#ParsedReport #CompletenessMedium
07-01-2026

Malicious NPM Packages Deliver NodeCordRAT

https://www.zscaler.com/blogs/security-research/malicious-npm-packages-deliver-nodecordrat

Report completeness: Medium

Threats:
Nodecordrat
Supply_chain_technique
Typosquatting_technique

Victims:
Software developers, Cryptocurrency users

TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 9
Email: 1
Hash: 3

Soft:
Discord, Chrome, Linux, macOS, Node.js

Wallets:
metamask

Crypto:
bitcoin

Algorithms:
md5

Languages:
jscript, powershell, javascript

Links:
https://github.com/bitcoinjs
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года Zscaler ThreatLabZ выявил три вредоносных пакета npm, предназначенных для доставки NodeCordRAT, троянца удаленного доступа (RAT), который нацелен на конфиденциальные данные браузера, такие как учетные данные Chrome и информация о метамасках. RAT использует Discord для командования и контроля, создавая частный канал для эксфильтрации команд и данных. Использование JavaScript в рамках Node.js среде, он собирает незащищенные учетные данные и может извлекать файлы и скриншоты из зараженной системы.
-----

В ноябре 2025 года Zscaler ThreatLabZ обнаружил три вредоносных пакета npm: bitcoin-main-lib, bitcoin-lib-js и bip40. Эти пакеты были разработаны для доставки NodeCordRAT, троянца удаленного доступа (RAT), который может красть конфиденциальную информацию. Пакеты bitcoin-main-lib и bitcoin-lib-js выполнили сценарий постустановки, который требовал установки bip40, который содержит фактическую вредоносную полезную нагрузку. Этот подход, включающий typosquatting, использовал имена, похожие на законные репозитории в проекте bitcoinjs, чтобы обманом заставить разработчиков загрузить эти вредоносные пакеты. Примечательно, что NodeCordRAT также можно загрузить автономно через пакет bip40, что позволяет ему обходить предыдущие установки.

NodeCordRAT предназначен для обработки различных конфиденциальных данных браузера, включая учетные данные Chrome, токены API и данные с криптовалютной платформы MetaMask. Примечательно, что ThreatLabZ сообщил о нескольких тысячах загрузок этих вредоносных пакетов, что указывает на значительную потенциальную базу пользователей, затронутых этой угрозой.

Технически, NodeCordRAT работает путем установления уникального идентификатора для каждой зараженной машины с помощью снятия отпечатков пальцев хоста и использует Discord для обмена данными между командами и контролем (C2). Этот RAT создает приватный канал в Discord после подключения к жестко запрограммированному серверу, облегчая эксфильтрацию команд и данных. Возможности вредоносного ПО включают сбор конфиденциальной информации из скомпрометированной системы и отправку ее обратно злоумышленнику по этому частному каналу.

Вредоносное ПО создано с использованием JavaScript и использует Node.js среда, выполняющая команды для сбора подробной системной информации и конфигурации сети. Он специально выполняет поиск незащищенных учетных данных в текстовых файлах и данных сеанса браузера, включая файлы cookie и сохраненные пароли. Кроме того, он может извлекать файлы из локальной системы и даже делать скриншоты активности пользователя.

NodeCordRAT использует Discord API в первую очередь для связи C2, используя структурированный канал для отправки команд и сбора информации. Собранные данные загружаются непосредственно через существующее соединение C2, что затрудняет жертвам отслеживание или остановку процесса эксфильтрации.

#ParsedReport #CompletenessLow
08-01-2026

Chrome Extensions Impersonate AI Tools to Steal ChatGPT & DeepSeek Chats

https://socradar.io/blog/chrome-extensions-steal-chatgpt-deepseek-chats/

Report completeness: Low

Victims:
Browser users

ChatGPT TTPs:
do not use without manual check
T1102, T1176

IOCs:
Hash: 2
Domain: 6

Soft:
Chrome, ChatGPT, DeepSeek, Claude

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была обнаружена Вредоносная Кампания с использованием обманчивых расширений Chrome, выдающих себя за законные инструменты искусственного интеллекта, которая была загружена более чем 900 000 раз, прежде чем была раскрыта. Эти вредоносные расширения запрашивали у пользователей разрешения под видом аналитики, внедряя код для мониторинга активности в интернете и сбора конфиденциальных данных, включая URL-адреса, поисковые запросы и потенциально конфиденциальную информацию. Несмотря на их разоблачение, оба расширения оставались доступными в интернет-магазине Chrome в течение некоторого времени.
-----

Недавнее расследование выявило Вредоносную Кампанию с участием двух обманчивых расширений Chrome, которые выдавали себя за законные инструменты искусственного интеллекта. Эти расширения, предназначенные для сбора пользовательских данных, в совокупности собрали более 900 000 загрузок из интернет-магазина Chrome, прежде чем была раскрыта их вредоносная природа. Исследователи безопасности выявили, что после установки этих расширений пользователям было предложено авторизовать то, что якобы являлось анонимной аналитикой. После утверждения расширения развернули код, который отслеживал активность пользователей во всех открытых вкладках Chrome.

Типы данных, собираемых вредоносными расширениями, включали конфиденциальные разговоры в сеансах искусственного интеллекта, которые могли непреднамеренно содержать конфиденциальную информацию, деловые обсуждения и личные данные. Кроме того, расширения предоставляли полные URL-адреса всех открытых вкладок, потенциально раскрывая доступ к конфиденциальным или ограниченным ресурсам. Они также фиксировали поисковые запросы, в которых указывались темы исследований пользователей или следственные действия, а также параметры URL-адресов, которые могли привести к утечке идентификаторов или информации, связанной с сеансами пользователя.

После обнаружения этих угроз в конце декабря Google сообщила о расширениях. На тот момент, хотя у одного из них был удален статус рекомендуемого, оба они оставались доступными в интернет-магазине Chrome. Этот инцидент подчеркивает риски, связанные с кажущимися законными расширениями, которые могут злоупотребить доверием пользователей, что приводит к существенной компрометации данных.

#ParsedReport #CompletenessHigh
07-01-2026

Inside GoBruteforcer: AI-Generated Server Defaults, Weak Passwords, and Crypto-Focused Campaigns

https://research.checkpoint.com/2026/inside-gobruteforcer-ai-generated-server-defaults-weak-passwords-and-crypto-focused-campaigns/

Report completeness: High

Threats:
Gobruteforcer_botnet
Garbler_tool

Victims:
Crypto and blockchain projects, Linux servers

Industry:
Military, Financial, Government

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 10
Url: 1
File: 5
Coin: 1
IP: 4
Domain: 6

Soft:
curl, mysql, wordpress, wordpress:wordpress, phpMyAdmin, PostgreSQL, Linux, Docker

Wallets:
tron, harmony_wallet

Crypto:
binance

Algorithms:
sha256, md5

Languages:
perl, php

Platforms:
x86, arm, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, dump: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoBruteforcer, модульный ботнет, написанный на Go, нацелен на серверы Linux, используя слабые пароли в таких сервисах, как FTP, MySQL, PostgreSQL и phpMyAdmin. Он распространяется через Веб-шеллы и IRC-ботов и особенно активен в отношении устаревших веб-стеков, таких как XAMPP, которые часто используют учетные данные по умолчанию. Ботнет использует систематические методы брутфорса, используя сервер управления для управления учетными данными и применяя тактику скрытности, чтобы оставаться незамеченным при компрометации более 50 000 серверов, особенно тех, которые связаны с криптовалютными проектами.
-----

GoBruteforcer - это модульный ботнет, нацеленный на серверы Linux с помощью слабых паролей и учетных данных, позволяющий использовать брутфорс для входа в такие сервисы, как FTP, MySQL, PostgreSQL и phpMyAdmin. По оценкам, более 50 000 серверов находятся под угрозой из-за конфигураций, созданных искусственным интеллектом, использующих предсказуемые имена пользователей и слабые пароли по умолчанию. Ботнет в основном распространяется через плохо защищенные FTP-сервисы, особенно в системах, использующих XAMPP, которые часто неправильно настроены для обеспечения безопасности. Он использует систематический брутфорс с использованием предопределенных списков учетных данных, управляемых сервером C2. Вредоносное ПО использует интеллектуальный выбор IP-адреса, проверяет службы перед попыткой входа в систему, используя жестко закодированные учетные данные для FTP и логины из C2-источников для MySQL и PostgreSQL. Модуль phpMyAdmin выполняет более сложные веб-взаимодействия через HTTP. GoBruteforcer скрывает свое присутствие с помощью изменений имен процессов и запланированных задач, обеспечивая закрепление и оперативную скрытность. Ботнет балансирует рабочие нагрузки на зараженных серверах, чтобы повысить производительность без перегрузки ресурсов. Использование неправильно сконфигурированных систем подчеркивает значительные угрозы, создаваемые автоматизированными инструментами в скомпрометированной инфраструктуре.

#ParsedReport #CompletenessLow
08-01-2026

NoName057(16) and DDoSia Project Analysis: Russias Most Persistent Hacktivist Operation

https://socradar.io/blog/noname05716-and-ddosia-project-analysis-russia/

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism, propaganda)

Threats:
Ddosia_botnet
Synflood_technique
Udpflood_technique
Slowloris_technique

Victims:
Government bodies, Financial institutions, Media outlets, Nato member states, Ukraine supporters

Industry:
Financial, Iot, Government, Military

Geo:
Russias, Ukraine, Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1071, T1082, T1204, T1498, T1499, T1562, T1583, T1587

Soft:
Linux, Android, Telegram

Algorithms:
aes-gcm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NoName057(16) - российская хактивистская группа, использующая проект DDoSia, который приглашает добровольцев установить программное обеспечение для запуска DDoS-атак на нацеленные объекты, такие как государственные и финансовые учреждения. С 2022 года проект развивался в течение пяти итераций, включая передовые методы уклонения, включая зашифрованную связь C2 и ротацию пользовательских агентов. DDoSia использует различные векторы атак и адаптирует стратегии, основанные на возможностях устройств филиалов, в то время как ее операции тесно связаны с геополитическими событиями.
-----

NoName057(16) и его проект DDoSia представляют собой высокоорганизованную операцию российских хактивистов, отличающуюся уникальным подходом к кибератаке. В отличие от традиционных ботнет, которые обычно используют уязвимости для компрометации систем без согласия пользователей, DDoSia работает по модели, при которой добровольцы добровольно устанавливают программное обеспечение для участия в DDoS-атаках на цели, определенные руководством группы. Эта модель использует психологические стратегии, включая пропаганду, геймификацию и криптовалютные стимулы, привлекая людей с минимальными техническими навыками, но добиваясь значительной операционной эффективности.

DDoSia претерпела быструю техническую эволюцию, продемонстрировав пять основных итераций с момента своего создания в 2022 году. В каждой версии представлены расширенные возможности уклонения, такие как зашифрованная связь по управлению (C2), ротация пользовательских агентов, широкое использование прокси-серверов и функции, направленные на антианализ. Группировка координирует свои атаки с геополитическими событиями и обычно запускает их в течение 24-72 часов после значительных событий, таких как расширение НАТО или санкции, связанные с военными действиями России на Украине. Профиль целей особенно широк: на государственные структуры приходится примерно 40-50% атак, на финансовые учреждения приходится 17-23%, а на средства массовой информации - 12-18%, в первую очередь ориентируясь на сторонников НАТО и Украины.

Платформа DDoSia использует несколько векторов атак, включая HTTP/HTTP2-флуды, TCP SYN floods, UDP floods, атаки Slowloris и использование TLS-рукопожатия. Используемые методы уклонения включают запутывание строк во время выполнения, шифрование AES-GCM и методы обхода систем защиты от ботов и обнаружения виртуальных машин. Кроме того, вредоносное ПО может динамически обновлять списки целей через серверы C2 без необходимости перераспределять двоичные файлы и может корректировать стратегии атак на основе возможностей устройств, используемых аффилированными лицами.

Помимо технических аспектов своей деятельности, NoName057(16) эффективно использует сложные пропагандистские стратегии, управляя активными Telegram-каналами с большим количеством подписчиков, чтобы способствовать вовлечению и поддержке. Учитывая сохраняющуюся геополитическую напряженность между Россией и Украиной, ожидается, что NoName057(16) продолжит свою деятельность и будет развиваться дальше. Будущие тенденции могут включать в себя усовершенствованные методы атак и изменения инфраструктуры, что подчеркивает важность понимания организациями этого ландшафта угроз. Повышенная осведомленность об изменяющейся тактике DDoSia's и текущей среде угроз крайне важна для организаций, стремящихся усилить свои меры кибербезопасности против этой постоянной хактивистской операции.

#ParsedReport #CompletenessLow
07-01-2026

How Scareware Emails Now Push Legitimate Subscriptions

https://malwr-analysis.com/2026/01/08/how-scareware-emails-now-push-legitimate-subscriptions/

Report completeness: Low

Threats:
Credential_harvesting_technique

IOCs:
Url: 2
Domain: 3
IP: 1
Hash: 1

Soft:
twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Электронные письма Scareware, тематически связанные с "Заполнением облачного хранилища", используют опасения пользователей потерять личные данные, чтобы заставить их предпринять срочные действия в отношении своих учетных записей. Эти попытки фишинга эволюционировали от первичного извлечения личной информации к продвижению законных подписок на Облачные сервисы, используя срочность для получения дохода без прямой установки вредоносного ПО. Эта тенденция подчеркивает необходимость адаптации аналитики киберугроз по мере того, как злоумышленники совершенствуют методы, использующие человеческую психологию, в условиях растущей зависимости от Облачных сервисов.
-----

Вредоносные электронные письма, особенно те, которые посвящены теме “Облачное хранилище заполнено”, были постоянной угрозой в течение многих лет, наживаясь на страхах пользователей потерять свои личные данные. Эти попытки фишинга используют распространенные страхи для манипулирования отдельными лицами, заставляя их принимать срочные меры в отношении своих учетных записей. Электронные письма обычно вызывают чувство паники, утверждая, что облачное хранилище пользователей заполнено и что требуются немедленные действия, чтобы избежать потери данных.

Со временем стратегии монетизации, используемые в этих кампаниях по фишингу, значительно эволюционировали. Изначально такие электронные письма в первую очередь были направлены на извлечение личной информации или установку вредоносного ПО. Однако текущая тенденция демонстрирует сдвиг в сторону продвижения законных подписок как средства получения дохода. Используя срочность, внушаемую получателям, электронные письма часто побуждают пользователей подписываться на, казалось бы, необходимые облачные сервисы хранения данных. Этот новый подход не только использует страх потери данных, но и создает видимость законности, повышая вероятность того, что ничего не подозревающие люди подчинятся.

Продолжающаяся эволюция этой тактики подчеркивает тревожную тенденцию в области киберугроз, когда традиционные методы защиты от вредоносных программ совершенствуются для получения финансово выгодного результата без прямого требования установки вредоносного программного обеспечения. Разведка киберугроз должна сохранять бдительность, поскольку злоумышленники постоянно адаптируют свои стратегии, используя человеческую психологию и растущую зависимость от Облачных сервисов. Понимание этих изменений имеет решающее значение для разработки эффективной защиты от таких эволюционирующих схем фишинга.

#ParsedReport #CompletenessLow
08-01-2026

New phishing campaign on "Health Card expiration" underway

https://cert-agid.gov.it/news/nuova-campagna-di-phishing-su-scadenza-tessera-sanitaria-in-corso/

Report completeness: Low

Victims:
Health sector, Government sector

Industry:
Healthcare

Geo:
Italy

IOCs:
Domain: 2
Url: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленная кампания по фишингу использует темы истечения срока действия медицинских карт, используя официальные логотипы, чтобы обманом заставить людей предоставить конфиденциальную информацию. Эта кампания подрывает доверие общественности к государственным службам, создавая значительную угрозу безопасности. CERT-AGID предупредил соответствующие органы и поделился показателями компрометации, чтобы помочь организациям в выявлении этой угрозы и реагировании на нее.
-----

Недавно выявленная кампания по фишингу нацелена на отдельных лиц, используя темы, связанные с истечением срока действия медицинских карт. В этой кампании используются логотипы и фирменный стиль, связанные с системой медицинских карт и Министерством здравоохранения, для создания вводящих в заблуждение сообщений, направленных на то, чтобы обманом заставить получателей разгласить конфиденциальную информацию. Кампания представляет значительную угрозу, поскольку она укрепляет доверие общественности к государственным службам для повышения их эффективности.

В ответ на эту угрозу CERT-AGID предпринял упреждающие меры, предупредив Министерство здравоохранения и департамент безопасности Министерства экономики и финансов (MEF) о продолжающейся деятельности по фишингу. Агентство также направило запросы на вывод вредоносного домена из эксплуатации, чтобы предотвратить дальнейшую эксплуатацию. Кроме того, CERT-AGID распространил среди организаций индикаторы компрометации (IOCs), чтобы помочь в обнаружении и устранении этой угрозы фишинга. Акцент на немедленных действиях отражает срочность ситуации, подчеркивая необходимость осведомленности и бдительности потенциальных целей.

#ParsedReport #CompletenessLow
08-01-2026

Defending Against Gamaredon: Practical Controls That Actually Work

https://blog.synapticsystems.de/how-to-defend-against-gamaredon/

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Spear-phishing_technique
Gamaload

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.005, T1059.007, T1071.001, T1102, T1104, T1105, T1204.001, T1204.002, have more...

IOCs:
File: 8
Path: 3
Registry: 2

Soft:
Windows PowerShell, outlook

Languages:
jscript, powershell