#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadowSyndicate - это продвинутая хакерская группировка, использующая уникальные отпечатки SSH и сменяющуюся серверную модель на нескольких серверах командования и контроля (C2), что значительно усложняет отслеживание. Используя сочетание как коммерческих, так и с открытым исходным кодом фреймворков для вредоносного ПО, таких как Cobalt Strike и AsyncRAT, они связаны с несколькими группами программ-вымогателей. Их разнообразные стратегии размещения серверов, использующие пуленепробиваемые сервисы, подчеркивают сложный подход к управлению инфраструктурой, который способствует их операционной анонимности.
-----

ShadowSyndicate - это организованный кластер вредоносной активности, который усовершенствовал свои методы работы, внедрив новые отпечатки SSH и используя несколько серверов. Этот актор в основном зависит от OpenSSH и использует уникальные пары SSH-ключей на значительном количестве серверов, что помогает связать их инфраструктуру с известными действиями. Постоянное использование этих отпечатков SSH позволяет исследователям отслеживать связи между различными кампаниями и анализировать ландшафт угроз, связанных с этой группой.

Недавние открытия показывают, что ShadowSyndicate подтвердил два дополнительных СШ отпечатков пальцев и разработал метод для вращения серверов среди своих СШ кластеров. Группа эксплуатации не менее 20 серверов управления и контроля (C2) инфраструктуры для различных вредоносное ПО обеспечением. Они связаны с несколькими известными инструментами атаки, в том числе Cobalt Strike, MetaSploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent, и Brute Ratel. Несколько рекламных групп и партнерских программ, таких как Cl0p, ALPHV/хип-хоп, Black basta, Ryuk, и Malsmoke, подключенных к shadowsyndicate's операции.

Отпечатки пальцев SSH впервые появились в 2022 году, выступая в качестве идентификаторов вредоносных действий и связанной с ними инфраструктуры. Продолжающееся изучение выявило повторяющееся поведение в различных фреймворках, что указывает на согласованную операционную структуру внутри ShadowSyndicate. Их выбор инструментов включает в себя как коммерческие фреймворки, так и фреймворки с открытым исходным кодом, которые обычно используются киберпреступниками не по назначению.

Shadowsyndicate'S для различных таких мероприятий стало очевидно, как серверы находятся под их контролем, происходят из разнородных территорий и не принадлежат одной и той же организацией. Эта тактика затрудняет отслеживание, подчеркивая утонченный подход к управлению инфраструктурой. Кластер мысль использовать "пуленепробиваемого" хостинга услуги для защиты вредоносной деятельности, что позволяет им работать с пониженным риском правовые последствия.

#ParsedReport #CompletenessMedium
05-02-2026

NGC3181: how to get a foothold in the database without attracting attention

https://rt-solar.ru/solar-4rays/blog/6372/

Report completeness: Medium

Actors/Campaigns:
Ngc3181
Ngc31818

Threats:
Impacket_tool
Rclone_tool
Chisel_tool

Industry:
Government

Geo:
Asian, Russian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 8
File: 10
Command: 3
IP: 6
Registry: 1
Hash: 5

Soft:
Telegram, PostgreSQL, TrueConf, curl, task scheduler, Windows registry, systemd, ViPNet

Algorithms:
sha256, sha1, md5

Languages:
php

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа NGC3181 использует новый метод закрепления путем развертывания бэкдора в базе данных PostgreSQL российского приложения для видеоконференцсвязи, что позволяет вредоносному ПО избегать обнаружения и сохранять работоспособность даже при обновлении программного обеспечения. Такой подход означает изменение тактики борьбы с киберугрозами, подчеркивая, как злоумышленники используют упущенные из виду компоненты программного стека, такие как базы данных, для поддержания контроля над средами, на которые они нацелены.
-----

Группа NGC3181 разработала новый метод закрепления в нацеленных средах, в частности, путем внедрения бэкдора в базу данных PostgreSQL, связанного с широко используемым российским программным обеспечением для видеоконференцсвязи. Этот метод иллюстрирует сложный подход к закреплению, поскольку злоумышленники позаботились о том, чтобы их бэкдор оставался работоспособным и необнаруженным даже благодаря обновлениям как приложения для видеоконференций, так и самой базовой базы данных PostgreSQL.

Такая стратегия привязки подчеркивает важность изучения не только кода приложений, но и баз данных, с которыми они взаимодействуют, поскольку угрозы могут исходить от менее тщательно изученных компонентов программного стека. Атака является примером эволюционирующей тактики в хакерских кАмпаниях, где традиционные меры по обнаружению могут дать сбой из-за размещения вредоносного ПО в менее очевидных местах. Этот инцидент подчеркивает необходимость применения надежных методов обеспечения безопасности, которые распространяются на системы баз данных, поскольку злоумышленники все чаще используют эти точки входа для поддержания контроля над скомпрометированными сетями.

#ParsedReport #CompletenessHigh
05-02-2026

Threat Alert: TeamPCP, An Emerging Force in the Cloud Native and Ransomware Landscape

https://flare.io/learn/resources/blog/teampcp-cloud-native-ransomware/

Report completeness: High

Actors/Campaigns:
Teampcp (motivation: information_theft, financially_motivated)
Pcpcat (motivation: information_theft, financially_motivated)
Teamtnt

Threats:
Sliver_c2_tool
React2shell_vuln
Xmrig_miner
Credential_harvesting_technique
Spear-phishing_technique

Industry:
Petroleum, Government, Education, E-commerce, Financial

Geo:
Vietnam, Canada, United arab emirates, Africa, Vietnamese, African, Arab emirates, Kenya, Serbia, Korea

CVEs:
CVE-2025-29927 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vercel next.js (<12.3.5, <13.5.9, <14.2.25, <15.2.3)


TTPs:
Tactics: 9
Technics: 19

IOCs:
IP: 2
File: 2
Url: 1

Soft:
Docker, Telegram, Redis, curl, Linux, alpine, Systemd

Algorithms:
base64, zip

Languages:
python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TeamPCP - это сложная хакерская группировка, которая в первую очередь нацелена на уязвимости в облачных инфраструктурах, особенно на неправильно сконфигурированные уровни управления, такие как API Docker и Kubernetes. В их операциях используются пользовательские скрипты на Python и shell для сканирования, эксплуатации и закрепления, при этом заметная кампания освещает использование уязвимости React2Shell (CVE-2025-29927). В отличие от традиционных групп вымогателей, их стратегии монетизации включают криптомайнинг и вымогательство данных, уделяя особое внимание таким секторам, как электронная коммерция и финансы.
-----

TeamPCP - это развивающаяся хакерская группировка, признанная за свои облачные операции и возможности программ-вымогателей, особенно выделенные в ее кампании PCPcat. Эта группа использует полный жизненный цикл технологий, включая сканирование, эксплуатацию, закрепление, кражу данных и монетизацию в рамках современных облачных инфраструктур. Вместо того чтобы ориентироваться на устройства конечных пользователей, TeamPCP использует неправильно настроенные уровни управления, такие как API Docker и Kubernetes, а также уязвимые приложения, такие как React и Next.js . Их первичные источники заражения - открытые поверхности управления, что позволяет им перемещаться в разные стороны по целым кластерам, как только нарушается одна рабочая нагрузка, эффективно создавая самораспространяющуюся экосистему преступной деятельности.

Кампания PCPcat, идентифицированная как первая операция под названием TeamPCP, была нацелена на уязвимости, в частности, на использование недостатка React2Shell (CVE-2025-29927) и неправильных настроек в API-интерфейсах Docker. Ключевые инфраструктурные мероприятия достигли своего пика примерно 25 декабря 2025 года, продемонстрировав высокоорганизованную серию операций. TeamPCP использует ряд пользовательских скриптов, в том числе proxy.sh , который служит основой для развертывания средств сканирования и обеспечения закрепления с помощью регистрации службы в скомпрометированных системах. Сценарии, такие как scanner.py , kube.py , и react.py они специально разработаны для зондирования и эксплуатации контейнеризированных сред, позволяя акторам сохранять контроль во время итерации по внедренным кластерам.

Операционные инструменты TeamPCP в основном разрабатываются на Python и shell-скриптах, полагаясь на существующее вредоносное программное обеспечение для выполнения определенных функций. Их основные методы эксплуатации включают в себя Внешние службы удаленного доступа с помощью не прошедших проверку подлинности API и эксплойты общедоступных приложений. Стратегии закрепления злоумышленника включают запланированные задачи, развертывание вредоносных контейнеров и использование привилегированного доступа в средах Kubernetes. В отличие от традиционных групп вымогателей, монетизация TeamPCP основана на различных стратегиях, включая криптомайнинг и вымогательство данных, в первую очередь нацеленных на секторы электронной коммерции, финансов и человеческих ресурсов.

Мониторинг действий TeamPCP требует продвинутых стратегий обнаружения, которые фокусируются на поведении в облаке и рабочей нагрузке, поскольку традиционные механизмы безопасности могут не фиксировать их существенные, но едва уловимые операционные отпечатки. Организациям рекомендуется обезопасить поверхности управления для предотвращения первоначального заражения, поскольку несоблюдение этого требования приводит к обширному компрометированию и потенциальному Несанкционированному использованию ресурсов. В целом, TeamPCP представляет собой современную угрозу, которая использует уязвимости облачных инфраструктур, подчеркивая необходимость нацеленных усилий по обнаружению и смягчению последствий, адаптированных к уникальным вызовам, создаваемым злоумышленниками, использующими облачные технологии.

#ParsedReport #CompletenessLow
05-02-2026

Dark Web Profile: 0APT Ransomware

https://socradar.io/blog/dark-web-profile-0apt-ransomware/

Report completeness: Low

Threats:
0apt_syndicate

Victims:
Critical national grids, Financial institutions

Industry:
Healthcare, Ics, Energy, Aerospace, Logistic, Financial, Critical_infrastructure

Geo:
America, Middle east, Asia

Algorithms:
salsa20, aes-256

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
0APT - это программа-вымогатель как услуга, появившаяся в январе 2026 года, утверждающая, что нацелена на известных жертв в различных секторах по всему миру. Однако технические оценки выявляют несоответствия в их возможностях, предполагая, что они могут быть в первую очередь мошенниками, а не изощренным злоумышленником. Их стратегия, по-видимому, предполагает оппортунистическую эксплуатацию с использованием автоматизированных сканеров, сосредоточенную на внушении страха, а не на демонстрации передовых технических навыков.
-----

0APT, или 0apt Syndicate, это вымогатели как услуги по эксплуатации, которые появились в конце января 2026. Группа получила немедленного внимания перечислением многочисленных громких жертв на его Dark Web веб утечки, вызывает озабоченность по поводу его оперативных возможностей. Хотя он представляет себя как грозная злоумышленник занимался политически нейтральная деятельность по технической оценки указаны потенциальные уязвимости в операционной модели, предполагая, что 0APT в первую очередь могут функционировать как мошенничество, а не сложные группы вымогателей.

Группа работает без четкой вертикальной специализации, ориентируясь на широкий спектр секторов в различных регионах, включая Северную Америку, Европу, Азию и Ближний Восток. Этот подход представляется оппортунистическим, использующим автоматизированные сканеры уязвимостей для выявления и использования слабых мест в различных инфраструктурах, таких как национальные электросети и финансовые организации. Их оперативная техника опирается на стратегию большого объема и низкой точности, направленную на то, чтобы внушить страх посредством психологического давления, а не на демонстрацию технического мастерства.

Несмотря на заявления о компрометации важных целей, значительный анализ показывает, что 0APT может не представлять законной киберугрозы. Тщательное изучение их инфраструктуры и утечек данных выявило несоответствия, которые подрывают их репутацию способного противника. Такие аномалии указывают на возможность того, что 0APT либо является "поддельной" организацией-вымогателем, либо работает на гораздо более низком уровне возможностей, чем предполагалось.

Для эффективной защиты от угроз, исходящих от 0APT, организациям следует принять стратегию "Сначала проверьте, затем отреагируйте". Это предполагает тщательную проверку достоверности заявлений группы, прежде чем предпринимать какие-либо защитные действия, поскольку их склонность преувеличивать свои возможности может привести к ненужной панике и неправильному распределению ресурсов.

Таким образом, в то время как группа вымогателей 0APT попала в заголовки газет благодаря своей агрессивной тактике преследования, факты указывают на менее сложную операцию, чем предполагалось первоначально. Следовательно, усилия по кибербезопасности должны быть сосредоточены на проверке и осторожном реагировании на заявления, сделанные такими группами.

#ParsedReport #CompletenessLow
05-02-2026

The Godfather of Ransomware? Inside DragonForces Cartel Ambitions

https://www.levelblue.com/blogs/spiderlabs-blog/the-godfather-of-ransomware-inside-dragonforces-cartel-ambitions

Report completeness: Low

Actors/Campaigns:
Dragonforce (motivation: sabotage, cyber_criminal)
Dragonforce_malaysia
Bjorka
Funksec

Threats:
Dragonforce_ransomware
Ransombay_raas
Ransomhub
Eldorado_ransomware
Ransomlock
Lockbit
Qilin_ransomware
Ralord
Babuk2
Conti
Shadow_copies_delete_technique

Victims:
Ransomware affiliates, Organizations targeted by ransomware

Geo:
Germany, Russian, Italy, Russian federation, Australia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
IP: 6
Hash: 1
File: 1

Soft:
Linux, ESXi, vim-cmd

Languages:
swift

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce, группа программ-вымогателей, появившаяся в конце 2023 года, работает по модели "Программа-вымогатель как услуга" (RaaS), ориентируясь на различные платформы, такие как Windows, Linux, ESXi, BSD и NAS. Они используют уникальный аргумент командной строки `-vmsvc` для обнаружения в средах ESXi и автоматизировали процесс подбора партнеров. Технический анализ их исполняемого файла программы-вымогателя указывает на сходство с другими семействами, предполагая эволюционирующее сочетание тактик в ландшафте киберугроз.
-----

DragonForce - это группа программ-вымогателей, появившаяся в конце 2023 года, характеризующаяся как значительная хакерская группировка, особенно известная своей моделью "Программы-вымогатели как услуга" (RaaS). Эта модель предоставляет филиалам инструменты для запуска программ-вымогателей на нескольких платформах, включая Windows, Linux, ESXi, BSD и NAS-системы. Примечательной особенностью их работы является аргумент командной строки `-vmsvc`, который позволяет обнаруживать в средах ESXi с помощью команды `vim-cmd`.

Группа упростила процесс подбора персонала за счет создания автоматизированной службы регистрации потенциальных филиалов, отменив прежнее требование о внесении денежных депозитов и тщательной проверке биографических данных. Этот сдвиг означает намерение расширить свои операционные возможности и облегчить доступ новым киберпреступникам.

Стремясь повысить профессионализм своей деятельности, DragonForce предоставляет услугу "Аудит данных компании", направленную на оказание помощи аффилированным лицам программ-вымогателей во время попыток вымогательства. Эта услуга позволяет аффилированным лицам анализировать украденные данные и сообщать о деловых, юридических и репутационных рисках, связанных с нарушениями. Такой подход усиливает их влияние на жертв, дополняясь поддержкой во время переговоров и процессов расшифровки.

После объявления себя картелем вымогателей DragonForce активно нацелена на конкурирующие группировки, наиболее заметно это проявилось в атаке на сайт утечки информации конкурента BlackLock вскоре после утверждения своего нового статуса. Кроме того, была проведена разъяснительная работа по сотрудничеству в рамках организованной киберпреступности, поскольку представители DragonForce открыто призвали к сотрудничеству с такими известными операциями, как LockBit и Qilin. Имеются также свидетельства участия группы Nova RaaS в этой совместной инициативе.

Хотя слухи предполагали связь между DragonForce и DragonForce Malaysia, эти утверждения не имеют под собой оснований. 28 октября 2025 года DragonForce Malaysia официально опровергла какую-либо связь с группой вымогателей, подчеркнув, что обвинения были необоснованными и противоречили их оперативным целям.

Технический анализ исполняемого файла DragonForce's ransomware показал сходство с методами, используемыми другими семействами программ-вымогателей, что указывает на потенциальное сочетание тактик в рамках меняющегося ландшафта угроз.

#ParsedReport #CompletenessHigh
05-02-2026

The Shadow Campaigns: Uncovering Global Espionage

https://unit42.paloaltonetworks.com/shadow-campaigns-uncovering-global-espionage/

Report completeness: High

Actors/Campaigns:
Unc6619 (motivation: cyber_espionage)

Threats:
Diaoyu
Shadowguard
Cobalt_strike_tool
Vshell
Havoc
Spark_rat
Sliver_c2_tool
Behinder
Neo-regeorg_tool
Godzilla_webshell
Iox_tool
Residential_proxy_technique

Victims:
Government, Critical infrastructure, Mining sector, Law enforcement, Power equipment supplier

Industry:
Energy, Logistic, Maritime, Military, Financial, Aerospace, Government, Critical_infrastructure, Telco

Geo:
American, Nigeria, Portugal, Venezuela, India, Canada, China, Oceania, Serbia, Czechia, Indonesian, Americas, Ethiopia, Bangladesh, Nepal, Japan, Mongolian, Guatemala, Congo, Brazil, Thailand, Poland, Afghanistan, Uzbekistan, Vietnam, Panama, African, Malaysian, Brazilian, Germany, Australia, Jamaica, Taiwan, Malaysia, Asia, Indonesia, Cyprus, Czech, Italy, Saudi arabia, Korea, Namibia, Greece, Honduras, Sri lanka, Niger, Bolivia, Asian, Indian, Dominican republic, Mongolia, Tibetan, Guinea, Mexico, Africa, Djibouti, Singapore, Zambia

CVEs:
CVE-2019-11580 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian crowd (<3.0.5, <3.1.6, <3.2.8, <3.3.5, <3.4.4)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1018, T1046, T1059, T1068, T1090, T1090.003, T1105, T1190, T1204, have more...

IOCs:
Domain: 14
File: 11
Url: 3
Hash: 11
IP: 14

Soft:
Open Management Infrastructure, Microsoft Exchange Server, Linux

Algorithms:
zip, sha256

Win Services:
EPSecurityService

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TGR-STA-1030, также известная как UNC6619, является государственной группой кибершпионажа из Азии, нацеленной на правительства и критически важную инфраструктуру в 37 странах с начала 2025 года. Их операции в основном связаны с кампаниями по фишингу и используют различные методы, включая разведку, использование таких инструментов, как Cobalt Strike и VShell, а также уникальное вредоносное ПО, такое как руткит ядра Linux ShadowGuard. Их деятельность распространилась на 155 стран, с заметными целями в Бразилии, Мексике и Африке, связанными с экономическими и военными интересами.
-----

Расследование в отношении TGR-STA-1030, группы кибершпионажа, также известной как UNC6619, выявляет изощренного государственного злоумышленника, действующего из Азии, с доказанными возможностями компрометировать правительственные организации и критически важную инфраструктуру в 37 странах. Эта группа, выявленная в начале 2025 года, в основном проводила кампании фишинга, нацеленные на европейские правительства, используя вводящие в заблуждение электронные письма о реорганизации правительства для доставки вредоносных полезных данных, таких как DiaoYu.exe , что очевидно из его метаданных, свидетельствующих о намерениях фишинга.

TGR-STA-1030 демонстрирует использование различных методов атаки, включая активную разведку для выявления уязвимостей и попытки эксплуатации для получения доступа к целевым сетям. Они используют ряд распространенных инструментов и фреймворков эксплуатации, хотя в их арсенале не было обнаружено эксплойтов zero-day. В их инструментарии особое место занимает Cobalt Strike, со временем переходящий на VShell, при этом используются Веб-шеллы, такие как Behinder, Neo-reGeorg и Godzilla для поддержания постоянного доступа в скомпрометированных средах.

Одним из примечательных аспектов вредоносного ПО является развертывание уникального руткита ядра Linux, называемого ShadowGuard, обнаруженного Unit 42 и предназначенного для скрытой работы в системах Linux. Эта группа также создает свои серверы управления (C2), используя инфраструктуру законных поставщиков VPS в регионах с сильной правовой базой, что позволяет легче избежать обнаружения. Было замечено, что они используют такие методы, как SSH и RDP для подключения, а также различные прокси-серверы и методы туннелирования, демонстрируя адаптивность в поддержании своих централизованных операций.

Что касается таргетинга, то только с конца 2025 года TGR-STA-1030 значительно расширил сферу своей применения, увеличив сканирование и разведку уязвимостей в 155 странах. Конкретные инциденты включают компрометацию правительственных сетей в Бразилии, атрибутируемую с интересами в области редкоземельных минералов, и различных министерств в Мексике, вероятно, связанных с торговыми соглашениями. Их деятельность также охватывала европейские страны, включая целенаправленную кампанию против Германии и дальнейшую разведку против азиатских стран, особенно в таких регионах, как Южно-Китайское море.

В Африке мотивы группировки, по-видимому, переплетаются с военными и экономическими интересами, особенно в горнодобывающем секторе, о чем свидетельствуют их нападения на правительственные учреждения в Демократической Республике Конго и Замбии. В целом, TGR-STA-1030 остается грозным злоумышленником, в первую очередь занимающимся шпионажем в правительственных кругах, что подчеркивает их намерение получить представление о международных экономических партнерствах и стратегических функциях правительства.

#ParsedReport #CompletenessMedium
06-02-2026

Malicious dYdX Packages Published to npm and PyPI After Maintainer Compromise

https://socket.dev/blog/malicious-dydx-packages-published-to-npm-and-pypi

Report completeness: Medium

Threats:
Dns_hijacking_technique
Supply_chain_technique
Typosquatting_technique

Victims:
Dydx ecosystem, Cryptocurrency exchanges, End users, Developers

Industry:
Financial

TTPs:
Tactics: 3
Technics: 5

IOCs:
Domain: 2
File: 29
Url: 3
Hash: 1

Soft:
Outlook

Algorithms:
base64, gzip, sha256

Functions:
createRegistry, getDeviceUuid, list_prices, init, run_script_async

Win API:
gethostname, decompress

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние инциденты с безопасностью, связанные с инфраструктурой dYdX, подвергают серьезным рискам экосистемы управления пакетами, такие как npm и PyPI, в первую очередь из-за компромиссов со стороны сопровождающих. Вредоносные пакеты npm способствовали краже учетных данных и включали функциональность, которая позволяет извлекать конфиденциальные пользовательские данные, такие как начальные фразы. Кроме того, скомпрометированный пакет PyPI содержал Троянскую программу для удаленного доступа, способную выполнять произвольный код, демонстрирующую передовые методы обфускации, которые используют связь управления с помощью командной строки, что отражает сложный подход злоумышленника.
-----

Недавние инциденты с безопасностью, связанные с инфраструктурой dYdX, выявили значительные риски, связанные с экосистемами управления пакетами, такими как npm и PyPI, в частности, из-за компрометации сопровождающего, что привело к распространению вредоносных клиентских пакетов dYdX. Этот инцидент способствовал краже учетных данных из кошельков пользователей и сделал возможным потенциальное Удаленное Выполнение Кода в затронутых системах.

Нападение является частью более широкой картины целеуказания dYdX на протяжении многих лет, с предыдущими случаями цепочка поставок снабжение и атаки на уровне домена. Например, в сентябре 2022, нарушена npm-пакетов, используемых на различных криптовалютных платформ включены сценарии, которые выполняются внешних, вредоносных полезных нагрузок после установки. Кроме того, более недавний инцидент с DNS hijacking в июле 2024 года привел к тому, что пользователи попали на сайт фишинга, нацеленный на вывод средств с криптовалютных кошельков, продемонстрировав различные методы, используемые злоумышленниками.

Что касается вредоносного пакета npm, то он включает в себя функцию createRegistry(), которая после интеграции извлекает конфиденциальную пользовательскую информацию, включая начальные фразы и отпечатки пальцев устройства. Этот механизм представляет значительный риск, поскольку разработчики невольно раскрывают учетные данные своих пользователей с помощью, казалось бы, безобидных функций.

На платформе PyPI вредоносный пакет включает в себя не только кражу учетных данных, но и Троянскую программу удаленного доступа (RAT), скрытую в зашифрованной полезной нагрузке. RAT позволяет злоумышленникам выполнять произвольный код после импорта пакета, поскольку он предназначен для автоматического запуска при первом использовании. Эта возможность позволяет полностью скомпрометировать систему, выходя за рамки простой кражи кошелька и потенциально получая контроль над всей системой жертвы.

Тактика обфускации, используемая в полезной нагрузке RAT, которая подключается к серверу управления для получения инструкций, демонстрирует изощренность злоумышленников. Это позволяет лучше понять системные уязвимости, поскольку эффективно обходит типичные механизмы обнаружения.

Инциденты соответствуют множеству методов, определенных в рамках фреймворка MITRE ATT&CK, включая Компрометацию цепочки поставок, использование Интерпретатора командной строки и сценариев и эксфильтрацию по каналу управления. В совокупности эти атаки подчеркивают острую необходимость проявлять бдительность в Цепочках поставок программного обеспечения и важность внедрения надежных методов обеспечения безопасности для снижения рисков.