#ParsedReport #CompletenessLow
08-06-2025

iProov Threat Intelligence Uncovers Grey Nickel Threat Actor Targeting Banking, Crypto, and Payment Platforms

https://www.iproov.com/press/threat-intelligence-grey-nickel-targeting-banking-crypto-payment-platforms

Report completeness: Low

Actors/Campaigns:
Playful_taurus (motivation: cyber_criminal)

Industry:
Financial

Geo:
United kingdom, America, Asia, Asia-pacific, London, Emea

ChatGPT TTPs:
do not use without manual check
T1036, T1056.002, T1078, T1113, T1204.001, T1204.002, T1566

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группировка "Серый никель" нацелена на финансовые учреждения по всему миру, используя уязвимости для удаленной проверки личности с помощью обмена лицами и манипулирования видеопотоками в обход процедур KYC. Их деятельность основана на модели "глубокой подделки как услуги", которая использует украденные базы данных идентификационных данных для облегчения крупномасштабного мошенничества с личными данными, что приводит к значительным финансовым потерям для организаций.
-----

Киберпреступная операция, известная как "Серый никель", активно нацелена на финансовые учреждения по всему миру, особенно в Азиатско-Тихоокеанском регионе, а недавние действия были отмечены в Северной Америке и регионе EMEA. Эта изощренная хакерская группа использует передовые методы для использования уязвимостей в системах удаленной проверки личности, стремясь обойти процедуры "Знай своего клиента" (KYC). С июля 2023 года Grey Nickel сосредоточилась на банках, криптовалютных биржах, электронных кошельках и цифровых платежных платформах, используя технологию обмена лицами и манипулирование метаданными, чтобы обойти системы определения подлинности, которые обычно используются для верификации.

Криминальные сети разработали мобильные приложения, способные обходить проверку KYC как на платформах Android, так и на iOS. Эти приложения внедряют в процесс проверки предварительно записанные или обработанные видеопотоки, которые становятся все более совершенными и включают функции синхронизации по губам, чтобы обойти проблемы с аутентификацией на основе голоса. Операции основаны на модели "Подделка как услуга", когда независимые субъекты предлагают индивидуальные услуги по созданию подделок в рамках своих пакетов обхода KYC, предназначенных специально для финансовых учреждений. Этот подход использует украденные базы данных идентификационных данных и носители, созданные с помощью искусственного интеллекта, для создания синтетических идентификационных данных, которые облегчают крупномасштабное мошенничество с личными данными.

Последние данные указывают на тревожную тенденцию: в отчетах говорится о значительных финансовых потерях из-за мошенничества с использованием искусственного интеллекта, включая случай, произошедший в 2024 году, когда мошенники выдавали себя за руководителей компании, чтобы обмануть фирму на сумму 25,6 миллиона долларов. Опросы показывают, что в 2023 году более половины финансовых организаций понесли убытки в размере от 5 до 25 миллионов долларов из-за атак с использованием искусственного интеллекта. Кроме того, в отчете Организации Объединенных Наций зафиксирован 600-процентный рост преступной деятельности, связанной с deepfake, в Юго-Восточной Азии в первой половине 2024 года, что подчеркивает тревожную эскалацию преступлений, связанных с использованием искусственного интеллекта.

Одной из основных проблем в борьбе с этими угрозами является непоследовательная и зачастую неадекватная отчетность финансовых учреждений. Отсутствие всеобъемлющей отчетности об инцидентах затрудняет понимание регулирующими органами масштабов киберпреступности, что препятствует эффективному реагированию со стороны регулирующих органов. В то время как такие регионы, как Европейский союз, добиваются успехов во внедрении надежных решений для идентификации цифровых данных в соответствии с требованиями законодательства о борьбе с отмыванием денег, многие страны остаются позади. Такое неравенство создает возможности для киберпреступников и подчеркивает настоятельную необходимость расширения международного сотрудничества и обмена данными для совершенствования мер безопасности и нормативно-правовой базы в секторе финансовых услуг.

#ParsedReport #CompletenessLow
08-06-2025

NightSpire Ransomware Encrypts Cloud-Stored OneDrive Files

https://www.sonicwall.com/blog/nightspire-ransomware-encrypts-onedrive-files

Report completeness: Low

Threats:
Nightspire

Victims:
Facility services organization

Geo:
Spain

ChatGPT TTPs:
do not use without manual check
T1486, T1587.001, T1590

IOCs:
File: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightSpire - это быстро развивающаяся программа-вымогатель, обнаруженная в марте 2023 года, которая затрагивает более 45 жертв, шифруя файлы и предоставляя инструкции по восстановлению. Разработанная на Go и распространяемая в виде портативного исполняемого файла, ее хакеры работают в сети Tor, ведя блог, в котором перечислены жертвы и обновления. SonicWall создала сигнатуры для обнаружения этой программы-вымогателя, что подчеркивает необходимость внедрения организациями проактивной защиты.
-----

NightSpire - это быстро развивающаяся разновидность программы-вымогателя, впервые обнаруженная в марте 2023 года, жертвами которой уже стали более 45 человек по всему миру. Эта вредоносная программа шифрует пользовательские файлы и отправляет инструкции по восстановлению с помощью текстового файла, что является распространенным методом среди разновидностей программ-вымогателей. NightSpire упакован в виде портативного исполняемого файла и разработан на Go, что может облегчить его развертывание в различных системах.

Хакеры, связанные с NightSpire, установили свое присутствие в сети Tor, где они ведут блог, который служит как платформой для объявлений, так и хранилищем обновлений, касающихся деятельности программы-вымогателя. В блоге подробно перечислены известные жертвы, последней из которых является организация facility services в Испании. До сих пор группа оставалась закрытой в своей деятельности, о чем свидетельствует страница "О компании". Однако быстрый рост их активности свидетельствует о потенциале будущего расширения, которое может включать привлечение филиалов, работающих на международном уровне.

В ответ на эту возникающую угрозу SonicWall Capture Labs разработала специальные сигнатуры, направленные на обнаружение и нейтрализацию программы-вымогателя NightSpire. Учитывая динамику развития группы и тревожный уровень заражения, постоянный мониторинг и стратегии проактивной защиты необходимы организациям для защиты своих сетей от этого развивающегося вредоносного ПО.

#ParsedReport #CompletenessMedium
08-06-2025

DarkGaboon: Cyberviper's Venom in the Digital Veins of Russian Companies

https://habr.com/ru/companies/pt/articles/915992/

Report completeness: Medium

Actors/Campaigns:
Darkgaboon

Threats:
Lockbit
Dotnet_reactor_tool
Xworm_rat
Themida_tool
Homoglyph_technique

Victims:
Russian companies, Employees in financial departments

Geo:
Seychelles, African, Russian, American, Russia, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1027, T1046, T1071.001, T1082, T1105, T1204.002, T1486, T1566.001, T1583.001

IOCs:
Domain: 57
Hash: 48
IP: 2

Soft:
NET Reactor, Phpmailer, CPanel, Gmail

Algorithms:
aes-ecb, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа DarkGaboon APT нацелилась на российские компании, используя передовую тактику фишинга, размещая вложения в формате RTF, содержащие сообщения Revenge и XWorm RATs. Они используют программу-вымогательницу LockBit 3.0 для шифрования и общаются преимущественно на русском языке, что исключает возможность утечки данных. Их инфраструктура включает в себя недавно зарегистрированные домены .ru и использует инструменты с открытым исходным кодом, работая независимо от распространенных моделей RaaS.
-----

В январе 2023 года расследования выявили продолжающиеся кибератаки группы DarkGaboon APT на российские компании, о которых впервые стало известно весной 2023 года. Эти атаки включали в себя передовые и эволюционирующие тактики, методы и процедуры (TTP), хотя в более ранних анализах отсутствовали подробные сведения о полной цепочке уничтожения атак. Последующие расследования, проведенные Отделом комплексного реагирования на хакерские атаки, выявили важные компоненты деятельности DarkGaboon, включая сетевой сканер, известный как NS, и шифровальщик LockBit.

DarkGaboon в первую очередь нацелен на сотрудников финансовых отделов, используя фишинговые электронные письма на русском языке, часто с вложениями срочных документов. Вложения обычно состоят из документов-приманки в формате RTF и scr-файлов, содержащих запутанные версии Revenge и XWorm RAT (троян удаленного доступа). В этих вредоносных файлах используются различные методы обмана, такие как использование одинаковых имен, поддельных изображений в формате PDF и недействительных сертификатов X.509, предположительно связанных с законными российскими юридическими лицами. С 2023 года постоянно используются документы в формате RTF, созданные на основе подлинных финансовых шаблонов. После успешного вторжения Даркгабун проводит внутреннюю разведку с помощью этих крыс.

В развертывании RAT используется UPX для упаковки, дешифрования с помощью AES-ECB и использования определенного хэша MD5 для ключа шифрования (например, "oKuQzNc8L6QcYdrA5"). Использование группой NS network scanner было отмечено с 2019 года и является распространенным явлением среди киберпреступников. DarkGaboon шифрует файлы, используя версию программы-вымогателя LockBit 3.0, и общается с жертвами с помощью русскоязычных заметок, в которых содержатся инструкции по расшифровке и контакты по электронной почте, а также указаны индикаторы утечки данных.

Вредоносные электронные письма рассылаются с SMTP-сервера, расположенного в России, с использованием таких инструментов, как Phpmailer, и доменов .ru, многие из которых недавно зарегистрированы. Инфраструктура группы также включает в себя услуги динамического DNS и решение для виртуального хостинга Windows, арендованное у американского провайдера, с некоторыми компонентами, связанными с регистрацией на Сейшельских островах. Примечательно, что домен Room155.online был зарегистрирован в марте 2023 года и связан с трафиком, связанным с атаками.

На протяжении всех инцидентов сообщения повторяли предыдущие действия, но в них отсутствовали конкретные идентификаторы, которые могли бы связать их с нападавшими. Несмотря на то, что DarkGaboon использует инструменты с открытым исходным кодом, такие как Revenge, XWORM и LockBit Clinker, он работает независимо и, похоже, не следует типичным методам извлечения данных, связанным с моделями "программы-вымогатели как услуга" (RaaS). Ожидается, что DarkGaboon продолжит свою деятельность в отношении российских предприятий, а соответствующие органы по кибербезопасности планируют осуществлять постоянный мониторинг.

#ParsedReport #CompletenessMedium
08-06-2025

Over 20 Crypto Phishing Applications Found on the Play Store Stealing Mnemonic Phrases

https://cyble.com/blog/crypto-phishing-applications-on-the-play-store/

Report completeness: Medium

Threats:
Typosquatting_technique

Victims:
Crypto wallet users

Industry:
Entertainment, Financial

ChatGPT TTPs:
do not use without manual check
T1078.003, T1407, T1444, T1566.001, T1584

IOCs:
File: 21
Url: 14
IP: 1
Domain: 32
Hash: 2

Soft:
Raydium, Google Play, android

Crypto:
pancakeswap

Algorithms:
exhibit, sha1, md5, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Более 20 вредоносных приложений, нацеленных на криптовалютные кошельки, используют тактику фишинга, копируя такие приложения, как PancakeSwap, для кражи мнемонических фраз. Распространяемые через взломанные аккаунты разработчиков, они используют платформу Median для быстрого преобразования веб-сайтов в приложения и используют фишинговые URL-адреса в своих политиках конфиденциальности. Обнаруживаемая инфраструктура, связанная с несколькими фишинговыми доменами, свидетельствует о скоординированных действиях против пользователей криптовалют.
-----

Недавние исследования Cyble Research and Intelligence Labs (CRIL) выявили появление более 20 вредоносных приложений, предназначенных для атаки на пользователей криптовалютных кошельков с помощью фишинга. Эти поддельные приложения маскируются под настоящие кошельки, включая такие популярные варианты, как PancakeSwap и SushiSwap. Пользователей обманом заставляют вводить свои мнемонические фразы из 12 слов через мошеннические интерфейсы, что позволяет злоумышленникам получить доступ к их реальным кошелькам и истощить их запасы криптовалюты.

Вредоносные приложения в основном распространяются через Google Play Store через аккаунты, которые были либо скомпрометированы, либо перепрофилированы разработчиками законных приложений, таких как программы для загрузки игр и видео, в результате чего количество загрузок некоторых приложений превысило 100 000. Хакеры используют различные методы атаки, чтобы облегчить распространение этих вредоносных приложений. В частности, они включают фишинговые URL-адреса в политики конфиденциальности этих приложений и повторно используют похожие названия пакетов, что упрощает использование доверия пользователей.

Технически эти вредоносные приложения используют платформу Median, позволяющую быстро преобразовывать веб-сайты в приложения для Android. Например, в этих приложениях используется специальный фишинговый URL-адрес "hxxps://pancakefentfloyd.cz/api.php", который перенаправляет жертв на фишинговый сайт, имитирующий законный интерфейс кошелька PancakeSwap. Это взаимодействие происходит в WebView, где пользователей вводят в заблуждение, заставляя вводить свои мнемонические фразы.

Другой вариант вредоносных приложений работает без фреймворка разработки, напрямую загружая фишинговый сайт в WebView, снова выдавая себя за законный кошелек, такой как Raydium. Расследования показали, что один из фишинговых URL-адресов размещен на IP-адресе, связанном с более чем 50 другими фишинговыми доменами, что указывает на хорошо организованную инфраструктуру, направленную на кражу мнемонических фраз на нескольких криптовалютных платформах.

Эта кампания представляет собой скоординированную фишинговую операцию, направленную на быстро растущее сообщество пользователей криптовалютных кошельков. Используя, казалось бы, законные приложения и скомпрометированные учетные записи разработчиков, злоумышленники не только расширяют сферу своей деятельности, но и снижают шансы на обнаружение с помощью стандартных мер безопасности. Финансовые последствия этих атак могут быть разрушительными для жертв, учитывая необратимый характер криптовалютных транзакций. Поскольку ландшафт цифровых активов продолжает развиваться, это подчеркивает острую необходимость повышения бдительности пользователей и ответственности заинтересованных сторон, таких как магазины приложений и охранные компании, за принятие упреждающих мер по выявлению и устранению таких угроз.

#ParsedReport #CompletenessLow
08-06-2025

Threat Spotlight: Hijacked Routers and Fake Searches Fueling Payroll Heist - ReliaQuest

https://reliaquest.com/blog/threat-spotlight-payroll-fraud-attackers-stealing-paychecks-seo-poisoning/

Report completeness: Low

Actors/Campaigns:
Doppelgnger

Threats:
Seo_poisoning_technique
Residential_proxy_technique

Industry:
Telco, E-commerce

Geo:
Russia

CVEs:
CVE-2024-3080 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1078, T1090.003, T1110.003, T1190, T1204.001, T1505.003, T1555, T1566.002, have more...

IOCs:
File: 1
IP: 20

Soft:
WordPress

Languages:
javascript, php, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная SEO-атака была нацелена на мобильные устройства с целью кражи учетных данных и мошенничества с оплатой труда, используя поддельные страницы входа в систему, которые занимали высокие позиции в результатах поиска. Используя незащищенные сети, злоумышленники использовали методы фишинга и инструмент под названием Pusher для отслеживания украденных учетных данных, что усложняло усилия по обнаружению из-за быстрой смены IP-адресов со взломанных локальных маршрутизаторов. Организациям рекомендуется внедрять многофакторную аутентификацию и отслеживать домены, выдающие себя за пользователей, для устранения этих возникающих угроз.
-----

Сложная SEO-атака была нацелена на мобильные устройства, что привело к краже учетных данных и мошенничеству с платежными ведомостями. Злоумышленники создали поддельные страницы для входа, имитирующие законные платежные порталы, и заняли высокие позиции в поисковых системах с помощью манипулятивных методов SEO. Атака была проведена из-за отсутствия надежной защиты мобильных устройств сотрудников, подключенных к незащищенным сетям. Первоначальные расследования не выявили признаков SEO-атаки, но тесты выявили, что мошеннические сайты занимают лидирующие позиции в результатах поиска, связанных с начислением заработной платы. В ходе атаки были использованы уязвимости, связанные с использованием мобильных устройств, что позволило обойти традиционные меры безопасности за пределами корпоративных сетей. Жертвы были перенаправлены на сайт WordPress, выдававший себя за портал для входа в систему Microsoft, который собирал конфиденциальную информацию с помощью HTTP POST-запросов. Для обработки этих запросов использовался PHP-файл, что указывает на настойчивость того же хакера в прошлых инцидентах. Злоумышленники использовали инструмент под названием Pusher для получения уведомлений о краже учетных данных в режиме реального времени, что позволило быстро их использовать. Быстрая смена IP-адресов в жилых домах помогла им избежать обнаружения, что усложнило отслеживание. Уязвимости в маршрутизаторах потребительского класса облегчили доступ к этим сетям. Использование непрослеживаемых прокси-сетей позволило злоумышленникам смешивать трафик и обходить меры безопасности. Организациям следует внедрять многофакторную аутентификацию (MFA) и политики условного доступа, отслеживать изменения в системе прямого пополнения счета, обучать персонал безопасному доступу и заблаговременно выявлять домены, выдающие себя за пользователей. Для борьбы с развивающимися методами фишинга и кражей учетных данных необходима постоянная адаптация стратегий кибербезопасности.

#ParsedReport #CompletenessMedium
07-06-2025

Operation Futile

https://www.cverc.org.cn/head/zhaiyao/Investigation_report_on_Cyberattacks_launched_by_Taiwan_ICEFCOM_EN.pdf

Report completeness: Medium

Actors/Campaigns:
Futile (motivation: sabotage, information_theft, cyber_espionage)
Greenspot
Apt-c-62
Apt-c-64 (motivation: sabotage, cyber_espionage)
Apt-c-65 (motivation: cyber_espionage)
Apt-c-67
Green_spot

Threats:
Quasar_rat
Mirrordump_tool
Postdump_tool
Ppldump_tool
Cobalt_strike_tool
Metasploit_tool
Sliver_c2_tool
Process_injection_technique
Gotohttp_tool
Jump_desktop_tool
Poison_ivy
Gh0st_rat
Xrat_rat

Victims:
Government entities, Public service entities, Research institutions, Universities, Defense technology entities, Industry entities, Foreign affairs agencies, Critical information infrastructure, Transportation sector, Civil aviation, have more...

Industry:
Financial, Military, Iot, Logistic, Maritime, Healthcare, Government, Energy, Education, Aerospace, Media, Transport

Geo:
Chinese, Taiwan, Asian, Russia, China, Hong kong

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 12
Path: 7
Hash: 30

Soft:
Windows scheduled task, sysinternals, Chrome, Opera, Internet Explorer, Firefox, WinSCP, Linux, macOS, Android

Algorithms:
aes, exhibit, md5

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Тайваньские T-APT, включая такие группы, как APT-C-01 и APT-C-62, в основном нацелены на Китай, используя фишинг и использование веб-приложений. Они используют известные уязвимости и инструменты, такие как Cobalt Strike, для шпионажа и кражи данных, что указывает на ограниченное развитие передовых технологий.
-----

В отчете обсуждается кибершпионажная деятельность тайваньских аффилированных групп APT (APT), в совокупности именуемых T-APTS, которые действуют под эгидой Демократической прогрессивной партии (DPP) и Тайваньского командования информации, коммуникаций и электронных сил (ICEFCOM). Эти группы в первую очередь нацелены на правительственные учреждения и госслужбу, исследовательские институты и оборонный сектор материкового Китая с целью кражи конфиденциальных разведывательных данных, которые могут нарушить национальную безопасность и общественный порядок.

Одна известная группа, APT-C-01 (также известная как Poison Vine), использует фишинговую тактику для проникновения в особо ценные объекты. Во время пандемии COVID-19 она значительно активизировала свои фишинговые кампании, выдавая себя за отечественные почтовые сервисы и размещая поддельные документы, связанные с борьбой с пандемией. В 2023 году атаки группы расширились и охватили правительственные учреждения и гражданскую авиацию, часто используя фишинговые веб-сайты и поддельные документы для кражи конфиденциальных данных.

Другая группа, APT-C-62 (Viola Tricolor), преследует схожие цели с APT-C-01 и перешла от фишинга электронных писем к использованию уязвимостей в веб-приложениях. Их методология атаки включает в себя горизонтальное перемещение по скомпрометированным сетям и использование готовых инструментов для таких операций, как утечка данных.

APT-C-64 (Anonymous 64) известна своей причастностью к распространению пропаганды против материковой части Китая. Эта группа проводит кибератаки еще с 2006 года, нацеливаясь на цифровые медиа-сервисы и используя хакерские атаки для взлома общедоступного контента. Активность APT-C-64 достигла своего пика во время важных мероприятий, таких как Азиатские игры в Ханчжоу, где они были нацелены на уязвимые системы для распространения незаконной пропаганды.

APT-C-65 (Neon Pothos) специализируется на критически важной инфраструктуре в оборонном и аэрокосмическом секторах, осуществляя шпионаж и кражу данных в периоды повышенной политической напряженности между США и Тайванем. Наконец, APT-C-67 (Ursa) в основном атакует системы Интернета вещей (IoT) и сети видеонаблюдения для сбора географической и кибернетической информации.

T-APT используют различные методы первоначального доступа, в основном полагаясь на известные уязвимости в программном обеспечении и тщательную разведку для разработки персонализированных фишинговых атак. Их общая тактика заключается в использовании вредоносных вложений электронной почты, веб-атак и использовании общих слабых мест в широко используемом программном обеспечении. Группы обычно используют инструменты с открытым исходным кодом, такие как Cobalt Strike и QuasarRAT, для последующей эксплуатации, что позволяет им поддерживать постоянство и повышать привилегии в целевых сетях.

Несмотря на заявленные возможности, методы атаки, используемые T-APTs, указывают на то, что они основаны на известных уязвимостях, а не на передовых методах, что свидетельствует об ограниченности их возможностей в разработке уникального кибероружия. T-APTs уделяет особое внимание созданию документов-приманок на основе текущих событий для повышения эффективности своих фишинговых действий.

Подводя итог, этот отчет иллюстрирует расширяющуюся сферу деятельности и постоянную угрозу, исходящую от T-APT, подчеркивая их стратегическое сотрудничество и тактические подходы к кибервойне против объектов на материковой части Китая в соответствии с директивой тайваньских властей. Расследование вызывает обеспокоенность по поводу сложности и последствий киберопераций, вызванных региональной геополитической напряженностью.

#ParsedReport #CompletenessLow
08-06-2025

Active NPM Attack Escalates: 16 React Native Packages for GlueStack Backdoored Overnight

https://www.aikido.dev/blog/supply-chain-attack-on-react-native-aria-ecosystem

Report completeness: Low

Industry:
Media

ChatGPT TTPs:
do not use without manual check
T1005, T1105, T1547.001, T1584.005

IOCs:
File: 68
Domain: 1
Url: 4
IP: 2
Path: 1

Soft:
Node.js

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер, связанный с пакетом rand-user-agent для npm, активизировал атаки, внедряя вредоносный код в широко используемые пакеты. Эта новая полезная нагрузка позволяет динамически выбирать между существующими и неопознанными серверами управления, одновременно собирая системные метаданные для разведки. Вредоносная программа стремится к постоянству, нацеливаясь на определенные каталоги в системах Windows, чтобы закрепиться.
-----

6 июня 2025 года была отмечена заметная эскалация хакерской активности, в которой участвовал хакер, ранее связанный со взломом популярного пакета npm, rand-user-agent. Этот субъект переключил внимание на проникновение в широко используемые пакеты, в совокупности накапливая около миллиона загрузок в неделю. Стратегия атаки становится все более изощренной после более ранних менее масштабных атак на менее популярные пакеты.

Критической причиной недавней атаки стало изменение в одном из важных пакетов, в результате чего в файл был тайно вставлен вредоносный код lib/commonjs/index.js. Конкретное изменение было идентифицировано в строке 46, и оно служит механизмом доставки полезной нагрузки, аналогичной той, которая была обнаружена в компромиссе rand-user-agent, но с ключевыми изменениями. Полезная нагрузка включает переменную, которая позволяет выбирать между ранее известными серверами управления (C2) и новым неопознанным сервером C2. Эта корректировка указывает на усовершенствованную тактику, позволяющую злоумышленникам динамически адаптировать свою инфраструктуру в зависимости от окружающей среды.

Помимо доставки вредоносной полезной нагрузки, код содержит функции для сбора системного контекста и метаданных, таких как тип операционной системы, Node.js версия, путь к скрипту и рабочий каталог. Кроме того, он выполняет внешний запрос для сбора сведений об общедоступных IP-адресах, что потенциально облегчает поиск и контроль.

Дизайн вредоносного ПО подчеркивает его стойкость, поскольку оно намерено оставаться скрытым и работать в скомпрометированных системах. На платформах Windows оно стремится расположиться по пути к каталогу %LOCALAPPDATA%\Programs\Python\Python3127. Наличие любых файлов в этом расположении означает успешную компрометацию, и любое такое заражение потребует немедленной проверки системы, поскольку злоумышленники могут использовать дополнительные полезные ресурсы для дополнительных вредоносных действий.

Постоянный характер этой угрозы свидетельствует о том, что разработчикам и пользователям необходимо проявлять бдительность и защищать свои системы от постоянно меняющейся тактики, применяемой злоумышленниками, которые демонстрируют отличные возможности по компрометации пакетов и внедрению троянских программ удаленного доступа (RATs).