#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В третьем квартале 2025 года наблюдался рост числа кампаний по электронной почте с запутанными вложениями JavaScript, распространяющих вредоносное ПО, такое как DarkCloud, Remcos, Agent Tesla и Formbook. Эти электронные письма имитируют деловую переписку и используют сложные методы запутывания, чтобы избежать обнаружения, выполняя команды PowerShell через WMI для загрузки дополнительных полезных данных из скомпрометированных доменов. Кроме того, полезная нагрузка состоит из .NET-приложений с надежной защитой от обратного проектирования, что указывает на организованную деятельность злоумышленника, связанную с подземными платформами.
-----

В третьем квартале 2025 года произошел заметный всплеск кампаний по электронной почте, использующих вложения JavaScript, которые доставляют различные типы вредоносного ПО, в частности, нацеленные на инструменты для кражи информации и трояны удаленного доступа (RATs). Вредоносные полезные программы, такие как DarkCloud, Remcos, Agent Tesla и Formbook, относятся к числу тех, которые распространяются с помощью этой тактики. Электронные письма, составленные таким образом, чтобы они напоминали обычные деловые сообщения, часто составляются на региональном языке получателя с использованием шаблонов, обычно используемых командами по закупкам или управлению проектами.

Эти средства атаки в основном содержат запутанные вложения JavaScript, сжатые в обычных архивных форматах, таких как RAR, 7z, Zip или TAR. Отправители, как правило, используют такие домены, как *@ymail.com а IP-адреса, связанные с этими кампаниями, были идентифицированы в таких странах, как Болгария и Иран.

При анализе запутанного JavaScript скрипты демонстрируют сложные методы запутывания, когда строки разбросаны по массиву, перемежаясь необычными маркерами Unicode, включая эмодзи и редкие глифы. Эта сложность предназначена для того, чтобы затруднить обнаружение. Скрипты, после устранения обфускации, раскрывают команды PowerShell, направленные на последующую загрузку вредоносных полезных данных из скомпрометированных доменов. Эти команды выполняются через интерфейс Инструментария управления Windows(WMI), позволяющий процессам незаметно выполняться в фоновом режиме без уведомления пользователя.

Также было замечено, что скрипты PowerShell, задействованные в этих атаках, используют альтернативные методы доставки полезной нагрузки, такие как встраивание потоков в кодировке Base64 в текстовые файлы, которые представляют собой исполняемые двоичные файлы (EXE) или библиотеки динамической компоновки (DLL). Конечные полезные нагрузки, доставляемые с помощью этого фреймворка атаки, в основном .Сетевые приложения, в которых библиотеки DLL специально компилируются и защищаются с помощью таких инструментов, как Protector: .NET Reactor (6.X), который включает в себя запутывание потока управления и контрмеры против обратного проектирования.

Пространство имен "HackForums.gigajew" намекает на потенциальные связи с подпольными платформами, известными тем, что они обмениваются инструментами для вредоносного ПО и хакерскими ресурсами, что предполагает сложный уровень организации среди злоумышленников. Тенденция, наблюдаемая в третьем квартале 2025 года, указывает на продуманный подход злоумышленников к сокрытию вредоносных файлов JavaScript в обычных деловых электронных письмах, используя знакомую терминологию, такую как счета-фактуры и оповещения об отправке, для обхода мер безопасности.

В ответ на эти угрозы была внедрена аналитика безопасности электронной почты для выявления и блокирования вредоносных вложений JavaScript. Кроме того, исполняемые файлы, выполняющие функцию дропперов, документируются в базах данных анализа угроз, в то время как домены управления (C2), связанные с этими действиями, классифицируются и блокируются для снижения рисков.

#ParsedReport #CompletenessMedium
09-10-2025

Yurei: A New Ransomware Threat

https://stairwell.com/resources/yurei-a-new-ransomware-threat/

Report completeness: Medium

Threats:
Yurei
Prince_ransomware
Shadow_copies_delete_technique

Industry:
Foodtech

Geo:
Nigeria, Asia, Sri lanka, India, Japanese

IOCs:
File: 1
Hash: 5

Algorithms:
sha256

Platforms:
cross-platform

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Yurei - это новый вариант программы-вымогателя, о котором сообщает Check Point Research, использующий язык программирования Go для кросс-платформенного развертывания, что усложняет обнаружение антивирусом. Примечательно, что разработчикам не удалось удалить символы отладки, раскрывающие его связь с существующей платформой Prince-Ransomware. Быстрое распространение Yurei подчеркивает важность своевременного обнаружения, и для эффективной идентификации этой программы-вымогателя разрабатываются такие инструменты, как YARA.
-----

Yurei - это недавно идентифицированный вариант программы-вымогателя, о котором Check Point Research впервые сообщила 5 сентября 2025 года. Эта программа-вымогатель использует язык программирования Go, извлекая выгоду из его кроссплатформенных возможностей и простоты разработки, что усложняет обнаружение для многих антивирусных решений. Однако разработчики Yurei допустили существенную оплошность, не удалив отладочные символы из своих двоичных файлов. Этот неверный шаг раскрывает Yurei как модифицированную версию ранее известного фреймворка Prince-Ransomware, что указывает на зависимость новых злоумышленников от кода с открытым исходным кодом.

Инструменты обнаружения угроз, такие как YARA, были использованы для борьбы с Yurei ransomware. Исследовательская группа Stairwell Threat разработала специальное правило YARA, предназначенное для эффективной идентификации образцов Yurei. Учитывая быстрое распространение этой программы-вымогателя и потенциальный риск утечки данных, своевременное обнаружение имеет решающее значение для защитников.

Кроме того, в статье подчеркивается роль передовых аналитических инструментов, таких как Stairwell's AI Triage, которые улучшают реагирование на угрозы за счет быстрой оценки файлов и идентификации образцов Yurei. Эта возможность позволяет защитникам быстро собирать необходимые разведывательные данные и эффективно принимать контрмеры.

Таким образом, хотя Yurei, возможно, и не является вершиной изощренности программ-вымогателей, он иллюстрирует, как даже базовые недостатки вредоносного ПО с открытым исходным кодом могут нанести значительный вред. Отсутствие передовых методов в сочетании с заметными уязвимостями позволяет предположить, что при соответствующей готовности — с помощью правил YARA и постоянного мониторинга — защитники могут снизить риски, связанные с такими угрозами.

#ParsedReport #CompletenessHigh
07-10-2025

Akira Reloaded

https://blog.polyswarm.io/akira-reloaded

Report completeness: High

Threats:
Akira_ransomware
Impacket_tool
Anydesk_tool
Rustdesk_tool
Nltest_tool
Rclone_tool
Cloudflared_tool
Byovd_technique

Victims:
Construction, Manufacturing, Law firms, Organizations across multiple sectors

Industry:
Retail, Foodtech, Transport, Government, Energy, Healthcare, Financial, Entertainment, Telco

Geo:
Italy, Australia, America, Asian, Spain, Canada, India, Africa, Germany

CVEs:
CVE-2023-20269 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40766 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1219, T1556, T1560.001

IOCs:
File: 2
Hash: 20

Soft:
Active Directory, SonicOS, SoftPerfect Network Scanner, MSSQL, PostgreSQL, Windows Defender, Linux, ESXi

Algorithms:
base64

Functions:
Get-ADUser

Languages:
powershell, python, swift

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С июля 2025 года наблюдается значительный всплеск атак Akira ransomware, использующих CVE-2024-40766, в первую очередь нацеленных на SSL-VPN SonicWall. В этих атаках используются вторжения на основе учетных данных, часто ставящие под угрозу сети с использованием таких инструментов, как Impacket, и поддерживающие закрепление с помощью AnyDesk и RustDesk. Примечательно, что злоумышленники могут обходить MFA с помощью повторно используемых учетных данных, быстро получая доступ и перемещаясь по организациям, особенно в таких секторах, как строительство и юридические услуги, причем в период с июля по август было зарегистрировано более 40 инцидентов.
-----

С июля 2025 года наблюдается тревожный рост числа атак Akira ransomware, в первую очередь нацеленных на SSL-VPN SonicWall, использующих уязвимость CVE-2024-40766. Этот некорректный контроль доступа в брандмауэрах SonicWall позволяет злоумышленникам осуществлять вторжения на основе учетных данных с беспрецедентной скоростью и эффективностью, часто завершая успешные взломы менее чем за 55 минут. Методология атаки включает в себя использование украденных учетных данных для обхода Многофакторной аутентификации (MFA), что обеспечивает быстрый доступ и перемещение внутри компании в скомпрометированных сетях.

Развертывание Akira ransomware характеризуется быстрым выполнением, при этом злоумышленники используют такие инструменты, как Impacket и WinRAR, для перемещения внутри компании и промежуточных данных. Кроме того, для поддержания закрепления в среде используются инструменты удаленного управления, такие как AnyDesk и RustDesk. Такой сложный подход указывает на хорошо организованную цепочку атак, поскольку злоумышленники проходят аутентификацию в целях, часто связанных с учетными записями Active Directory и использующих LDAP для синхронизации, в том числе с MFA на основе OTP. Точные методы обхода MFA неясны, но предложения указывают на повторное использование ранее скомпрометированных учетных данных, потенциально полученных в результате более раннего использования той же уязвимости.

Фаза атаки с первоначальным доступом обычно включает в себя злонамеренный вход с Виртуальных выделенных серверов (VPS), что еще раз подчеркивает организованный и оппортунистический характер кампании. Примечательно, что даже учетные записи на недавно исправленных устройствах SonicWall — в частности, на устройствах серий NSA и TZ, работающих под управлением SonicOS версий 6 и 7, — остаются уязвимыми для этих атак. Это выявляет значительный пробел в системе кибербезопасности, подтверждая, что простого применения исправлений недостаточно, если сброс учетных данных также не выполняется принудительно.

По состоянию на сентябрь 2025 года кампания Akira ransomware продолжает демонстрировать агрессивный рост: за период с июля по август было зарегистрировано более 40 подтвержденных инцидентов. Затронутые секторы включают строительство, производство и юридические фирмы, что указывает на стратегическую ориентацию на цели с высоким вознаграждением. Растущее число филиалов в партнерской программе Akira еще больше подстегнуло этот всплеск, отражая низкий барьер для входа, который стимулирует рост преступной активности во всех отраслях. Следовательно, эта ситуация подчеркивает необходимость того, чтобы организации совершенствовали свои стратегии обнаружения и реагирования, чтобы снизить риск, создаваемый такими продвинутыми и быстрыми угрозами со стороны программ-вымогателей.

#ParsedReport #CompletenessLow
04-10-2025

PoisonSeed YouTube-themed Career Phishing

https://malasada.tech/poisonseed-youtube-themed-career-phishing/

Report completeness: Low

Actors/Campaigns:
Poisonseed
0ktapus

Threats:
Credential_harvesting_technique

Victims:
Youtube users, Job seekers, Technology sector

ChatGPT TTPs:
do not use without manual check
T1204.001, T1556.003, T1566.002

IOCs:
Domain: 50
Email: 2
Url: 2

Soft:
SalesForce, nginx

Platforms:
intel

Links:
https://gist.github.com/BushidoUK/daf14c2066cfd530114d9227cf85c328
have more...
https://github.com/DomainTools/SecuritySnacks/blob/main/2025/PoisonSeed\_Domains\_July2025.csv#L404

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания карьерного фишинга на YouTube, связанная с злоумышленником PoisonSeed, использует ресурсы Salesforce для рассылки вводящих в заблуждение электронных писем, содержащих Вредоносные ссылки. Пользователи перенаправляются на поддельную страницу с ошибкой, которая приводит к поддельной форме планирования, предназначенной для сбора учетных данных, включая имена пользователей и пароли. Эта кампания использует тактику уклонения от обнаружения, такую как использование страницы nginx по умолчанию для представления себя безвредной, и связана с предыдущими тенденциями фишинга, связанными с аналогичными злоумышленниками.
-----

Расследование освещает кампанию карьерного фишинга на YouTube, которая, вероятно, связана с злоумышленником PoisonSeed. В рамках кампании используются ресурсы SalesForce для облегчения доставки фишинг-писем, которые кажутся подлинными и обманом заставляют пользователей подключаться к вредоносному контенту. Электронные письма обычно содержат ссылку, которая ведет на URL-адрес системы отслеживания SalesForce, в частности на домен "cl.s12.exct.net ." Эта схема свидетельствует о тактике, применяемой злоумышленниками, которые стремятся подделать законные сообщения.

Как только пользователи нажимают на встроенную ссылку, они перенаправляются на целевую страницу для фишинга, созданную так, чтобы она напоминала поддельную страницу с ошибкой. Такая конструкция служит мерой противодействия анализу, усложняющей автоматизированное обнаружение. Следующий шаг в процессе фишинга включает в себя представление поддельной формы планирования, в которой пользователям предлагается ввести свои учетные данные под предлогом завершения законного процесса. Хотя ни в одном из записанных сеансов не было показано заполнение этой формы, можно с высокой степенью уверенности предположить, что пользователи столкнутся с поддельным интерфейсом входа в систему, направленным на захват имен пользователей и паролей.

Методология кампании также включает в себя различные тактики для поддержания закрепления и уклонения от обнаружения. Например, использование страницы nginx по умолчанию служит средством проверки, которое может ввести исследователей в заблуждение, заставив их поверить, что домен безвреден, если он не обслуживает страницу фишинга. Кроме того, показатели, собранные другими аналитиками и различными базами данных, указывают на устойчивый характер этой операции фишинга, связывая ее с тенденциями, отмеченными в предыдущих кампаниях, приписываемых тем же или связанным с ними злоумышленникам.

Аналитикам рекомендуется использовать специальные поисковые инструменты, такие как Any Run, для выявления дополнительных случаев этой кампании фишинга. Это может включать в себя запрос уникальных доменных имен отправителей электронной почты или связанных с ними вредоносных URL-адресов. Анализ атрибуции, включая информацию от значительных специалистов в этой области, соотносит эту деятельность с обозначением PoisonSeed, подчеркивая ее связь с более широкой тактикой фишинга, исторически связанной с такими группами, как 0ktapus и Scattered Spider.

#ParsedReport #CompletenessLow
11-10-2025

Hunting For TamperedChef Infostealer

https://medium.com/@Mr.AnyThink/hunting-for-tamperedchef-infostealer-825dc94cee00?source=rss-b61b59bd2c7c------2

Report completeness: Low

Threats:
Tamperedchef
Justaskjacky
Epibrowser
Credential_harvesting_technique
Credential_dumping_technique

TTPs:
Tactics: 3
Technics: 6

IOCs:
File: 3
Command: 3
Path: 5
Registry: 12
Domain: 5

Soft:
Node.js, Chrome

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TamperedChef - это стиллер информации, который маскируется под законное программное обеспечение, поставляемое в комплекте с приложениями, и поставляется посредством загрузки по инициативе пользователя. Он устанавливает себя сам, выполняя полезную нагрузку JavaScript через Node.js , создает запланированную задачу для закрепления и проводит разведку с помощью WMI для опроса активных браузеров и программного обеспечения безопасности. Вредоносное ПО нацелено на сбор учетных записей из различных источников, включая базы данных SQLite, секретные данные DPAPI и локальные Менеджеры паролей, при этом используются тактические приемы из платформы MITRE ATT&CK, такие как выполнение из командной строки, получение учетных данных и методы обхода защиты.
-----

TamperedChef - это недавно идентифицированный стиллер информации, который маскируется под законное программное обеспечение, обычно поставляется в комплекте с такими приложениями, как PDF-редакторы или программы для чтения вручную, и поставляется путем загрузки по инициативе пользователя. После запуска он использует различные методы для самоутверждения и извлечения конфиденциальной информации.

После установки TamperedChef автоматически запускает команду с помощью командной строки (cmd.exe ), с помощью Node.js время выполнения (node.exe ) выполняет свою полезную нагрузку JavaScript. Эта полезная нагрузка размещена в имени файла GUID в каталоге %TEMP% и содержит функции для сбора данных и связи с серверами управления.

Чтобы обеспечить закрепление, TamperedChef создает запланированную задачу, которая позволяет ей оставаться активной даже после перезагрузки системы. Вредоносное ПО проводит разведку зараженной системы, чтобы определить, какие браузеры и программное обеспечение безопасности присутствуют. Он использует Инструментарий управления Windows(WMI) для перечисления процессов, проверяя наличие активных браузеров, таких как Chrome и Edge. Кроме того, он обращается к системному реестру для сбора информации о другом установленном программном обеспечении, помогая понять меры безопасности на устройстве.

Для сбора учетных записей стиллер ориентирован на несколько источников. Он извлекает данные для входа в систему и веб—данные из баз данных SQLite, связанных с Chrome и Edge, извлекает секреты Windows Data Protection API (DPAPI) — зашифрованные данные, хранящиеся локально, - и обращается к локальным Менеджерам паролей для любых сохраненных учетных данных пользователя.

С точки зрения поведения и методологии атаки, действия TamperedChef's согласуются с различными техниками, описанными в рамках MITRE ATT&CK. В частности, выполнение достигается с помощью действий командной строки (T1059), получение учетных данных осуществляется путем извлечения из хранилищ паролей (T1555) и Получения дампа учетных данных операционной системы (T1003). Вредоносное ПО использует тактику обхода защиты, такую как выполнение двоичного прокси-сервера с подписью (T1218) и Маскировку (T1036), чтобы избежать обнаружения, в то время как закрепление устанавливается с помощью запланированных задач (T1053). Кроме того, методы обнаружения системы (T1082) и запроса реестра (T1012) используются как часть этапа разведки.

#ParsedReport #CompletenessMedium
08-10-2025

Variants of BlackTech's Kivars malware identified in 2025.

https://sect.iij.ad.jp/blog/2025/10/blacktech-malware-kivars-2025/

Report completeness: Medium

Actors/Campaigns:
Blacktech (motivation: cyber_espionage)
Unc5325

Threats:
Kivars
Nailaolocker
Lumma_stealer
Rig_tool
Matrix_ransom
Mirai
Tinyshell

Victims:
Companies and organizations in japan and taiwan

Geo:
Taiwan, Japan, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1057, T1071.001, T1543.003

IOCs:
File: 5
Hash: 12
Domain: 9
IP: 9
Registry: 1

Soft:
Windows service, Twitter, Linux

Algorithms:
rc4, sha256

Links:
https://github.com/mopisec/research/blob/main/decrypt\_kivars\_21201\_config.py

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, dump: 1, code: 5, windows: 2, chart: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Kivars, связанное с группой BlackTech, развивалось с 2010 года, преимущественно угрожая организациям в Японии и Тайване различными недавними вариантами. Метод работы вредоносного ПО включает развертывание загрузчика, который устанавливается вместе с зашифрованными файлами и устанавливает Службу Windows для закрепления, в то время как он передает данные через порты 389 и 443 в свою инфраструктуру управления. Примечательно, что вредоносное ПО обладает способностью обнаруживать инструменты анализа, что отражает его изощренные методы уклонения.
-----

Вредоносное ПО Kivars, связанное с группой BlackTech, отслеживается примерно с 2010 года и представляет значительную угрозу, особенно для организаций в Японии и Тайване. Последние события, произошедшие в 2025 году, выявили несколько вариантов этого вредоносного ПО. Известные инциденты в прошлом включают использование бэкдоров прошивки Cisco, что отражает эволюционирующую тактику, применяемую группой.

Механизм работы Kivars начинается с развертывания загрузчика BlackTech, который помещает как загрузчик, так и зашифрованные файлы Kivars в системный каталог скомпрометированного компьютера. Впоследствии злоумышленник создает Службу Windows для закрепления, после чего запускается загрузчик Kivars для запуска его полезной нагрузки в памяти. Этот метод гарантирует, что вредоносное ПО Kivars остается эффективным, избегая обнаружения аналитическими инструментами.

Когда Kivars запускается, он выполняет перечисление процессов, чтобы подтвердить, что никакие инструменты анализа не активны, демонстрируя высокую осведомленность о своей операционной среде. На техническом уровне вредоносное ПО обменивается данными в основном через порты 389 и 443 с указанными внешними адресатами, что указывает на выбор им широко используемых сетевых каналов для облегчения связи и, возможно, операций управления.

Для улучшения реагирования на инциденты и анализа угроз, связанных с Kivars, был разработан специализированный инструмент, который позволяет извлекать, расшифровывать и анализировать данные конфигурации Kivars непосредственно из его загрузчика. Этот инструмент, доступный в общедоступном репозитории GitHub, подчеркивает растущую важность ресурсов сообщества в борьбе с этой постоянной угрозой.

Было задокументировано несколько файловых хэшей, связанных с Kivars и его вариантами загрузки, что иллюстрирует разнообразие и потенциальное воздействие этого набора вредоносных ПО. Информация, связанная с обнаружением и поведением Kivars, подчеркивает возможности и намерения группы, что требует повышенной бдительности со стороны целевых секторов и требует принятия надежных защитных мер.

#ParsedReport #CompletenessMedium
10-10-2025

North Koreas Contagious Interview Campaign Escalates: 338 Malicious npm Packages, 50,000 Downloads

https://socket.dev/blog/north-korea-contagious-interview-campaign-338-malicious-npm-packages

Report completeness: Medium

Actors/Campaigns:
Contagious_interview (motivation: financially_motivated, cyber_espionage)

Threats:
Beavertail
Hexeval
Xorindex
Invisibleferret
Typosquatting_technique
Supply_chain_technique
Strictor

Victims:
Cryptocurrency sector, Blockchain sector, Web3 developers, Technical job seekers

Industry:
Financial, Healthcare

Geo:
North koreas, North korea, Dprk, North korean

TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 8
Email: 183
IP: 7
Url: 8

Soft:
macOS, Linux

Wallets:
tron

Crypto:
bitcoin, ethereum

Algorithms:
aes-256-cbc

Languages:
python, javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, chats: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северная Корея активизировала свою кампанию по Contagious Interview, используя реестр npm для распространения более 338 вредоносных пакетов, нацеленных на разработчиков криптовалют. Операция включает в себя тактику социальной инженерии, направленную на то, чтобы заманить жертв к выполнению вредоносного кода с помощью вводящих в заблуждение предложений о собеседовании, используя для эксплуатации перехватчики жизненного цикла npm. Ключевые компоненты вредоносного ПО включают загрузчики, которые облегчают выполнение бэкдоров BeaverTail и InvisibleFerret в нескольких операционных системах, нацеленных в первую очередь на кражу криптовалюты и постоянный доступ к скомпрометированным системам.
-----

Кампания Северной Кореи "Contagious Interview" включала распространение более 338 вредоносных пакетов через реестр npm с примерно 50 000 загрузок. Целями часто становятся разработчики криптовалют и блокчейна, а злоумышленники Маскировка под вербовщиков в Социальных сетях, в частности в LinkedIn. Кампания включает в себя фазу быстрого создания оружия, на которой злоумышленники часто загружают измененный вредоносный код. Злоумышленники отправляют сообщения-интервью, в которых жертвам предлагается клонировать репозитории, которые выполняют сценарий инициализации для запуска цепочки вредоносного ПО. Эксплуатация основана на том, что жертвы выполняют вредоносный код без использования уязвимостей программного обеспечения. Вредоносное ПО работает с помощью перехватчиков жизненного цикла npm во время процессов установки или импорта. Он использует три семейства загрузчиков для перехода от доставки к выполнению вредоносного кода. Первоначальные загрузчики запускают вложенные пакеты, которые восстанавливают в памяти сложное вредоносное ПО, известное как BeaverTail, которое затем извлекает бэкдор под названием InvisibleFerret для кроссплатформенной работы. Вредоносное ПО использует методы обфускации, такие как кодирование полезной нагрузки и XOR-шифрование, чтобы избежать обнаружения. BeaverTail взаимодействует через HTTP (ы) и WebSocket для командования и контроля, стремясь к краже криптовалюты и постоянному доступу к системам жертв. Сообщается, что акторы, связанные с Северной Кореей, украли 2 миллиарда долларов в 2025 году, что указывает на значительные финансовые мотивы. Тактика отражает тенденции социальной инженерии в криптосекторе, манипулируя жертвами, заставляя их запускать вредоносное ПО. Кампания соответствует тактике MITRE ATT&CK, включая Компрометацию цепочки поставок, Выполнение с участием пользователей и запутывание вредоносных скриптов.