima. O grupo [[g0124-bluenoroff|Bluenoroff]] - subgrupo financeiro do Lazarus - está associado às operações de targeting do setor cripto. **Plataformas:** macOS, Linux ## Como Funciona 1. **Publicação de pacotes PyPI maliciosos:** O [[g0032-lazarus-group|Lazarus Group]] pública pacotes Python com nomes similares a bibliotecas populares ([[t1195-002-compromise-software-supply-chain|T1195.002]]). Os pacotes contêm funcionalidade de aparência legítima para evitar suspeitas. 2. **Instalação pelo desenvolvedor:** A vítima instala o pacote via `pip install`. Scripts de pós-instalação (`setup.py` ou `pyproject.toml`) são executados automaticamente no contexto do usuário. 3. **Download do payload:** O script de pós-instalação baixa o payload PondRAT cifrado de infraestrutura C2 controlada pelos atacantes ([[t1041-exfiltration-over-c2-channel|T1041]]). 4. **Execução e persistência:** O RAT estabelece persistência via `LaunchAgent` no macOS ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) ou via crontab/systemd no Linux ([[t1053-005-scheduled-task-job|T1053.005]]). 5. **Operações de coleta:** O [[pondrat|PondRAT]] exfiltra credenciais de browsers ([[t1555-003-credentials-from-web-browsers|T1555.003]]), executa comandos arbitrários via shell ([[t1059-004-unix-shell|T1059.004]]), faz upload/download de arquivos e remove rastros ([[t1070-indicator-removal|T1070]]). ```mermaid graph TB A["Pacote PyPI malicioso Nomes similares a libs populares T1195.002 - Supply Chain"] --> B["pip install Desenvolvedor instala pacote Script pós-instalação executa"] B --> C["Download Payload PondRAT cifrado Infraestrutura C2 Lazarus"] C --> D["Persistência LaunchAgent / crontab T1547.001 + T1053.005"] D --> E["RAT Ativo macOS e Linux Comúnicação C2 cifrada"] E --> F["Coleta de Dados Credenciais + browsers T1555.003"] F --> G["Exfiltração e Pivô Acesso a infra de dev CI/CD + repos + prod"] classDef supply fill:#8e44ad,color:#fff classDef delivery fill:#c0392b,color:#fff classDef persist fill:#e67e22,color:#fff classDef rat fill:#2980b9,color:#fff classDef collect fill:#27ae60,color:#fff classDef impact fill:#2c3e50,color:#fff class A supply class B delivery class C,D persist class E rat class F collect class G impact ``` ## Timeline ```mermaid timeline title PondRAT - Evolução e Descoberta Fev 2024 : Unit 42 descobre PondRAT no PyPI : Pacotes maliciosos com RAT embutido : macOS e Linux - evolução do POOLRAT Mar 2024 : PyPI remove pacotes maliciosos : Gleaming Pisces identificado como operador 2024 : Campanha contínua com novos pacotes : Foco em desenvolvedores cripto e DeFi 2025 : Lazarus continua ataques via supply chain : Novos vetores Python e npm identificados ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Resource Development | [[t1195-002-compromise-software-supply-chain\|T1195.002]] | Pacotes PyPI maliciosos como vetor | | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing direcionado a desenvolvedores | | Execution | [[t1059-001-powershell\|T1059.001]] | Scripts pós-instalação Python/shell | | Execution | [[t1059-004-unix-shell\|T1059.004]] | Shell Unix para execução de comandos | | Persistence | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | LaunchAgent macOS | | Persistence | [[t1053-005-scheduled-task-job\|T1053.005]] | Crontab Linux | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais de browser | | Defense Evasion | [[t1070-indicator-removal\|T1070]] | Remoção de rastros pós-execução | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração via canal C2 cifrado | ## Relevância LATAM/Brasil O [[pondrat|PondRAT]] representa um risco direto para o ecossistema de desenvolvimento de software no Brasil e LATAM. O setor de [[technology|tecnologia]] brasileiro tem crescido rapidamente, com um número significativo de desenvolvedores Python ativos - especialmente nas áreas de **fintechs, criptoexchanges e plataformas DeFi** que são o alvo principal do [[g0032-lazarus-group|Lazarus Group]]. Empresas brasileiras de criptomoedas e startups financeiras que empregam desenvolvedores Python são alvos de interesse para o Lazarus. Um único desenvolvedor comprometido pode representar um ponto de entrada para comprometer código de produção de uma plataforma financeira com milhares de usuários. Empresas como exchanges de criptomoedas brasileiras e fintechs em expansão no LATAM devem verificar ativamente o uso de pacotes PyPI em seus projetos e implementar controles de segurança na cadeia de suprimentos de software. O grupo [[g0124-bluenoroff|Bluenoroff]], subgrupo especializado em crimes financeiros do Lazarus, tem histórico documentado de operações contra o setor financeiro da América Latina, incluindo roubos a bancos e exchanges de criptomoedas na região. **Setores impactados:** [[technology|tecnologia]] - [[financial|financeiro]] - criptoativos - fintechs - plataformas DeFi ## Detecção - Monitorar instalações de pacotes PyPI em ambientes de desenvolvimento - especialmente pacotes recém-públicados com poucos downloads - Inspecionar scripts `setup.py` e `pyproject.toml` para callbacks de rede em pós-instalação - Detectar criação de `LaunchAgents` plist em `~/Library/LaunchAgents/` por processos Python - Monitorar conexões de rede originadas de processos `python3` para IPs/domínios externos não reconhecidos - Alertar para criação de crontab entries por processos de desenvolvimento - Implementar análise estática de dependências (`pip-audit`, Snyk) no pipeline de CI/CD - Usar ferramentas de verificação de integridade de pacotes PyPI antes de instalar em ambientes de produção ## Referências - [1](https://unit42.paloaltonetworks.com/gleaming-pisces-applejeus-poolrat-and-pondrat/) Unit 42 - Gleaming Pisces PondRAT and POOLRAT Analysis (2024) - [2](https://attack.mitre.org/groups/G0032/) MITRE ATT&CK - Lazarus Group G0032 (2024) - [3](https://www.crowdstrike.com/blog/citrine-sleet-exploits-chromium-vulnerability/) CrowdStrike - Citrine Sleet Gleaming Pisces Campaign (2024) - [4](https://blog.sonatype.com/malicious-pypi-packages-targeting-crypto-developers) Sonatype - Malicious PyPI Packages Targeting Crypto Developers (2024) - [5](https://www.bleepingcomputer.com/news/security/lazarus-hackers-use-new-rat-malware-in-fake-job-interviews/) BleepingComputer - Lazarus PondRAT PyPI Supply Chain (2024)