#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GachiLoader демонстрирует эволюцию киберугроз, используя возможности AI-агентов в качестве вектора атаки, чтобы обманом заставить пользователей загрузить кажущийся безобидным навык OpenClaw, который запускает выполнение Windows-бинарника, доставляющего стиллер Rhadamanthys через безфайловую инъекцию. Это ВПО использует смарт-контракт блокчейна Polygon для динамического разрешения управления и использует однофайловые приложения Node.js и приложение Electron для обеспечения доставки своей полезной нагрузки. Атака разработана для обхода обнаружения программным обеспечением безопасности, нацелена на веб-браузеры, криптокошельки и Менеджеры паролей для эксфильтрации данных.
-----

Анализированная кампания демонстрирует эволюцию тактик киберугроз, в частности, через использование навыков AI-агентов в качестве вектора атаки. В данном случае GachiLoader применяет стратегию социальной инженерии, использующую легитимно выглядящий навык OpenClaw для обмана пользователей с целью заставить их загрузить вредоносный бинарный файл. Этот навык не содержит вредоносного кода, но служит сложной уловкой, чтобы побудить пользователей выполнить бинарный файл Windows, который доставляет стиллер Rhadamanthys через безфайловую инъекцию. Этот полезный нагрузка использует смарт-контракт блокчейна Polygon в качестве резолвера для управления (C2), что отмечает заметный сдвиг в сторону использования децентрализованных технологий для злонамеренной деятельности.

Инфраструктура, поддерживающая эту кампанию, размещена на одноразовом аккаунте GitHub, специально созданном для операции GachiLoader. Этот аккаунт содержит выпуски, использующие Маскировка для имитации легитимных навыков OpenClaw, что придает ложное доверие механизму доставки полезной нагрузки. Две основные ветки обеспечивают эту атаку: однофайловые приложения Node.js (SEAs) и приложение на базе Electron, обе из которых в конечном итоге доставляют одну и ту же вредоносную полезную нагрузку.

Атака начинается с файла README, который представляет убедительную историю о боте Polymarket для прогнозирования погоды, эффективно создавая нарратив, который направляет потенциальных жертв на загрузку вредоносного файла Polymarket.exe. Node.js SEA доставляет обфусцированные бинарные файлы, предназначенные для размещения файла .node в каталоге TEMP, который затем служит загрузчиком для вредоносного ПО Rhadamanthys. Примечательно, что адрес C2 динамически запрашивается через смарт-контракт Polygon, а не захардкожен, что является уникальной особенностью работы GachiLoader.

В отличие от этого, загрузчик Electron использует приложение NullSoft Installer, которое создает иллюзию легитимного процесса установки. Этот компонент работает в директории %TEMP%, вовлекая пользователей в фиктивный мастер установки, одновременно выполняя тактики уклонения от антивирусного ПО. Он выполняет ряд проверок, таких как завершение определенных процессов и изменение настроек Windows Defender для избежания обнаружения. Полезная нагрузка также упакована с помощью Themida, сохраняя методы скрытности, характерные для ее предыдущих вариантов. ВПО в первую очередь нацелено на ряд приложений, включая веб-браузеры, криптокошельки и менеджеры паролей, что повышает его потенциал для эксфильтрации данных.

Эта кампания означает стратегический поворот в методологиях GachiLoader, эффективно превращая навыки AI-агентов в оружие для создания нового вектора первоначального доступа, который текущие меры безопасности с трудом обнаруживают должным образом. По мере роста экосистемы, окружающей AI, расширяется и потенциальный ландшафт угроз, при этом навыки теперь рассматриваются как современная эквивалент фишинговых вложений.

#ParsedReport #CompletenessHigh
29-04-2026

Handala Hack Targets U.S. Troops with Doxxing Threats in Bahrain

https://socradar.io/blog/handala-hack-us-doxxing-troop-bahrain/

Report completeness: High

Actors/Campaigns:
Handala-hacking-team (motivation: hacktivism)
Void_manticore
Irgc
Cyberav3nger

Threats:
Spear-phishing_technique
Process_hollowing_technique
Bibi-wiper
Hatef
Hamsa
Coolwipe
Chillwipe
Handala_wiper

Victims:
Military, Medical device, Law enforcement, Education, Nuclear research, Defense, Bahrain, United states, Israel, Persian gulf, have more...

Industry:
Government, Healthcare, Maritime, Military

Geo:
Iranian, Iran, Palestinian, Bahraini, Israel, Bahrain, Israeli

TTPs:
Tactics: 5
Technics: 9

IOCs:
IP: 4
Url: 1
Hash: 5

Soft:
WhatsApp, Telegram, audacity, Gmail, AutoHotKey, Linux

Algorithms:
sha256, md5

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Handala, иранская хакерская группировка, связанная с MOIS, активизировала операции против военнослужащих США, отправляя угрожающие сообщения в WhatsApp, в которых утверждалось о слежке и нацеливании с помощью ракет. Ранее известная как Void Manticore, Handala использует комбинацию собственного ВПО и социальной инженерии, полагаясь на Телеграм для управления, чтобы скрыть вредоносную деятельность. Их недавние тактики включают персонализированные атаки с использованием данных, полученных через доксинг, что указывает на стратегический сдвиг в сторону операций, направленных на влияние, а не исключительно на военные действия.
-----

Handala, новая киберхакерская группировка, связанная с Министерством разведки Ирана (MOIS), недавно усилила свои операции против военнослужащих США. Группа привлекла внимание СМИ, когда военнослужащие США в Бахрейне получили угрожающие сообщения в WhatsApp, в которых утверждалось, что они находятся под наблюдением и являются целью ракетных и беспилотных ударов. Сообщения, приписываемые Handala, были отправлены с потенциально поддельного местного номера телефона и содержали утверждения о публикации личных данных 2379 морских пехотинцев, дислоцированных в регионе.

Эта кибергруппа появилась в декабре 2023 года на фоне усиления пропалестинского хактивизма после атак ХАМАС в начале того же года. Хотя различные кибербезопасностные компании отслеживали Handala под разными псевдонимами — такими как Void Manticore и Storm-0842 — атрибуция к MOIS указывает на фокус на психологических операциях и сборе разведданных, а не на чисто военных целях. Этот отличительный фактор подчеркивает сдвиг в тактике от операций, обусловленных конфликтом, к операциям, направленным на влияние.

История кибердеятельности Handala включала значительные атаки как на цели в США, так и на израильские объекты. В частности, в марте 2026 года они взяли на себя ответственность за масштабное удаление данных в компании Stryker Corporation, являющейся подрядчиком Министерства обороны США, путем эксплуатации скомпрометированных учетных данных Microsoft Intune без использования традиционного ВПО. Они также получили несанкционированный доступ к личной учетной записи Gmail директора ФБР Каша Пателя, опубликовав электронные письма и назвав это актом возмездия за изъятие их доменов властями США.

Прежде чем переходить к прямым угрозам в отношении военнослужащих США, Handala атаковала израильскую инфраструктуру, включая захват систем оповещения в израильских детских садах и заявления о выводе данных из конфиденциальных объектов, включая Ядерный исследовательский центр Сорека. Их набор инструментов сочетает собственное ВПО и коммерчески доступные средства, эффективно применяя техники социальной инженерии во время конкретных реальных событий.

Их семейство ВПО включает такие варианты, как BiBi Wiper и Hamsa, специально разработанные для деструктивных полезной нагрузки. Для операций управления использует Telegram Bot API, что позволяет скрыть вредоносную активность в рамках обычного сетевого трафика, усложняя усилия по обнаружению.

Недавние действия группы представляют собой значительную угрозу, особенно в контексте перехода к персонализированным атакам против военнослужащих, где используется ранее собранная личная информация для создания психологического давления. Наличие целевых угроз в отношении отдельных военнослужащих свидетельствует о развитых оперативных возможностях и указывает на то, что Handala не следует недооценивать, даже если некоторые из их заявлений преувеличены или не поддаются проверке.

#ParsedReport #CompletenessLow
28-04-2026

C2 in the Ether

https://intelinsights.substack.com/p/c2-in-the-ether

Report completeness: Low

Threats:
Remus
Etherhiding_technique
Lumma_stealer
Dead_drop_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1102.001, T1497

IOCs:
Coin: 6
Url: 2
IP: 1
Domain: 1
File: 1

Soft:
Telegram, Steam, etherscan

Crypto:
ethereum

Functions:
write

Links:
https://github.com/gendigitalinc/ioc/tree/master/Remus

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вариант Remus вредоносного ПО Lumma использует сложную инфраструктуру управления (C2) с техникой, называемой EtherHiding, что позволяет ему динамически получать адреса управления с таких платформ, как GitHub и Телеграм. Был выявлен активный домен управления, связанный с этой инфраструктурой, который использует смарт-контракт DomainStorage для ротации адресов. Анализ подчеркивает сложности в изучении деталей контракта из-за отсутствия проверки исходного кода, что указывает на постоянную адаптивность стратегий управления в Remus.
-----

В статье обсуждается вариант вредоносного ПО Lumma под названием Remus, который известен своей сложной инфраструктурой управления (управление), использующей технику, известную как EtherHiding. Этот метод позволяет вредоносному ПО динамически получать свой реальный адрес управления с таких платформ, как GitHub, Телеграм или Google Docs, вместо того чтобы полагаться на жестко закодированные адреса, что повышает уклонение от обнаружения. Отчет GenDigital указывает, что Remus использует несколько разрешителей мертвых дропов, причем EtherHiding является новым подходом, заменяющим традиционные методы.

Исследование выявило живой домен C2, функционирующий под конкретным IP-адресом хостинга 185.53.179.128, который ранее был отмечен как часть инфраструктуры Remus. Проанализировав транзакции блокчейна Ethereum на etherscan.io, авторы успешно идентифицировали контракт, используемый ВПО, под названием DomainStorage. Этот контракт был создан примерно 61 день назад и претерпел несколько обновлений, что подтверждает текущую активность ротации доменов C2 и указывает на продолжающиеся кампании.

Изучая блокчейн дальше, авторы попытались выполнить pivot на контракте DomainStorage, но столкнулись с трудностями из-за отсутствия верификации исходного кода оператором на Etherscan. В результате они не смогли найти дополнительные контракты с тем же именем или значимые журналы событий, связанные с другими сообщёнными C2-доменами. Это указывает на то, что различные операторы могут по-прежнему использовать Телеграм и Steam для мёртвых точек или применять разные реализации без регистрации событий в блокчейне.

В статье утверждается, что уникальное событие DomainUpdated, связанное с контрактом DomainStorage, обеспечивает надежный механизм обнаружения. Любое изменение в конфигурации C2 требует вызова функции записи, что запускает это событие, создавая таким образом потенциальную точку отслеживания для специалистов по безопасности, позволяющую контролировать изменения адресов C2 по мере адаптации вредоносного ПО. В целом, данный анализ проливает свет на конкретный аспект сложной инфраструктуры Remus и указывает на направления будущих исследований для более глубокого понимания и разработки стратегий обнаружения.

#ParsedReport #CompletenessLow
29-04-2026

Operation Road Trap: Fake toll and parking texts are spreading worldwide

https://www.bitdefender.com/en-us/blog/labs/operation-road-trap

Report completeness: Low

Threats:
Smishing_technique

Victims:
Drivers, Mobile users, Transport services, Parking services, Government services, Financial services

Industry:
Government, Financial, Transport

Geo:
Brazil, New zealand, Colombia, California, French, Brazilian, Spain, Ireland, Australia, India, Canada, Portuguese, Columbia, Ontario, France, Luxembourg, United kingdom, Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1082, T1102.002, T1102.003, T1111, T1204.002, T1412, T1476, T1566.002, have more...

IOCs:
File: 1
Hash: 10

Soft:
Android, Telegram

Algorithms:
md5

Functions:
Download

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Road Trap — это кампания смишинга, направленная на водителей в двенадцати странах, где мошенники имитируют транспортные власти и операторов платных дорог, чтобы извлекать личные и финансовые данные с помощью мошеннических и срочных сообщений. Кампания отправила более 79 000 сообщений и сгенерировала более 31 900 уникальных фишинговых URL, используя такие техники, как быстрая генерация доменов и подделка sender-ID. Примечательно, что она перешла к доставке ВПО в некоторых регионах, стремясь к краже учетных данных банков и используя двойную инфраструктуру для эксфильтрации данных в реальном времени и функций управления.
-----

Недавняя кампания смишинга, получившая название Operation Road Trap, нацелена на водителей в двенадцати странах, используя мошеннические сообщения, призванные оказать давление на жертв с целью получения личных данных или финансовой информации. Мошенники выдают себя за транспортные органы, операторов платных дорог и парковочные службы, часто утверждая, что у получателя есть неоплаченные штрафы или билеты. Сообщения создают ощущение срочности, угрожая усугублением последствий, таких как сбор дополнительных сборов или юридические действия, и содержат ссылки на веб-сайты, имитирующие легитимные платежные порталы.

В результате кампании было распространено более 79 000 мошеннических сообщений и выявлено более 31 900 уникальных URL-адресов, перенаправляющих жертв на фишинговые сайты. Эта инфраструктура использует быструю генерацию доменов и подделку идентификаторов отправителей для уклонения от обнаружения, что демонстрирует повышенную сложность методов нацеливания. Пользователи в Соединенных Штатах особенно затронуты: выявлено около 25 000 фишинговых URL-адресов, в основном нацеленных на такие штаты, как Калифорния и Техас, с использованием поддельных имен отправителей и легитимно выглядящих коротких кодов.

Отмечены различные региональные адаптации мошеннической схемы. Например, в Канаде обман перерос в кражу учетных данных банков, особенно на втором этапе атаки, связанном с Interac e-Transfer в таких провинциях, как Британская Колумбия и Альберта. В других регионах, таких как Индия, атака включает прямую доставку ВПО, замаскированного под уведомления о штрафах за нарушение правил дорожного движения, что еще больше усложняет текущую картину угроз. Наблюдаемое ВПО нацелено на устройства пользователей для извлечения финансовых и персональных данных, сохраняя при этом постоянный доступ с использованием Android-троянов.

Вредоносные полезная нагрузка может инициировать сбор SMS, перехватывать банковские оповещения и осуществлять контроль над коммуникациями, связанными с зараженным устройством. Эти возможности управляются через два канала инфраструктуры, включая Телеграм для реальной эксфильтрации данных и Firebase для функций управления, создавая гибридную атаку, которая сочетает фишинг, перехват SMS и манипуляцию звонками.

Рост кампании идет параллельно с значительным всплеском текстовых мошеннических схем, при этом, по сообщениям, потребители потеряли 470 миллионов долларов в 2024 году из-за такого рода мошенничества, что подчеркивает критическую необходимость в эффективных решениях для мобильной безопасности. Непрерывный мониторинг и механизмы раннего обнаружения, такие как функции, встроенные в продукты безопасности Bitdefender, имеют решающее значение для борьбы с этими эволюционирующими угрозами.

#ParsedReport #CompletenessMedium
29-04-2026

Darktrace Malware Analysis: Jenkins Honeypot Reveals Emerging Botnet Targeting Online Games

https://www.darktrace.com/blog/darktrace-malware-analysis-jenkins-honeypot-reveals-emerging-botnet-targeting-online-games

Report completeness: Medium

Victims:
Video game servers, Jenkins

Industry:
Entertainment

Geo:
Vietnamese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059, T1059.001, T1059.004, T1070.004, T1082, T1105, T1498.001, T1553.005, T1562.004, have more...

IOCs:
Url: 2
File: 2
IP: 1
Hash: 1

Soft:
Jenkins, Linux

Functions:
such, connect, send

Languages:
java, groovy

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ Jenkins-ловушки Darktrace выявил ботнет DDoS, нацеленный на серверы онлайн-игр, эксплуатирующий уязвимости Удаленного Выполнения Кода через конечную точку Jenkins `scriptText`. После получения доступа ботнет выполнял адаптированные полезн
-----

Анализ Jenkins-песочницы Darktrace выявил формирующийся ботнет DDoS, нацеленный конкретно на серверы онлайн-игр. Песочница, намеренно настроенная со слабой защитой, позволила злоумышленникам получить Удаленное Выполнение Кода. Атакующие использовали эндпоинт `scriptText` системы сборки Jenkins, который принимает Groovy-скрипты для автоматизации выполнения задач. Они отправили вредоносный скрипт через form-data, что позволило им выполнить свой код и скомпрометировать систему.

Получив доступ, ботнет загрузил полезную нагрузку с указанного IP-адреса (103.177.110.202) и выполнил её как на системах Windows, так и на Linux, используя методы, адаптированные для каждой платформы. В Windows он загрузил файл, переименовал его и изменил правила брандмауэра для обеспечения связи с управлением (C2) через TCP-порт 5444. Для Linux Bash-однастрочник выполнил другую полезную нагрузку после её загрузки во временное расположение. IP-адрес, используемый и связанный с вьетнамской хостинг-компанией, известен как часть различных злонамеренных активностей, что указывает на комплексную стратегию атаки, сочетающую функции распространения и управления.

Операционная скрытность ВПО включала установку переменных окружения для обхода завершения работы скриптов Jenkins, переименование себя для имитации легитимных процессов и подавление ведения журналов. Оно обеспечивало закрепление и взаимодействовало с сервером C2, где получало и выполняло команды для управления ботом или координации атак. Его командные опции включали функции отправки случайных UDP-пакетов или даже специализированных команд, нацеленных на конкретные игровые серверы, что подчеркивало его способность истощать ресурсы сервера.

Стратегии DDoS, применяемые этим ботнетом, такие как засорение серверов определенными типами запросов — например, TSource Engine Query для серверов Valve — также указывают на продуманный подход к максимизации сбоев при минимальных затратах ресурсов. В ходе данного анализа становится очевидным, что создание ботнета является прямой реакцией на уязвимости систем, доступных через интернет, с особым акцентом на игровую индустрию, которая, согласно сообщениям, подвергается высокому уровню целевых атак. Таким образом, операторам серверов настоятельно рекомендуется укреплять свои меры безопасности против таких оппортунистических атак.

#ParsedReport #CompletenessLow
29-04-2026

0APT vs. KryBit Ransomware Actors List Opposing Operators as Victims

https://www.halcyon.ai/ransomware-research-reports/0apt-vs-krybit-ransomware-actors-list-opposing-operators-as-victims#indicators-of-compromise

Report completeness: Low

Actors/Campaigns:
Krybit (motivation: financially_motivated, cyber_criminal, information_theft)

Threats:
0apt_syndicate
Everest_ransomware
Ransomhouse

Victims:
Ransomware operators, Corporations, Industry, Education, Manufacturing, Healthcare

Industry:
Education, Healthcare, Telco

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1213, T1486, T1491.002, T1587.001

IOCs:
Coin: 5

Soft:
Linux, ESXI, Android

Crypto:
bitcoin

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года группы Ransomware-as-a-Service 0APT и KryBit оказались втянуты в конфликт, раскрыв операционные детали друг друга. 0APT, испытывавшая проблемы с доверием и обвинявшаяся в фальсификации заявлений жертв, столкнулась со значительными сбоями, когда KryBit утекла её данные после захвата её сайта утечек. Тем временем KryBit, появившаяся позже, но продемонстрировавшая операционную надёжность с реальными отчётами жертв, раскрыла важную информацию о своей структуре и неопытности в выплатах выкупа, подчеркнув сложную экосистему RaaS, на которую влияют брокеры первоначального доступа.
-----

В апреле 2026 года между двумя группами Ransomware-as-a-Service (RaaS) — 0APT и KryBit — вспыхнул конфликт, когда они начали публиковать операционные данные друг друга на своих сайтах утечек. Такое поведение нетипично для операторов программ-вымогателей: 0APT, которая изначально испытывала трудности с программой для аффилиатов, пыталась дискредитировать KryBit и другие группы, такие как Everest и RansomHouse. Хотя 0APT утверждала, что обладает данными этих групп, реальное воздействие на Everest и RansomHouse оказалось минимальным. KryBit ответила эффективно, захватив сайт утечек данных 0APT и опубликовав информацию об их инфраструктуре, что вызвало значительные сбои в операциях 0APT.

0APT появилась в январе 2026 года, но быстро попала в немилость из-за своих сфабрикованных заявлений о жертвах. Несмотря на то, что в списке числилось более 190 жертв, эти записи вскоре были признаны неподтвержденными, что привело к четырехмесячному периоду бездействия. Сообщается, что программа-вымогатель включала функциональные шифровальщики для Windows и Linux, но не имела реального операционного успеха, что ограничивало ее угрожающий потенциал.

В отличие от этого, KryBit, появившийся в конце марта 2026 года, продемонстрировал операционную надежность, опубликовав около 10 реальных жертв в течение первых двух недель и предложив инструменты для нескольких операционных систем, включая Windows, Linux, ESXI и устройства NAS. KryBit принял модель распределения доходов, позволяющую аффилированным лицам удерживать 80% выкупа. Несмотря на наличие примерно 20 жертв и требований в размере от 40 000 до 100 000 долларов, по состоянию на последние утечки KryBit не получил никаких выплат выкупа.

Утечки из KryBit включали комплексные данные об их операционной структуре, с доказательствами наличия нескольких администраторов и аффилированных лиц, готовых содействовать атакам. Похищенная информация раскрыла их практики использования кошельков Bitcoin, показав, что транзакции не производились, что дополнительно подчеркивает неопытность группы. Конфликт обострился, когда KryBit получил доступ к операционным данным 0APT и похитил их, что подтвердило, что предыдущие заявления 0APT о жертвах были полностью сфабрикованы.

Кроме того, статья предоставила информацию о более широкой экономике Программы-вымогатель как услуга, описывая роли Брокеров первоначального доступа (IAB), которые обеспечивают доступ к целям, поставщиков платформ RaaS, предлагающих инструменты для атак, и аффилированных лиц, которые осуществляют кампании с использованием программ-вымогателей. Эта сложная экосистема отражает аспекты традиционных программных услуг, указывая на растущую сложность методов, используемых киберпреступниками, которые все больше напоминают тактики, спонсируемые государствами.

#ParsedReport #CompletenessMedium
29-04-2026

Mini Shai-Hulud Targets SAP npm Packages With a Bun-Based Secret Stealer

https://www.aikido.dev/blog/mini-shai-hulud-has-appeared

Report completeness: Medium

Threats:
Shai-hulud
Supply_chain_technique
Dead_drop_technique

Victims:
Sap developer ecosystem, Sap cap database ecosystem, Sap cloud mta build workflows

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1057, T1059.007, T1102.001, T1105, T1195.001, T1528, T1552, T1552.001, have more...

IOCs:
Email: 2
File: 6
Hash: 3
Url: 3

Soft:
Kubernetes, Claude

Wallets:
electrum

Algorithms:
aes, aes-256-gcm, zip

Languages:
javascript, python

Platforms:
intel

Links:
https://github.com/AikidoSec/safe-chain

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компрометация цепочки поставок затронула экосистему разработчиков SAP через подделанные пакеты npm, содержащие хук preinstall, выполняющий зашифрованный полезный груз execution.js, который действует как стиллер учетных данных. Это ВПО собирает конфиденциальные данные, такие как учетные данные разработчиков и облачные секреты, в процессе установки npm, пересылая данные в публичные репозитории GitHub. Оно использует техники уклонения, включая перемешивание строк и обнаружение сред CI, а также ищет процессы GitHub Actions для сбора токенов, представляя значительные риски для конвейеров CI/CD.
-----

Произошла компрометация цепочки поставок, направленная на экосистему разработчиков SAP через манипулированные пакеты npm. Атака использует новый хук preinstall в доверенном пакете, что приводит к выполнению файла setup.mjs, который загружает и использует среду выполнения JavaScript Bun. Основная часть угрозы заключается в зашифрованном полезном грузе execution.js размером около 11,7 МБ, функционирующем как стиллер учетных данных и фреймворк для распространения атаки.

Вредоносный код автоматически запускается в процессе установки npm, собирая различные конфиденциальные данные из локальных систем и облачных сред. Он целенаправленно атакует учетные данные локальных разработчиков, токены GitHub и npm, а также секреты от облачных провайдеров, таких как AWS, Azure и Google Cloud Platform (GCP). Похищенные данные шифруются и отправляются в публичные репозитории GitHub, где для указания злонамеренных намерений используется жестко закодированное описание.

Механика работы полезной нагрузки включает сложные техники уклонения. Она использует собственный слой перемешивания строк и проверяет наличие сред непрерывной интеграции (CI), прерывая свою работу при обнаружении русской локали. На системах, не являющихся CI-средами, она демонируется для обеспечения устойчивости после установки.

Одной из тревожных особенностей этого ВПО является его способность искать процессы, связанные с GitHub Actions, в частности процесс Runner.Worker. Оно обращается к памяти для извлечения замаскированных секретов, что представляет собой значительный риск в конвейерах CI/CD. Кроме того, ВПО использует сообщения коммитов, содержащие определенную строку, в качестве приманки для сбора токенов при обнаружении таких сообщений в коммитах GitHub.

ВПО особенно вредоносно для экосистемы SAP, поскольку напрямую нацелено на важные пакеты, используемые в рабочих процессах разработки SAP. Это включает инструменты, связанные с моделью SAP Cloud Application Programming (CAP), такие как @cap-js/sqlite и @cap-js/postgres.

С точки зрения обнаружения и устранения последствий мониторинг входящих коммитов, связанных с заранее определённой вредоносной строкой, может помочь в выявлении затронутых репозиториев. Если на системах будут обнаружены какие-либо скомпрометированные пакеты, необходимо немедленно выполнить ротацию всех связанных ключей и токенов — включая те, что выходят за рамки только npm, — поскольку ВПО в широком смысле нацелено на различные облачные и CI-секреты, локальные инструменты разработчика и внешние интеграции.

Для усиления защиты от подобных атак на цепочку поставок организациям рекомендуется внедрять тщательный мониторинг, повторное сканирование на предмет потенциальных нарушений и использование дополнительных мер безопасности, таких как автоматическая проверка пакетов в процессе установки.

#ParsedReport #CompletenessMedium
29-04-2026

Atlas Lion: Tactics, History & Defenses

https://www.invictus-ir.com/news/atlas-lion-tactics-history-defenses

Report completeness: Medium

Actors/Campaigns:
Atlas_lion (motivation: financially_motivated)

Threats:
Aitm_technique
Smishing_technique
Typosquatting_technique
Gophish_tool

Victims:
Retail, Gift card organizations, Enterprise cloud environments

Industry:
Entertainment, Retail

Geo:
Morocco, America

TTPs:
Tactics: 7
Technics: 16

IOCs:
Email: 1

Soft:
ServiceNow, cPanel, WordPress, Salesforce, Telegram, Microsoft Entra

Links:
https://github.com/invictus-ir/IOCs