#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2024 года группой Houken были использованы уязвимости нулевого дня (CVE-2024-8190, CVE-2024-8963, CVE-2024-9380) в устройствах Ivanti CSA для удаленного выполнения кода, сбора учетных данных и постоянного доступа через веб-оболочки и руткиты. Злоумышленники использовали различные инструменты и методы, в том числе расшифровку учетных данных администратора из баз данных Postgres и перемещение по сетям целевых французских организаций, что позволяет предположить оперативные связи с Китаем.
-----

В сентябре 2024 года устройства Ivanti Cloud Service Appliance (CSA) были подвергнуты кибератаке с использованием уязвимостей нулевого дня CVE-2024-8190, CVE-2024-8963 и CVE-2024-9380. Злоумышленники получили удаленный доступ и выполнили произвольный код для сбора учетных данных и установления постоянного доступа, развернув веб-оболочку PHP и установив руткит. Злоумышленник "Houken" продемонстрировал методичный подход, изначально использовав скрипт на Python в кодировке base64 для расшифровки учетных данных администратора из баз данных PostgreSQL. Постоянство включало создание веб-оболочек из инструментов с открытым исходным кодом и модификацию допустимых PHP-скриптов. Операторы Houken использовали тактику обходных маневров против французских компаний в таких секторах, как правительство, телекоммуникации, СМИ, финансы и транспорт. Активность злоумышленников в течение 8 часов по UTC+ указывает на возможные связи с Китаем. ANSSI обнаружила бреши, с помощью которых злоумышленники использовали устройства Ivanti CSA и проникали во внутренние системы для сбора учетных данных. Операторами Houken использовались коммерческие VPN-сервисы для обеспечения анонимности и различные инфраструктуры, что предполагает наличие значительных ресурсов. Индикаторы включают развертывание модуля ядра и исполняемого файла в пользовательском пространстве в качестве руткита для перехвата входящего TCP-трафика и обеспечения выполнения команд с правами суперпользователя. Кампания использовала модификацию файлов скриптов и инструментов, таких как GOREVERSE и PHP webshells, в соответствии с тактикой известной группы UNC5174. Эти действия свидетельствуют о целенаправленных усилиях по использованию уязвимостей, созданию плацдарма и поддержанию устойчивости для кражи учетных данных и эксплуатации системы.

#ParsedReport #CompletenessMedium
07-07-2025

Datacarry Ransomware

https://www.ccitic.org/assets/reports/CCITIC_Report_TLP-White_DATACARRY.pdf

Report completeness: Medium

Actors/Campaigns:
Datacarry

Threats:
Datacarry
Chisel_tool
Conti

Victims:
Balcia insurance, Mammut sports group, Alx forex, Frontierco, Alles lgehus, Tude bordet, Executive jet support, La maison lige, Alliance healthcare it, V development, have more...

Industry:
Healthcare, Aerospace

Geo:
Turkey, United kingdom, Morocco, Belgium, Denmark, Lithuania, South africa, Italy, Greece, Switzerland, Spain

CVEs:
CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient_enterprise_management_server (<7.0.11, <7.2.3)


TTPs:
Tactics: 1
Technics: 6

IOCs:
File: 2
Hash: 6
Registry: 1
Command: 1

Soft:
Windows firewall, Windows registry

Algorithms:
sha256, md5

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Datacarry атаковала 11 организаций, используя уязвимость SQL-инъекции CVE-2023-48788 для удаленного выполнения кода. В их атаках использовался вариант программы-вымогателя Conti, использующий WebSocket для обеспечения сохраняемости и такие инструменты, как Chisel, для туннелирования. Рекомендуемые меры безопасности включают исправление уязвимостей, мониторинг подключений к WebSocket и улучшение сегментации сети.
-----

Группа программ-вымогателей Datacarry участвовала в серии целенаправленных атак на 11 европейских и международных организаций в период с июня 2024 по июнь 2025 года, причем первый инцидент произошел в страховой компании Balcia Insurance в Литве. Методы и оперативная тактика этой группы были задокументированы на основе общедоступных записей и анализа инцидентов.

Группа использовала общедоступные сервисы OSINT для разведки и выявления уязвимостей, таких как CVE-2023-48788, уязвимость SQL-инъекции в Fortinet EMS, которая позволяет удаленно выполнять код с помощью функции xp_cmdshell. Использование этой уязвимости позволило злоумышленникам установить контроль над системами жертв. Их инфраструктура включала в себя использование сменяющихся прокси-серверов и малоизвестных методов связи через WebSocket, что повышало их устойчивость в целевых средах. Особенно примечательным аспектом их настройки является использование Chisel, инструмента туннелирования TCP/UDP, работающего через HTTP/WebSocket, который был идентифицирован на их серверах управления (C2).

Были тщательно изучены варианты вредоносных программ, использовавшихся при атаках, в частности, версия программы-вымогателя Conti. Основной модуль, написанный на Go, продемонстрировал не только возможность обеспечения сохраняемости с помощью WebSocket, но и встроенные функции туннелирования и прокси-сервера. Были подтверждены конкретные показатели компрометации (IOCs), такие как хэши MD5 для вредоносного ПО и шаблоны, связанные с сетевыми коммуникациями группы, что указывает на наличие уникальных следов, которые должны отслеживать специалисты по безопасности.

График активности показал умеренный уровень атак с одной жертвой примерно в месяц с июня 2024 года по март 2025 года, за которым последовала эскалация, когда в течение трех месяцев с приближением весны 2025 года атакам подверглись пять организаций. Однако к концу июня 2025 года инфраструктура была значительно выведена из эксплуатации после того, как была подключена к сети Tor.

Для устранения рисков, связанных с этой группой, немедленные рекомендации по обеспечению безопасности включают исправление выявленного CVE, отключение ненужных функций на SQL-серверах и мониторинг необычно длинных подключений к WebSocket. Следует обратить особое внимание на дополнительные меры, такие как блокирование взаимодействия с определенными портами и улучшение ведения журнала для отслеживания изменений RDP и реестра. Более строгая сегментация сети и пересмотр политики управления исправлениями также имеют решающее значение для снижения потенциального воздействия таких сложных угроз.

#technique

BOFAMET stealer

https://github.com/ZolManStaff/BOFAMET_STEALER

#ParsedReport #CompletenessHigh
08-07-2025

Taking SHELLTER: a commercial evasion framework abused in-the-wild

http://www.elastic.co/security-labs/taking-shellter

Report completeness: High

Threats:
Shellter_tool
Seth_locker
Junk_code_technique
Polymorphism_technique
Rhadamanthys
Lumma_stealer
Procmon_tool
Sectop_rat
Sandbox_evasion_technique
Amsi_bypass_technique
Ghostpulse

Victims:
Content creators, Individuals with youtube channels, Shellter project

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 12
Domain: 2
IP: 2
Hash: 6

Soft:
Component Object Model, Active Template Library

Algorithms:
aes, aes-128, cbc, xor, lznt1, sha256

Functions:
GetCurrentDirectoryA

Win API:
VirtualAlloc, Getmodulehandlea, GetProcAddress, CreateFileMappingW, MapViewOfFile, NtCreateSection, NtMapViewOfSection, NtOpenSection, LoadLibraryExW, LdrLoadDll, have more...

Win Services:
BITS

Platforms:
x86

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_shellcode\_from\_unusual\_microsoft\_signed\_module.toml
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_unbacked\_shellcode\_from\_unsigned\_module.toml
have more...
https://github.com/elastic/labs-releases/tree/main/tools/shellter

#ParsedReport #ExtractedSchema

Classified images:
dump: 6, code: 17, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры используют платформу SHELTER framework, в частности версию 11.0, для атак infostealer, используя ее передовые методы уклонения для обхода систем безопасности. Вредоносная программа использует полиморфную обфускацию, шифрование AES-128 и нацелена на создателей контента с помощью фишинговых электронных писем, связанных с вредоносными загрузками. Elastic Security Labs разработала динамический распаковщик для анализа двоичных файлов, защищенных SHELTER, хотя проблемы остаются из-за обширных возможностей этого инструмента.
-----

Платформа SHELTER framework используется хакерами для атак на infostealer с середины апреля 2025 года. Используется версия SHELTER Elite 11.0, выпущенная 16 апреля 2025 года. Она позволяет вредоносному ПО обходить антивирусные системы и системы защиты от несанкционированного доступа. Фреймворк использует самомодифицирующийся шелл-код с полиморфной обфускацией для предотвращения статического обнаружения. Он использует уникальный метод выделения памяти, отображающий свежую копию библиотеки ntdll.dll в память процесса, чтобы избежать перехвата API. Полезная информация шифруется с помощью AES-128 в режиме CBC с использованием ключей, которые могут быть встроены или получены с серверов, контролируемых злоумышленниками. Кампании нацелены на создателей контента с помощью фишинговых электронных писем, которые выдаются за спонсорские, и содержат ссылки на защищенные SHELTER исполняемые файлы в комплекте с рекламным контентом. Инфокрады, такие как LUMMA и RHADAMANTHYS, извлекают конфиденциальную информацию из взломанных систем. Первоначальные случаи заражения были связаны с видеороликами о взломе игр на YouTube, что привело к загрузке на такие сайты, как MediaFire. Elastic Security Labs разработала динамический распаковщик для двоичных файлов, защищенных SHELTER, но его эффективность зависит от сложности SHELTER. Неправильное использование программного обеспечения двойного назначения создает постоянные проблемы для кибербезопасности.

#ParsedReport #CompletenessLow
08-07-2025

Exclusive disclosure of the attack activities of the APT group NightEagle

https://raw.githubusercontent.com/RedDrip7/NightEagle_Disclose/36d0366a5d8d4cb2ee95b0276d0f5690e13e3f6e/Exclusive%20disclosure%20of%20the%20attack%20activities%20of%20the%20APT%20group%20NightEagle.pdf

Report completeness: Low

Actors/Campaigns:
Nighteagle (motivation: information_theft)

Threats:
Chisel_tool
Regeorg_tool

Victims:
Top companies, Institutions

Industry:
Military, Semiconductor_industry

Geo:
Malaysia, Netherlands, America, China

ChatGPT TTPs:
do not use without manual check
T1008, T1021.002, T1030, T1033, T1036, T1041, T1053.005, T1055.012, T1056.003, T1070.001, have more...

IOCs:
File: 21
Path: 3

Soft:
Slack, ASP.NET

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightEagle, группа APT, использует неизвестную уязвимость в Microsoft Exchange, используя пользовательский троян для постоянного доступа. Их атаки нацелены на уязвимые сектора в Китае, используя передовые технологии, такие как смена доменных имен и уязвимость сроком действия 0 дней, для кражи данных.
-----

С 2023 года группа APT, известная как NightEagle (APT-Q-95), находится под постоянным наблюдением Цянь Паньгу. Эта группа известна тем, что использовала неизвестную уязвимость в Microsoft Exchange, используя передовые тактические приемы, включая быструю смену доменных имен и мощную финансовую поддержку для приобретения сетевых ресурсов, таких как VPS-серверы и доменные имена. NightEagle нацелен на важнейшие секторы экономики Китая, включая высокотехнологичные отрасли промышленности, военный сектор и области, связанные с искусственным интеллектом и квантовыми технологиями, в первую очередь с целью кражи конфиденциальных разведданных.

Методы атаки, используемые NightEagle, являются изощренными; они включают в себя использование пользовательского трояна, производного от вредоносного ПО семейства Chisel, которое было обнаружено на персональном компьютере в организации-клиенте. В ходе анализа было установлено, что троянец взаимодействовал с доменом, замаскированным под законного поставщика услуг, отправляя подпольные запросы DNS якобы для маскировки фактического IP-адреса своего сервера. Вредоносная программа выполняла запланированное задание каждые четыре часа, что свидетельствует о стратегии группы по сохранению постоянства и минимизации обнаружения.

Расследование показало, что вредоносная полезная нагрузка была встроена в ASP.NET DLL-файл, связанный со службой IIS сервера Exchange. Вредоносная программа использовала технологию, известную как memory horse, которая существует только в памяти, чтобы избежать обнаружения традиционными антивирусными средствами. Было установлено, что злоумышленники использовали ранее неизвестную уязвимость "0 дней", позволяющую им получать конфиденциальные ключи доступа, которые облегчали несанкционированные действия на сервере Exchange. Эта возможность позволяла им выполнять операции десериализации и внедрять дополнительные вредоносные программы в любые совместимые системы Exchange, обеспечивая при этом ретрансляцию украденных данных.

Время играло важную роль в операциях NightEagle; атаки неизменно происходили между 9 часами вечера и 6 часами утра по пекинскому времени, что указывает на географическую стратегию, ориентированную на Северную Америку. Широкое использование группой выделенных доменных имен для отдельных целей в сочетании с их адаптацией к геополитическим изменениям подчеркивает их динамичный подход к хакерам. Идентификаторы, прикрепленные к их вредоносным URL-адресам, свидетельствуют о методичных усилиях по адаптации атак с учетом региональных и контекстуальных факторов, включая последние достижения китайской индустрии искусственного интеллекта.

#ParsedReport #CompletenessLow
08-07-2025

Technical Analysis of Ducex: Packer of Triada Android Malware

https://any.run/cybersecurity-blog/ducex-packer-analysis/

Report completeness: Low

Threats:
Ducex_tool
Triada_trojan
Unicorn_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1140, T1204.002, T1406, T1407, T1518.001, T1622

IOCs:
File: 7
Hash: 1

Soft:
Android, Telegram, Apktool

Algorithms:
zip, aes, sha256, md5, xor, sha1, rc4

Functions:
attachBaseContext, onCreate, bytearray, init, dl

Languages:
java

Links:
https://github.com/iBotPeaches/Apktool
https://github.com/skylot/jadx

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ducex - это усовершенствованный пакет для Android, представленный в Triada malware, предназначенный для маскировки полезной нагрузки и уклонения от обнаружения с использованием таких методов, как строковое шифрование XOR и самоотладка. Он реализует проверку подписи APK для затруднения анализа и сохраняет вредоносную полезную нагрузку в пользовательском файле classes.dex. В процессе расшифровки используются модифицированные алгоритмы RC4 и SM4, шифрующие только начальные 2048 байт каждого модуля, что позволяет вредоносной программе запускаться, защищая при этом заголовки ее модулей.
-----

Ducex - это усовершенствованный упаковщик для Android, обнаруженный в образцах вредоносного ПО Triada, предназначенный в первую очередь для маскировки полезной нагрузки и уклонения от обнаружения. В нем используется ряд методов, усложняющих анализ, например, простой алгоритм исключения (XOR) для шифрования всех строк с помощью изменяющегося 16-байтового ключа. Этот обходной механизм препятствует попыткам эффективного понимания или распаковки вредоносного ПО.

Одной из серьезных проблем, с которыми сталкивается Ducex, является реализация проверки подписи APK, которая завершится неудачей, если вредоносное ПО будет повторно подписано, что затруднит традиционные методы отладки. Кроме того, Ducex использует само-отладку с помощью вызовов fork и ptrace, что еще больше усложняет внешний анализ. Вредоносная полезная нагрузка, которая относится к хорошо известному семейству вредоносных программ Triada, хранится в уникальном пользовательском файле classes.dex. Эта полезная нагрузка находится в отдельном разделе после основного кода приложения, чтобы избежать обнаружения как внешних файлов, что подчеркивает сложный дизайн Ducex.

Расследование поддельного приложения Telegram, встроенного в Ducex, позволило исследователям идентифицировать характерные домены, связанные с Triada, во время анализа "песочницы". Программа-упаковщик использует библиотеку, называемую "libducex", и ее операционная структура была изучена с помощью декомпиляторов Android, которые выявили ключевые методы и структуры классов, иллюстрирующие поведение вредоносного ПО при запуске. Например, класс com.m.a.DuceApplication инициализируется сразу после запуска приложения, активируя методы, привязанные к функциональности Triada, и добавляя дополнительную пользовательскую логику через CoreUtils.

Анализ процесса расшифровки показывает, что Ducex шифрует не все разделы своей полезной нагрузки; шифруются только первые 2048 байт каждого модуля, в то время как последующие сегменты остаются доступными. Такая схема поддерживает целостность заголовков модуля DEX, которые должны оставаться неизменными для выполнения. Для расшифровки используются два алгоритма: модифицированная версия RC4 и SM4, последний из которых является менее известным китайским стандартом шифрования. Первичная расшифровка выполняется с помощью встроенных методов, где выполняется основная логика расшифровки, что в конечном итоге приводит к активации Triada.

#ParsedReport #CompletenessMedium
07-07-2025

Batavia spyware steals data from Russian organizations

https://securelist.com/batavia-spyware-steals-data-from-russian-organizations/116866/

Report completeness: Medium

Threats:
Batavia
Uac_bypass_technique
Spear-phishing_technique

Victims:
Russian industrial enterprises

Geo:
Russia, Russian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.003, T1059.005, T1074.001, T1105, T1112, T1113, T1518.001, have more...

IOCs:
File: 12
Url: 4
Domain: 2
Hash: 3
Path: 5

Algorithms:
zip, xor, base64, md5

Functions:
Navigate, Run

Languages:
delphi, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С марта 2025 года шпионская кампания Batavia нацелена на российские организации, использующие электронные письма-приманки с вредоносными ссылками для кражи конфиденциальной информации. Вредоносная программа, состоящая из скрипта VBA и исполняемых файлов, взаимодействует с сервером C2, извлекает данные, делает снимки экрана и поддерживает постоянство с помощью дополнительных полезных нагрузок.
-----

С начала марта 2025 года системы кибербезопасности обнаружили всплеск количества файлов, связанных со шпионской кампанией Batavia, нацеленной на российские организации. Эта атака, начатая в июле 2024 года, в основном использует электронные письма-приманки, маскирующиеся под запросы на подписание контрактов, с именами файлов, подобными Negotiable-2025-5.VBE. Электронные письма содержат вредоносные ссылки, ведущие к заражению пользователей новой программой-шпионом Batavia, предназначенной для кражи внутренних документов и конфиденциальной информации.

Вредоносная программа состоит из VBA-скрипта и двух исполняемых компонентов, которые Kaspersky идентифицирует как HEUR:Trojan.VBS.Batavia.gen и HEUR:Trojan-Spy.Win32.Batavia.gen. Сценарий начальной загрузки извлекает параметры из жестко заданного URL-адреса, который облегчает выполнение различных вредоносных функций, включая идентификацию операционной системы, и отправляет их на сервер управления (C2). Затем скрипт загружает исполняемый файл, WebView.exe сохраняет его в каталоге %TEMP% и запускает.

WebView.exe Программа, написанная на Delphi, обладает широкими возможностями, такими как фильтрация системных журналов и офисных документов, а также периодическое создание скриншотов зараженной системы. Вредоносная программа использует уникальный метод предотвращения повторной отправки дубликатов, сохраняя хэш-запись отправленных файлов. Кроме того, он запускает дальнейшие вредоносные загрузки, получая другой исполняемый файл, javav.exe который для сохранения внедряется в системные каталоги.

Javav.exe Программа, написанная на C++, расширяет функциональность шпионского ПО новыми командами для смены серверов C2 и загрузки дополнительных полезных данных. Этот файл поддерживает постоянную связь с сервером C2, получая новые инструкции и выполняя дальнейшие вредоносные файлы, используя методы, которые включают обход контроля учетных записей пользователей (UAC) с помощью утилит Windows и модификаций разделов реестра.

Жертвами этой шпионской кампании стали более 100 сотрудников различных российских промышленных предприятий, что свидетельствует о целенаправленной стратегии атаки, направленной на компрометацию оперативных данных. Этот многоэтапный процесс заражения свидетельствует об изощренном подходе Batavia к скрытному проникновению в системы и извлечению ценной информации, включая списки программ, драйверы и сведения об операционной системе. Постоянный характер этой угрозы подчеркивает необходимость тщательного соблюдения правил кибербезопасности для противодействия таким целенаправленным попыткам шпионажа.

#ParsedReport #CompletenessLow
08-07-2025

Malicious pull request infects VS Code extension

https://www.reversinglabs.com/blog/malicious-pull-request-infects-vscode-extension

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Pandora

Victims:
Ethcode, 7finney organization, Vs code extension users, Ethereum developers

Industry:
E-commerce, Software_development, Financial

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1140, T1195.002, T1204.002

IOCs:
File: 2
Hash: 6

Soft:
ETHcode, XZ Utils, Visual Studio, Node.js

Crypto:
ethereum, solana

Algorithms:
zip

Languages:
javascript, powershell

Links:
have more...
https://github.com/orgs/7finney/
https://github.com/7finney/ethcode/commits/master/
https://github.com/7finney/ethcode/pull/322

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расширение ETHcode было взломано с помощью вредоносного запроса на удаление, который ввел в заблуждение зависимость "keythereum-utils", позволяющую запускать вредоносное ПО. Это отражает растущую тенденцию в атаках на цепочки поставок, когда злоумышленники используют надежное программное обеспечение. Эксплойт включал скрытые скрипты, которые запускали Powershell для загрузки пакетных скриптов, направленных на кражу криптовалюты или компрометацию пользовательских контрактов.
-----

Расширение ETHcode для разработки смарт-контрактов Ethereum, поддерживаемое организацией 7finney, было скомпрометировано с помощью вредоносного запроса на загрузку на GitHub. Злоумышленник, используя учетную запись Airez299, ввел обманчивую зависимость под названием "keythereum-utils", которая очень напоминала существующий подлинный пакет с аналогичным названием. Этот метод является частью более широкой тенденции атак на цепочки поставок, когда хакеры внедряют вредоносный код в законные программные проекты, используя незначительные изменения, чтобы воспользоваться доверием и надзором разработчиков.

Изменения кода в запросе на удаление на первый взгляд кажутся безобидными и представляют собой в основном обновления и исправления. Однако две конкретные строки кода позволили выполнить вредоносную полезную нагрузку, что привело к компрометации расширения. Первая строка добавляла подозрительную зависимость, в то время как вторая вызывала ее с помощью функции Node.js "require", что фактически позволяло запускать скрытые скрипты, не вызывая тревоги во время проверки кода. После расшифровки было обнаружено, что эти скрипты способны запускать скрытый Powershell, который загружал дополнительные вредоносные пакетные скрипты, вероятно, предназначенные для кражи криптовалютных активов или компрометации пользовательских контрактов.

Этот инцидент демонстрирует опасную тенденцию в разработке программного обеспечения, когда автоматическое обновление надежных расширений может привести к непреднамеренному распространению вредоносного ПО среди тысяч пользователей. Время отправки запроса на удаление, создание одноразовой учетной записи на Github и характер изменений в коде указывают на изощренный подход злоумышленника, свидетельствующий о тщательной подготовке к атаке на цепочку поставок.

Чтобы снизить такие риски, разработчикам рекомендуется вручную проверять участников и их истории, тщательно изучать введенные зависимости на предмет потенциальных угроз и использовать такие инструменты, как Spectra Assure, для отслеживания изменений и уязвимостей. Учитывая быстрое развитие атак на цепочки поставок, поддержание надежных методов безопасности в процессе разработки имеет решающее значение для защиты как разработчиков, так и конечных пользователей от подобных эксплойтов. Продолжается дальнейший анализ второй стадии вредоносного ПО, и ожидается больше обновлений, которые выявят постоянную угрозу уязвимостей цепочки поставок в средах разработки программного обеспечения.