#ParsedReport #CompletenessHigh
24-04-2026

KYCShadow: An Android Banking Malware Exploiting Fake KYC Workflows for Credential and OTP Theft

https://www.cyfirma.com/research/kycshadow-an-android-banking-malware-exploiting-fake-kyc-workflows-for-credential-and-otp-theft/

Report completeness: High

Threats:
Kycshadow
Credential_harvesting_technique

Victims:
Banking users, Financial services, India

Industry:
Critical_infrastructure, Financial

Geo:
India, Indian

TTPs:
Tactics: 9
Technics: 17

IOCs:
Url: 1
File: 6
Domain: 3
Hash: 2

Soft:
Android, WhatsApp, Google Play, AgentCore

Algorithms:
zip, sha256, base64, xor

Functions:
deriveKey, nativeRunUssd, getEnvironment, getNativeUrl, getNativeKey, getNativeAgentId, getNativeSmsAction, requestBatteryExemption

Win API:
loadLibrary

Languages:
java, javascript, kotlin

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 27, dump: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KYCShadow - это банковское ВПО для Android, которое нацелено на пользователей в Индии, Маскировка под приложение для проверки KYC с помощью вводящего в заблуждение экрана "Требуется обновление". Вредоносная программа ВПО функционирует как многоступенчатый дроппер, устанавливающий дополнительную полезную нагрузку, которая позволяет перехватывать SMS, управлять голосовыми вызовами и фишинг через интерфейс WebView, используя Firebase Cloud Messaging для управления. Его методы обфускации и пользовательский VPN-сервис облегчают кражу данных и манипулирование трафиком, что согласуется с организованными операциями по финансовому мошенничеству.
-----

KYCShadow - это банковское ВПО для Android, работающее как многоступенчатый дроппер, замаскированный под приложение для проверки KYC, предназначенное для пользователей в Индии через WhatsApp.

Заражение начинается с обманчивого экрана "Требуется обновление" и устанавливает дополнительную полезную нагрузку с помощью нескольких тактик, включая включение VPN, которая направляет трафик через сеть, контролируемую ВПО.

ВПО состоит из загрузчика (com.***appad.andr) и основной полезной нагрузки (com.am5maw3.android), при этом загрузчик расшифровывает и запускает дополнительную полезную нагрузку незаметно для пользователя.

Он использует Firebase Cloud Messaging для обмена управлением, размещенный по адресу https://jsonapi.biz , облегчающий удаленное выполнение команд, типичное для финансово мотивированных вредоносных кампаний.

После активации полезная нагрузка может выполнять перехват SMS, управление голосовыми вызовами, выполнение USSD и фишинг через интерфейс WebView для сбора конфиденциальной информации, такой как номера мобильных телефонов, PIN-коды банкоматов, данные Aadhaar и учетные данные карты.

ВПО использует продвинутые методы запутывания с помощью сведений о конфигурации и ключей, встроенных в собственную библиотеку (libnative-lib.so ), что усложняет работу по анализу.

На XOR метод расшифровки используется для извлечения полезной нагрузки во время выполнения, и ВПО можете перехвата трафика через пользовательский сервис VPN, уклонения от обнаружения.

KYCShadow обходит функции оптимизации заряда батареи для постоянного выполнения в фоновом режиме, что указывает на изощренное уклонение от мер безопасности Android.

Кампания демонстрирует тесные связи с предыдущими операциями по финансовому мошенничеству, связанными с аферами eChallan, что предполагает преемственность и возможные связи с одним развивающимся злоумышленником или группой.

Группа широко использует социальную инженерию и распространение ВПО с помощью платформ обмена сообщениями для совершения широкомасштабных финансовых афер.

#ParsedReport #CompletenessLow
26-04-2026

A Shortcut to Coercion: Incomplete Patch of APT28's Zero-Day Leads to CVE-2026-32202

https://www.akamai.com/blog/security-research/2026/apr/incomplete-patch-apt28s-zero-day-cve-2026-32202

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Motw_bypass_technique

Victims:
Ukraine, European union

Geo:
Ukraine

CVEs:
CVE-2026-32202 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.9060)
- microsoft windows_10_1809 (<10.0.17763.8644)
- microsoft windows_10_21h2 (<10.0.19044.7184)
- microsoft windows_10_22h2 (<10.0.19045.7184)
- microsoft windows_11_23h2 (<10.0.22631.6936)
have more...
CVE-2026-21510 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.8868)
- microsoft windows_10_1809 (<10.0.17763.8389)
- microsoft windows_10_21h2 (<10.0.19044.6937)
- microsoft windows_10_22h2 (<10.0.19045.6937)
- microsoft windows_11_23h2 (<10.0.22631.6649)
have more...
CVE-2026-21513 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.8868)
- microsoft windows_10_1809 (<10.0.17763.8389)
- microsoft windows_10_21h2 (<10.0.19044.6937)
- microsoft windows_10_22h2 (<10.0.19045.6937)
- microsoft windows_11_23h2 (<10.0.22631.6649)
have more...

ChatGPT TTPs:
do not use without manual check
T1187, T1203, T1218.002, T1553.005

IOCs:
File: 3

Soft:
Microsoft Defender, Windows shell, Windows Explorer, Component Object Model

Functions:
LinkTargetIDList, Verify, GetModuleMapped, PathFileExistsW

Win API:
ShellExecuteExW

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи Akamai обнаружили CVE-2026-32202, уязвимость с нулевым щелчком мыши, связанную с злоумышленником APT28, возникшую в результате неполного исправления для CVE-2026-21510. Эта уязвимость позволяет злоумышленникам заставлять системы-жертвы проходить аутентификацию на своих серверах без взаимодействия с пользователем, используя вредоносный файл LNK, который использует синтаксический анализ пространства имен оболочки Windows для выполнения произвольного кода. Ситуация подчеркивает критическую слабость механизмов аутентификации, поскольку атака может произойти в результате несанкционированной загрузки библиотеки DLL без надлежащих проверок безопасности.
-----

Исследователи Akamai выявили, что неполный патч для CVE-2026-21510, эксплойта, атрибутируемого с помощью злоумышленника APT28 (также известного как Fancy Bear), привел к появлению новой уязвимости CVE-2026-32202. Эта уязвимость с нулевым щелчком позволяет злоумышленнику заставить систему жертвы пройти аутентификацию на сервере злоумышленника без какого-либо взаимодействия с пользователем. Исправление, внедренное Microsoft, успешно устранило первоначальное Удаленное Выполнение Кода (RCE) и обход SmartScreen, связанные с CVE-2026-21510, но непреднамеренно оставило эту новую уязвимость без внимания.

CVE-2026-21510 и CVE-2026-21513 оба были использованы с использованием вредоносного файла LNK, который сыграл значительную роль в цепочке эксплуатации. Метод атаки включал настройку вредоносного файла LNK, который обходит функции безопасности, позволяя выполнять код с помощью библиотеки динамических ссылок (DLL), загруженной с удаленного сервера злоумышленника. Уязвимость использует синтаксический анализ пространства имен оболочки Windows, позволяя объектам Панели управления с компрометацией загружать библиотеку DLL без надлежащей проверки.

Структура вредоносного файла LNK включает в себя список целевых ссылок, который может быть обработан с помощью shell32.dll для отображения в проводнике Windows, аналогично компонентам Панели управления. Этот список идентификаторов содержит путь, ведущий к библиотеке DLL, размещенной на сервере злоумышленника, что приводит к выполнению кода злоумышленника. Примечательно, что этот процесс происходит без необходимых проверок с помощью Microsoft Defender SmartScreen или протоколов проверки подлинности, что увеличивает риск эксплуатации.

Недостатки в исправлении высвечивают более широкую проблему, касающуюся безопасности механизмов аутентификации пользователей, особенно в случаях, когда первоначальный запрос на ресурс не подлежит проверке на доверие. Использование CVE-2026-32202 с нулевым щелчком мыши расширяет возможности атаки, позволяя злоумышленникам незаметно красть учетные данные, просто заставляя жертву перейти к папке, содержащей вредоносный файл LNK.

Таким образом, полученные результаты подчеркивают критическую важность тщательного исправления ошибок и оценки уязвимостей. Хотя первоначальный эксплойт был устранен, появление CVE-2026-32202 служит наглядным примером того, как неполные исправления могут привести к новым угрозам безопасности. Усилия по исправлению также должны включать всестороннюю проверку, чтобы предотвратить зависимость от потенциально уязвимых систем, которые могут подвергнуть пользователей атакам с нулевым щелчком мыши.

#ParsedReport #CompletenessMedium
26-04-2026

Kyber ransomware is not just post-quantum name-dropping

https://www.derp.ca/research/kyber-ransomware-hybrid-crypto/

Report completeness: Medium

Threats:
Kyber_ransomware
Kyber
Shadow_copies_delete_technique
Vssadmin_tool
Wevtutil_tool

Victims:
Defense, Information technology services

Geo:
American

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1047, T1059.001, T1070.001, T1112, T1486, T1490

IOCs:
File: 5
Registry: 2
Path: 2
Url: 2
Domain: 2
Hash: 5

Soft:
ESXi, bcdedit, Tor Browser, hyperv

Algorithms:
aes, sha1, aes-256-ctr, md5, rsa-4096, sha256, hmac, kyber1024, xor, curve25519, aes-ctr

Win API:
NtWriteFile

Languages:
rust, powershell

Platforms:
intel, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kyber ransomware использует архитектуру на основе Rust с передовыми криптографическими методами, используя AES в режиме CTR для шифрования файлов. Он содержит полезные нагрузки, ориентированные на файловые серверы VMware ESXi и Windows, используя различные методы шифрования, такие как ChaCha8 и RSA-4096 для переноса ключей для ESXi, в то время как в версии для Windows реализованы Kyber1024 и X25519. Программа-вымогатель препятствует восстановлению, удаляя shadow copies и резервные копии системы, очищая журналы событий и используя для зашифрованных данных особое расширение файла .#\~\~\~, что представляет значительный риск для организаций.
-----

Kyber ransomware использует архитектуру на основе Rust, использующую передовые криптографические методы, в частности, использует AES в режиме CTR для шифрования файлов, одновременно интегрируя постквантовые элементы с методом инкапсуляции Kyber1024. Анализ образцов выявил две различные полезные нагрузки — одна нацелена на VMware ESXi, а другая на файловые серверы Windows — обе связаны с одним и тем же идентификатором кампании и используют инфраструктуру Tor. Версия ESXi утверждает, что использует AES, X25519 и Kyber; однако было обнаружено, что она использует ChaCha8 с переносом ключей RSA-4096. Напротив, версия для Windows реализует рекламируемый Kyber1024 наряду с X25519 для защиты ключей, используя AES-CTR для массового шифрования.

Каждый зашифрованный файл содержит уникальный трейлер 0x744, который помогает восстановить формат файла. Программа-вымогатель захватывает метаданные файла, используя криптографический подход, указанный в ее архитектуре. Анализ показывает, что процесс шифрования выполняется двоичным файлом Rust PE32+ x64. Двоичный файл взаимодействует через несколько модулей Rust, что указывает на то, что он может выполнять различные функции, связанные с шифрованием.

В процессе шифрования программа-вымогатель создает записку с требованием выкупа под названием "read_me_now.txt " и добавляет к зашифрованным файлам отличительное расширение .#\~\~\~, сигнализирующее о том, что данные подверглись компрометации. Программа-вымогатель использует несколько методов для предотвращения попыток восстановления, включая удаление shadow copies и резервное копирование состояния системы с помощью таких команд, как "vssadmin" и "wbadmin", а также очищает журналы событий, чтобы устранить следы своей активности.

С криптографической точки зрения, при шифровании используется 32-байтовый ключ, который встроен в расписание ключей AES, в то время как среда выполнения поддерживает указатель ключа и соответствующие метаданные для облегчения процессов шифрования для каждого файла. Несмотря на надежную криптографическую основу, в проанализированном образце отсутствуют пути дешифрования, что указывает на необходимость отдельного дешифратора или службы, хранящей соответствующие Закрытые ключи для восстановления.

Для обнаружения и смягчения последствий защитникам рекомендуется отслеживать конкретные расширения файлов, подписи трейлеров и связанные с ними строки Rust crypto. Сочетание эффективных криптографических методов и агрессивных мер по предотвращению восстановления указывает на то, что Kyber ransomware представляет серьезную угрозу, что требует принятия бдительных мер по Кибербезопасности для организаций, подверженных риску.

#ParsedReport #CompletenessLow
25-04-2026

Rebex-based Telegram RAT Targeting Vietnam

https://dmpdump.github.io/posts/TelegramRat/

Report completeness: Low

Threats:
Telegramrat

Geo:
Vietnam

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.013, T1036.003, T1053.005, T1059.001, T1059.003, T1059.006, T1071.001, T1105, T1127.001, have more...

IOCs:
File: 15
Path: 7
Registry: 2
Command: 2
Hash: 4

Soft:
Telegram, Winlogon, NuGet

Algorithms:
base64, zip, xor

Win API:
sendMessage

Win Services:
Webclient

Languages:
powershell, python

Links:
https://github.com/dmpdump

#ParsedReport #ExtractedSchema

Classified images:
code: 17, schema: 1, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания, базирующаяся во Вьетнаме, использует Троянскую программу удаленного доступа (RAT), которая использует .NET DLL на основе Rebex для своей инфраструктуры C2, начиная с обманчивого zip-файла, содержащего CHM-файл, скомпилированный в HTML. ВПО извлекает его содержимое для вызова переименованного интерпретатора Python, что приводит к криптографически запутанной библиотеке DLL с именем _WwWQPVGiYq.dll , который устанавливает закрепление путем изменения реестра оболочки Windows и создания запланированной задачи. Этот RAT может выполнять команды и загружать файлы через API Телеграм, что указывает на сложный подход, позволяющий оставаться незамеченным.
-----

Вредоносная кампания выходцев из Вьетнама включает в себя троянская программа (RAT) использование Rebex основе .Чистая DLL для ее командования и управления (C2), развитая инфраструктура. Инфекция начинается с zip файл, содержащий скомпилированный HTML (CHM-файл) предназначен, чтобы обмануть пользователей в полагая, что документ поврежден. При открытии CHM-файл, на ВПО работает hh.exe -D, чтобы извлечь его содержимое во временный каталог, из которого он вызывает переименован Python переводчик, чтобы запустить декомпилированы .файл pyc. Этот этап устанавливает последующего исполнения DLL файл, который криптографически обфусцирован с помощью операции XOR шифрование.

Полезная нагрузка, представленная библиотекой DLL с именем _WwWQPVGiYq.dll , отвечает за выполнение следующего этапа атаки, а также обеспечивает закрепление за счет компрометации оболочки Windows путем изменения реестра. Он устанавливает стратегии закрепления, внедряясь в реестр HKEY_CURRENT_USER под ключом оболочки Winlogon и создавая запланированную задачу для автоматического запуска каждую пятницу. Библиотека DLL оснащена рядом переменных окружения, предназначенных для облегчения скрытых операций, которые скрывают природу ее деятельности.

Конечная цель этого ВПО - работать как RAT на базе Телеграм. Он использует модифицированную версию Rebex.Common.библиотека dll, которая была изменена для вредоносных операций. RAT поддерживает базовые командные функции, такие как регистрация (“ping”), выполнение команд и загрузка файлов через API Телеграм. Эти команды подразумевают, что злоумышленник может сохранять контроль над системой компрометации, оставаясь гибким в управлении токенами, демонстрируя хорошо продуманный подход, позволяющий избежать обнаружения.

Несмотря на свою функциональность, ВПО в настоящее время не обнаружено в VirusTotal, что указывает на то, что оно все еще находится под контролем многих решений для обеспечения безопасности. Общая структура и последовательность используемых тактик, методов и процедур (TTP) свидетельствуют о целенаправленной вредоносной кампании против вьетнамских организаций, хотя связи с конкретными злоумышленниками окончательно установлены не были. Этот инцидент свидетельствует о растущем использовании законных библиотек в неблаговидных целях и подчеркивает эволюционирующую тактику, применяемую престпными группировками в регионе.

#ParsedReport #CompletenessLow
23-04-2026

Trigona Affiliates Deploy Custom Exfiltration Tool to Streamline Data Theft

https://www.security.com/threat-intelligence/trigona-exfiltration-custom

Report completeness: Low

Threats:
Trigona
Rclone_tool
Megasync_tool
Hrsword_tool
Pchunter_tool
Gmer_tool
Ydark_tool
Dumpguard_tool
Powerrun_tool
Anydesk_tool
Mimikatz_tool
Byovd_technique
Passview_tool
Vncpassview_tool
Netscan_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1219, T1543.003, T1555, T1562.001, T1587.001

IOCs:
File: 3
Hash: 42
IP: 1

Soft:
Huorong

Functions:
Symantec

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2026 года филиалы Trigona ransomware начали использовать пользовательский инструмент эксфильтрации, отойдя от обычных утилит, таких как Rclone, чтобы снизить риски обнаружения. Их стратегия включала развертывание HRSword пакета сетевой безопасности Huorong в качестве драйвера ядра для отключения мер безопасности, используя повышенные привилегии для дальнейших атак с помощью таких инструментов, как PowerRun. Кроме того, они использовали AnyDesk для удаленного доступа и использовали Mimikatz для кражи учетных данных, что свидетельствует о возросшей технической сложности и тенденции к разработке проприетарного ВПО в операциях вымогателей.
-----

В марте 2026 года филиалы Trigona ransomware заметно изменили свою тактику, внедрив специально разработанный инструмент эксфильтрации для улучшения процессов кражи данных. Как правило, группы программ-вымогателей используют широко известные утилиты, такие как Rclone или MegaSync, для эксфильтрации данных; однако использование Trigona's проприетарного ВПО подчеркивает потенциальную стратегию уклонения от обнаружения системами безопасности. Это изменение подразумевает усилия по минимизации видимости на критических этапах их кампаний, поскольку общедоступные инструменты становятся все более узнаваемыми и часто помечаются решениями для обеспечения безопасности.

Оперативные стратегии Trigona, который возник в конце 2022 года, так как в программа-вымогатель как услуга модель Raas Раас), включает в себя ряд пре-эксфильтрация мероприятий, направленных на демонтаж защитных мер. Злоумышленники систематически установлен HRSword в Huorong сетевой безопасности номере hrsword как услуга драйвер ядра наряду с несколькими другими безопасность-отключение инструменты, такие как PCHunter, Gmer, YDark, WKTools, DumpGuard, и StpProcessMonitorByovd. Эти предприятия часто используют уязвимости в драйверах ядра, чтобы подорвать защиту конечных точек, что позволяет злоумышленникам выполнять операции с повышенными привилегиями, используя такие инструменты, как PowerRun. Эксплуатируется на уровне ядра, такие ВПО может обойти традиционные пользователей-режим протоколы безопасности.

Злоумышленники также получили удаленный доступ к зараженным системам через AnyDesk и осуществили кражу учетных данных, используя сложные инструменты, такие как Mimikatz и различные приложения для восстановления паролей от Nirsoft. Такая тактика не только облегчает доступ к конфиденциальной информации, но и укрепляет позиции злоумышленников в общей среде компрометации.

Редкость пользовательского ВПО в экосистеме программ-вымогателей указывает на значительное повышение технической изощренности злоумышленников. Разработка проприетарных инструментов требует значительных инвестиций в ресурсы разработки, но при этом дает злоумышленникам стратегическое преимущество в скрытности. Хотя внедрение таких инструментов сопряжено с неотъемлемыми рисками, а именно с возможностью обнаружения, при обеспечении оперативной безопасности они предоставляют способ скрыть преступную деятельность от обычных методов обнаружения, обозначая потенциальную тенденцию в будущих операциях программ—вымогателей.

#ParsedReport #CompletenessHigh
24-04-2026

The npm Threat Landscape: Attack Surface and Mitigations

https://unit42.paloaltonetworks.com/monitoring-npm-supply-chain-attacks/

Report completeness: High

Actors/Campaigns:
Axios_compromise
Teampcp

Threats:
Shai-hulud
Credential_harvesting_technique
Dead_drop_technique
Supply_chain_technique
Typosquatting_technique

Victims:
Software development, Security tooling, Cloud services, Developer environments

Industry:
Healthcare, Software_development, Iot

Geo:
Asia, Japan, Korea, Australia, Middle east, Russian, India

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.013, T1036.005, T1041, T1059.007, T1070.004, T1082, T1102.001, T1105, T1140, have more...

IOCs:
Domain: 3
File: 9
IP: 2
Url: 3
Hash: 4
Email: 1

Soft:
Bitwarden, Docker, alpine, debian, Trivy, LiteLLM, Node.js, Linux, macOS, claude, have more...

Algorithms:
prng, gzip, base64, sha1, zip, rsa-4096, aes-256-gcm, sha256

Functions:
GetParameter, getSecretsFromVault

Languages:
javascript

Platforms:
x64, arm

Links:
https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ландшафт угроз npm значительно изменился после появления червя Shai-Hulud, который использует экосистему npm для распространения вредоносных пакетов. Известные методы атаки включают в себя червеобразное распространение, нацеленное на токены npm и GitHub, и встраивание в конвейеры CI/CD для устойчивого доступа. Известный инцидент был связан с вредоносным пакетом npm, выдававшим себя за Bitwarden CLI, выполняющим сложные многоэтапные полезные нагрузки для кражи учетных данных и бэкдорных пакетов npm, при этом применяя сложную обфускацию и используя GitHub для скрытой передачи данных.
-----

НПМ опасный ландшафт существенно изменился с появлением Shai-hulud червя в сентябре 2025, знаменует собой переход от низших воздействие ложных атак до более серьезных, систематических угроз. В Shai-hulud Хулуд пример продвинутая форма ВПО, который использует НПМ экосистемы для распространения вредоносных пакетов, указывая на резкое ускорение по частоте и изощренности компромиссы цепи поставок.

Ключевые методы атак, наблюдаемые с момента появления Shai-Hulud's, включают в себя "червеобразное распространение", когда вредоносная полезная нагрузка сосредоточена на краже токенов npm и токенов личного доступа GitHub (PATs) для распространения дальнейших атак. Примечательным примером является Axios compromise в марте 2026 года. Злоумышленники теперь внедряются глубоко в конвейеры CI/CD для долгосрочного доступа, а не просто для кражи данных. Распространенными также стали многоступенчатые полезные нагрузки, использующие бездействующие зависимости, которые активируются при определенных условиях, чтобы избежать обнаружения.

Значительная атака была связана с вредоносным пакетом npm, имитирующим законный Bitwarden CLI, идентифицированный как версия 2026.4.0 и атрибутированный с TeamPCP. После установки этот пакет выполняет многоэтапную загрузку, в первую очередь воруя учетные данные у облачных провайдеров и систем непрерывной интеграции. Затем ВПО самораспространяется, внедряясь в любой пакет npm, который может опубликовать жертва. Эта атака иллюстрирует, как злоумышленники могут использовать доверие, встроенное в реестр npm, в качестве мощного механизма распределения своей полезной нагрузки.

Широкие компромиссы цепи поставок, связанные в этой атаке включенными в отравлении нескольких каналов распределения Checkmarx, такие как Docker Hub и действия на GitHub, используя все похожие командования и управления (C2) инфраструктура и методы кодирования.

В ВПО нагрузки-особенно примечателен своими размерами и сложностью. Она включает в себя такие законных пакеты SDK в сочетании с вредоносным кодом, а используют современные запутывания приемы, такие как подстановочный шифр, чтобы скрыть важные компоненты, включая С2 доменов. Credential Harvesting носит систематический характер, адресность помощью npm и GitHub учетные данные через регулярные выражения, с эксфильтрация эксфильтрации, которые используют GitHub для скрытой передачи данных, даже если прямые С2 каналы разрушены.

Механизм самовоспроизводящегося ВПО вредоносного ПО позволяет ему манипулировать законными пакетами npm, эффективно переписывая файлы package.json для включения вредоносных перехватов. Он реализует стратегию отказоустойчивости для связи C2 с использованием общедоступного поискового API GitHub, напоминающего dead Drop для команд и данных, гарантируя, что даже при блокировке основных каналов ВПО все еще может функционировать.

В ответ на эти угрозы организациям настоятельно рекомендуется блокировать идентифицированные домены C2, менять потенциально компрометацию учетных данных, проводить тщательный аудит поддерживаемых пакетов npm и применять строгую фильтрацию исходящих данных в конвейерах CI/CD. Меняющийся ландшафт подчеркивает необходимость постоянной бдительности и адаптивных мер безопасности для противодействия все более изощренным атакам, нацеленным на supply chains программного обеспечения.

#ParsedReport #CompletenessLow
22-04-2026

CVE-2026-33626: How attackers exploited LMDeploy LLM Inference Engines in 12 hours

https://webflow.sysdig.com/blog/cve-2026-33626-how-attackers-exploited-lmdeploy-llm-inference-engines-in-12-hours

Report completeness: Low

Victims:
Lmdeploy, Artificial intelligence infrastructure, Inference servers, Model gateways, Agent orchestration tools

CVEs:
CVE-2026-33626 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- internlm lmdeploy (<0.12.3)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016.001, T1046, T1190, T1499.004, T1552.005

IOCs:
IP: 3
Domain: 1
File: 1
Url: 1

Soft:
Redis, MySQL, OpenAI, Ollama, Docker

Functions:
_is_safe_url

Links:
https://github.com/InternLM/lmdeploy
have more...
https://github.com/advisories/GHSA-6w67-hwm5-92mq