#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компрометация цепочки поставок затронула экосистему разработчиков SAP через подделанные пакеты npm, содержащие хук preinstall, выполняющий зашифрованный полезный груз execution.js, который действует как стиллер учетных данных. Это ВПО собирает конфиденциальные данные, такие как учетные данные разработчиков и облачные секреты, в процессе установки npm, пересылая данные в публичные репозитории GitHub. Оно использует техники уклонения, включая перемешивание строк и обнаружение сред CI, а также ищет процессы GitHub Actions для сбора токенов, представляя значительные риски для конвейеров CI/CD.
-----

Произошла компрометация цепочки поставок, направленная на экосистему разработчиков SAP через манипулированные пакеты npm. Атака использует новый хук preinstall в доверенном пакете, что приводит к выполнению файла setup.mjs, который загружает и использует среду выполнения JavaScript Bun. Основная часть угрозы заключается в зашифрованном полезном грузе execution.js размером около 11,7 МБ, функционирующем как стиллер учетных данных и фреймворк для распространения атаки.

Вредоносный код автоматически запускается в процессе установки npm, собирая различные конфиденциальные данные из локальных систем и облачных сред. Он целенаправленно атакует учетные данные локальных разработчиков, токены GitHub и npm, а также секреты от облачных провайдеров, таких как AWS, Azure и Google Cloud Platform (GCP). Похищенные данные шифруются и отправляются в публичные репозитории GitHub, где для указания злонамеренных намерений используется жестко закодированное описание.

Механика работы полезной нагрузки включает сложные техники уклонения. Она использует собственный слой перемешивания строк и проверяет наличие сред непрерывной интеграции (CI), прерывая свою работу при обнаружении русской локали. На системах, не являющихся CI-средами, она демонируется для обеспечения устойчивости после установки.

Одной из тревожных особенностей этого ВПО является его способность искать процессы, связанные с GitHub Actions, в частности процесс Runner.Worker. Оно обращается к памяти для извлечения замаскированных секретов, что представляет собой значительный риск в конвейерах CI/CD. Кроме того, ВПО использует сообщения коммитов, содержащие определенную строку, в качестве приманки для сбора токенов при обнаружении таких сообщений в коммитах GitHub.

ВПО особенно вредоносно для экосистемы SAP, поскольку напрямую нацелено на важные пакеты, используемые в рабочих процессах разработки SAP. Это включает инструменты, связанные с моделью SAP Cloud Application Programming (CAP), такие как @cap-js/sqlite и @cap-js/postgres.

С точки зрения обнаружения и устранения последствий мониторинг входящих коммитов, связанных с заранее определённой вредоносной строкой, может помочь в выявлении затронутых репозиториев. Если на системах будут обнаружены какие-либо скомпрометированные пакеты, необходимо немедленно выполнить ротацию всех связанных ключей и токенов — включая те, что выходят за рамки только npm, — поскольку ВПО в широком смысле нацелено на различные облачные и CI-секреты, локальные инструменты разработчика и внешние интеграции.

Для усиления защиты от подобных атак на цепочку поставок организациям рекомендуется внедрять тщательный мониторинг, повторное сканирование на предмет потенциальных нарушений и использование дополнительных мер безопасности, таких как автоматическая проверка пакетов в процессе установки.

#ParsedReport #CompletenessMedium
29-04-2026

Atlas Lion: Tactics, History & Defenses

https://www.invictus-ir.com/news/atlas-lion-tactics-history-defenses

Report completeness: Medium

Actors/Campaigns:
Atlas_lion (motivation: financially_motivated)

Threats:
Aitm_technique
Smishing_technique
Typosquatting_technique
Gophish_tool

Victims:
Retail, Gift card organizations, Enterprise cloud environments

Industry:
Entertainment, Retail

Geo:
Morocco, America

TTPs:
Tactics: 7
Technics: 16

IOCs:
Email: 1

Soft:
ServiceNow, cPanel, WordPress, Salesforce, Telegram, Microsoft Entra

Links:
https://github.com/invictus-ir/IOCs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Atlas Lion, хакерская группировка, действующая с финансовой мотивацией и активная с 2024 года, нацелена на корпоративные облачные системы, такие как Microsoft Azure и M365, применяя тактики, такие как фишинг AiTM и регистрация недобросовестных устройств, для кражи учетных данных и получения несанкционированного доступа, особенно в контексте выпуска подарочных карт. Первоначальный доступ часто осуществляется через целевые кампании смшинга или фишинга, которые приводят к захвату учетных данных, что позволяет злоумышленнику аутентифицироваться в реальном времени и регистрировать свои устройства как доверенные активы. Оказавшись внутри, они проводят разведку систем подарочных карт для выпуска поддельных подарочных карт стоимостью до 100 000 долларов США в день, которые затем продаются в даркнете.
-----

Atlas Lion — это хакерская группировка, действующая из корыстных побуждений, которая активна с 2024 года и в основном нацелена на корпоративные облачные системы, особенно Microsoft Azure и M365. Этот злоумышленник использует различные тактики, включая фишинг Adversary-in-the-Middle (AiTM), регистрацию недобросовестных устройств, изучение облачной инфраструктуры и эксплуатацию процессов и процедур. Их методы сосредоточены на краже учетных данных, использовании украденных идентичностей для проникновения в системы и получения несанкционированного доступа к бизнес-процессам, в частности связанным с выпуском подарочных карт.

Первоначальный доступ часто осуществляется с помощью целевых кампаний смшинга или фишинга, когда жертвы получают сообщения, имитирующие внутренние коммуникации ИТ-отдела или службы поддержки. Эти сообщения направляют пользователей на убедительные фишинговые сайты, которые захватывают их учетные данные и токены сессии, позволяя Atlas Lion аутентифицироваться в реальном времени. Эксплуатируя скомпрометированные учетные записи, они могут регистрировать свои собственные устройства как доверенные активы, что позволяет им настраивать виртуальные машины, обеспечивающие закрепление и способствующие продолжению деятельности. Этот подход помогает избегать обнаружения, поскольку их операции маскируются под легитимные действия пользователей в корпоративной среде.

После проникновения внутрь Atlas Lion проводит обширную разведку, сосредоточенную на внутренних процессах компании, в частности на её системах подарочных карт. Они собирают информацию из внутренней документации, сайтов SharePoint и взаимодействий с сотрудниками, чтобы понять рабочие процессы с подарочными картами и связанные с ними меры контроля мошенничества. Затем злоумышленник выполняет свою основную цель: выпускает поддельные подарочные карты на сумму до 100 000 долларов в день, которые впоследствии продаются в даркнете или обналичиваются с использованием денежных мулов.

Техники группы указывают на более сложный подход к киберкриминалу, при котором злоумышленники действуют как легитимные пользователи и злоупотребляют облачными учетными записями, чтобы избежать традиционных методов обнаружения. Эта эволюция тактик подчеркивает важность для организаций, особенно в розничной торговле и секторе подарочных карт, усиления своих позиций в области безопасности. Организациям рекомендуется внедрять многофакторную аутентификацию, устойчивую к фишингу, политики условного доступа, а также проводить регулярный аудит зарегистрированных устройств и виртуальных машин для выявления аномалий, указывающих на возможное нарушение безопасности.

Для эффективного противодействия Atlas Lion меры безопасности должны делать акцент на целостности идентификации и устройств, быстрой криминалистический анализ для обнаружения угроз и агрегации журналов для долгосрочного хранения событий доступа. Поддерживая бдительность против этих тактик и реализуя надежные стратегии реагирования на инциденты, организации могут защитить свои облачные среды от этой новой угрозы.

#ParsedReport #CompletenessHigh
29-04-2026

From Pirated Software to Full Access to FIFA: Tracing the 2026 World Cup Infostealer Pipeline

https://flare.io/learn/resources/blog/2026-world-cup-infostealer-pipeline

Report completeness: High

Threats:
Vidar_stealer
Lumma_stealer
Stealc
Redline_stealer
Dll_sideloading_technique
Hijackloader
Rugmi
Dllsearchorder_hijacking_technique
Clickfix_technique
Supply_chain_technique
Steganography_technique

Victims:
Fifa, Sports organizations, Ticketing platforms, Partners, Vendors

Industry:
Logistic, E-commerce

Geo:
Canada, Mexico

TTPs:
Tactics: 5
Technics: 12

IOCs:
Url: 4
File: 3
Hash: 2

Soft:
Steam, Telegram, WhatsApp, Discord, Dropbox

Algorithms:
md5, zip

Functions:
GetProcAddress-by-hash

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, code: 1, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье отмечается всплеск активности стиллеров, нацеленных на пользователей, ищущих пиратское программное обеспечение перед Чемпионатом мира по футболу 2026 года, при этом исследователи задокументировали 130 000 логов стиллеров, раскрывающих более 2500 скомпрометированных учетных данных, связанных с доменами FIFA. Цепочка заражения часто включает поиск пользователями бесплатного программного обеспечения, что приводит к загрузке вредоносных файлов, замаскированных под легитимные приложения, таких как Lumma Stealer с использованием подгрузки DLL. Кража учетных данных представляет значительные риски, позволяя злоумышленникам получать доступ к учетным записям пользователей и потенциально компрометировать внутренние системы организаций, связанных с FIFA.
-----

В статье рассматривается меняющийся ландшафт угроз, связанных с Чемпионатом мира по футболу 2026 года, с особым акцентом на рост ВПО-стиллеров, нацеленных на пользователей, ищущих пиратское программное обеспечение. Исследователи выявили ошеломляющие 130 000 журналов стиллеров, раскрывающих более 2500 скомпрометированных учетных данных из доменов, связанных с ФИФА. Этот приток обусловлен оппортунистической природой атак стиллеров, которые без разбора захватывают учетные данные, что делает их уязвимыми для эксплуатации по мере приближения глобального события.

Цепочка заражения часто начинается с того, что пользователи ищут бесплатное программное обеспечение, что приводит их через множество временных доменов-перенаправлений к загрузке вредоносный файл, замаскированных под легальное программное обеспечение. В одном из описанных критических случаев поиск бесплатного PDF-редактора привел к установке Lumma Stealer через захваченный бинарный файл Steam. Эта операция использовала подгрузку DLL, при которой безвредный файл сочетается с ВПО, позволяя злоумышленникам извлекать конфиденциальную информацию, включая учетные данные, сохраненные в браузере, сеансовые файлы cookie и другие персональные данные.

Злоумышленники могут использовать скомпрометированные учетные данные FIFA для различных злонамеренных действий, включая прямой доступ к учетным записям пользователей, что позволяет осуществлять кражу или мошенническую перепродажу билетов. Кроме того, если учетные данные связаны с сотрудниками или партнерами организации, злоумышленники могут получить доступ к внутренним системам, платформам CRM и инфраструктуре продажи билетов. Такой доступ может способствовать более масштабным атакам, таким как манипулирование логистикой мероприятий и организация фишинговых кампаний против болельщиков, что в конечном итоге повышает риски, связанные с таким крупным глобальным событием.

Анализ Flare подчеркивает отсутствие целевых кампаний против ФИФА, акцентируя внимание на том, что раскрытие учетных данных в значительной степени является побочным эффектом массовых заражений, а не сфокусированной атаки. Кроме того, методологии, используемые стиллерами — такие как доставка ВПО через пиратское программное обеспечение, вредоносную рекламу и техники социальной инженерии — демонстрируют адаптивный характер киберугроз в современном ландшафте.

В заключение, хотя учетные данные, собранные в результате этих заражений, могут казаться побочным ущербом, они представляют значительные риски для физических лиц и организаций, связанных с Чемпионатом мира по футболу. По мере того как угрозы становятся более сложными и повсеместными, проактивные меры, включая мониторинг и устранение скомпрометированных учетных данных, становятся необходимыми средствами защиты от потенциальной эксплуатации этих уязвимостей.

#ParsedReport #CompletenessMedium
29-04-2026

Phoenix Rising: Exposing the PhaaS Kit Behind Global Mass Phishing Campaigns

https://www.group-ib.com/blog/phoenix-phaas-kit-smishing/

Report completeness: Medium

Actors/Campaigns:
Reward_points

Threats:
Phoenix_system_tool
Smishing_technique
Mouse_system_tool
Credential_harvesting_technique

Victims:
Financial services, Telecommunications, Logistics, Shipping

Industry:
Telco, Transport, Financial, Logistic

Geo:
Africa, Asia, Latam, Apac, Chinese

TTPs:

ChatGPT TTPs:
do not use without manual check
T1111, T1480, T1566.002, T1583.001, T1587.002, T1588.002, T1656

IOCs:
IP: 24

Soft:
Telegram, Android

Algorithms:
exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
«Phoenix System» — это продвинутая платформа Phishing-as-a-Service, обеспечивающая проведение глобальных кампаний смишинга, особенно в секторах финансовых услуг, логистики и телекоммуникаций. Она предоставляет инструменты для мониторинга жертв в реальном времени, геофенсинга и вмешательства для обхода многофакторной аутентификации. Оперативные тактики включают смишинг-имперсонацию доверенных организаций и потенциальное использование поддельных базовых станций для повышения эффективности доставки и уклонения от обнаружения, нацеливаясь на жертв сообщениями, основанными на срочности, которые извлекают конфиденциальную информацию.
-----

В отчете исследовательской группы Group-IB раскрывается существование «Phoenix System» — продвинутой платформы Phishing-as-a-Service (PhaaS), используемой в глобальных смишинговых кампаниях в таких регионах, как Азиатско-Тихоокеанский регион (APAC), Латинская Америка и Карибский бассейн (LATAM), Европа и Ближний Восток и Африка (MEA). Эта платформа облегчает деятельность киберпреступников, предлагая интегрированные инструменты для мониторинга жертв в реальном времени, геофенсинга и живого вмешательства для обхода многофакторной аутентификации. С января 2025 года наблюдается заметный рост смишинговых кампаний, особенно направленных на такие сектора, как финансовые услуги, логистика и телекоммуникации, при этом выявлено более 2500 фишинговых доменов и затронуто более 70 организаций.

Кампании смишинга характеризуются несанкционированной имперсонацией доверенных организаций, используя такие темы, как «фишинг с предложением бонусных баллов» и «фишинг с уведомлением о недоставке посылки». Обе кампании используют общую инфраструктуру, что указывает на операционное пересечение, а также применяют такие стратегии, как доставка через SMS и потенциальное использование поддельных базовых станций сотовой связи (BTS) для улучшения доставки сообщений и обхода фильтрации операторов. Рассылая более сильные сигналы, чем легитимные вышки, злоумышленники могут отправлять SMS-сообщения, которые выглядят так, будто они исходят от доверенных организаций, напрямую жертвам. Эта техника позволяет им обходить традиционные системы фильтрации, усложняя усилия по обнаружению как для пользователей, так и для телекоммуникационных операторов.

Жертвы принуждаются к предоставлению конфиденциальной информации с использованием различных тактик. В сценарии фишинга Reward Points сообщения создают ощущение срочности, утверждая о скором истечении срока действия баллов, и побуждают пользователей действовать быстро. В альтернативном сценарии сообщения о неудачной доставке посылки побуждают пользователей оперативно обновить личные данные под ложными предлогами. В обоих случаях фишинговые страницы используют фильтрацию на основе IP-адресов для ограничения доступа пользователям из конкретных стран, повышая эффективность за счет локализованного таргетинга. Административная часть этих кампаний, Phoenix System, позволяет операторам эффективно управлять и развертывать свои фишинговые наборы, используя такие функции, как геозонирование, мониторинг учетных данных и меры противодействия анализу, чтобы максимизировать извлечение данных.

Эта платформа работает по подписной модели, предлагая киберпреступникам комплексные услуги, включая поддержку при подключении через каналы Телеграм и детальную операционную помощь. Group-IB отмечает, что Phoenix System является преемником Mouse System, демонстрируя преемственность в дизайне и функциональности, направленной на упрощение фишинговых атак в различных географических регионах. С развитием тактик в отчете подчеркивается насущная необходимость в стратегиях, таких как защита цифровых рисков и повышение осведомленности пользователей, для борьбы с растущей сложностью смишинговых и фишинговых угроз в целом.

#ParsedReport #CompletenessHigh
29-04-2026

Exposing VENOM: C-Suite Credential Theft Campaign Weaponizes Live Microsoft Authentication to Establish Persistent Access

https://files.abnormalsecurity.com/production/files/Exposing-VENOM.pdf

Report completeness: High

Actors/Campaigns:
Venom
Harvester

Threats:
Credential_harvesting_technique
Aitm_technique
Nmap_tool
Nikto_tool
Sqlmap_tool
Metasploit_tool
Nuclei_tool
Dirbuster_tool
Mitm_technique

Victims:
C suite executives, Senior executives, Manufacturing, Financial services, Multiple industries

Industry:
Retail, Healthcare, E-commerce, Transport, Entertainment

Geo:
Romania, London

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1111, T1497.001, T1497.002, T1528, T1557, T1583.001, T1584.004, have more...

IOCs:
File: 16
Domain: 16
Url: 2
IP: 3

Soft:
Dropbox, Microsoft Outlook, Android, Microsoft Office, Outlook, macOS, Microsoft Defender, cPanel, WordPress, selenium, have more...

Algorithms:
hmac, base64, sha256

Functions:
toLowerCase, detectAutomation, antiDebug, consoleDetection, blockRightClick, blockKeyboardShortcuts, honeypotCheck, setupMouseTracking, setupKeyboardTracking, setupTouchTracking, have more...

Languages:
php, javascript, python

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по краже учетных данных, нацеленная на руководителей высшего звена, использует обманные электронные письма, имитирующие уведомления SharePoint, чтобы побудить жертв отсканировать QR-коды, обходя корпоративные средства защиты за счет нацеливания на личные устройства. Кампания применяет передовые стратегии уклонения, используя фишинговую инфраструктуру, которая захватывает аутентификационные токены в двух режимах работы: adversary-in-the-middle (AiTM) для захвата учетных данных в реальном времени и Device Code для получения токенов из инфраструктуры Microsoft, что существенно подрывает эффективность MFA. Она использует платформу фишинг как услуга VENOM для повышения скрытности и координации в атаках, что указывает на широкий потенциал таких тактик среди злоумышленников.
-----

Кампания по краже учётных данных нацелена на руководителей высшего звена с ноября 2025 года по март 2026 года.

Фишинговые письма имитируют уведомления SharePoint и заманивали получателей отсканировать QR-код.

Кампания использует динамические адреса отправителей и символы блоков Юникода в QR-кодах для уклонения от обнаружения.

Инфраструктура фишинга имеет два режима: перехват потоков аутентификации Microsoft и захват OAuth-токенов.

Платформа фишинга как услуга VENOM координирует атаку, предлагая управление токенами и структурированный интерфейс кампании.

Фишинговые письма манипулируют HTML, чтобы выглядеть подлинно, внедряя поддельные потоки и используя различные приманки.

QR-коды направляют пользователей на личные устройства, обходя корпоративные меры безопасности.

Страницы загрузки используют многослойную верификацию для фильтрации средств безопасности и автоматизированных сканеров, включая проверку User-Agent и проверку IP-адресов.

Операции с учетными данными выполняются в двух режимах: перехват учетных данных и MFA в реальном времени в режиме «злоумышленник посередине» (AiTM), а также режим Device Code для завершения процесса получения токена безопасности.

Компрометация учетных данных руководителей высшего звена позволяет осуществлять масштабные атаки на нижестоящие системы, включая компрометацию бизнес-электронной почты.

Кампания подрывает эффективность многофакторной аутентификации (MFA), позволяя осуществлять несанкционированный доступ при сохранении исходных мер безопасности.

Организациям настоятельно рекомендуется усилить защиту электронной почты и внедрить поведенческую аналитику для выявления таких инновационных методов фишинга.

Обнаружение платформы VENOM указывает на то, что эти тактики могут распространяться среди различных злоумышленников, что требует пересмотра стратегий реагирования на инциденты и снижения рисков.

#ParsedReport #CompletenessLow
29-04-2026

From a coffee-in-bed Google search to a StealC-linked campaign — the story behind nailproxy.space

https://blog.technopathy.club/from-a-coffee-in-bed-google-search-to-a-stealc-linked-campaign-the-story-behind-nailproxy-space

Report completeness: Low

Threats:
Stealc
Rhadamanthys

Victims:
Software development, Cryptocurrency, Finance

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1059.006, T1070.004, T1071.001, T1105, T1140, T1218.011, T1528, have more...

IOCs:
IP: 2
File: 4
Path: 1
Hash: 8

Soft:
UNICORN, Chrome, e.exe --, Telegram, Discord

Crypto:
binance

Algorithms:
xor, aes-gcm, salsa20, hmac, chacha20

Languages:
python

Platforms:
arm, x64, x86

Links:
https://github.com/oliver-zehentleitner

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя киберкампания, связанная с ВПО StealC, включала 19 поддельных репозиториев GitHub и использовала Python-дроппер для доставки вредоносных загрузок. Атака включала сервер управления на api.nailproxy.space, выполняющий команды для получения загрузчика Windows, который использовал однобайтовый XOR для расшифровки. Финальная загрузка, идентифицированная как StealC v2, обошла механизмы безопасности для доступа к конфиденциальным данным, таким как учетные данные браузеров и токены сессий, эксплуатируя контекст выполнения целевых браузеров.
-----

Недавний анализ выявил масштабную кампанию, связанную с операцией по распространению вредоносного ПО StealC, в рамках которой было обнаружено 19 поддельных репозиториев GitHub. Злоумышленники использовали структурированный метод доставки, начавшийся с загрузчика на Python. Кампания имитировала популярные проекты на Python и перенаправляла неосведомленных пользователей на api.nailproxy.space, который служил сервером управления (управление) для вредоносной нагрузки.

Начальный этап атаки включал созданный Python-дропер, интегрированный в поддельные репозитории. Этот дропер выполнял серию команд, включая POST-запрос к конечной точке аутентификации и синхронизацию зашифрованных данных, что в конечном итоге привело к загрузке нативного загрузчика Windows, обеспечившего дальнейшие эксплойты на машине жертвы. Примечательно, что он использовал такие техники, как однобайтовый XOR для расшифровки полезной нагрузки, и опирался на операционную среду для выполнения вредоносного кода без прямого воздействия в обычных операциях.

Финальный полезный код демонстрировал поведение, характерное для StealC v2, особенно в отношении выполнения методов, связанных с обходом шифрования, привязанного к приложению Chrome. Этот подход использует контекст выполнения целевого браузера для доступа к зашифрованным данным, тем самым обходя традиционные механизмы безопасности, предназначенные для защиты конфиденциальной информации, такой как учетные данные пользователей и токены сессий.

Атрибуция вредоносного ПО была подтверждена корреляциями инфраструктуры, в частности использованием IP-адреса 62.60.226.113, ранее идентифицированного в предыдущих отчетах, связанных со StealC. Анализ показал, что жертвы этой кампании могут ожидать компрометации различных конфиденциальных данных, включая сохраненные учетные данные браузеров, файлы cookie и артефакты сеансов из таких приложений, как Телеграм и Discord. Если пользователи взаимодействовали с скомпрометированными репозиториями, им рекомендовалось отключить свои системы, выполнить полное стирание данных и переустановку, а также сменить все пароли, связанные с онлайн-аккаунтами или сервисами, доступ к которым осуществлялся с зараженного компьютера.

#ParsedReport #CompletenessMedium
29-04-2026

A Mini Shai-Hulud has Appeared: Obfuscated Bun Runtime Payloads Hit SAP-Related npm Packages

https://www.stepsecurity.io/blog/a-mini-shai-hulud-has-appeared

Report completeness: Medium

Actors/Campaigns:
Teampcp (motivation: cyber_criminal)

Threats:
Shai-hulud
Dead_drop_technique
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique
Plain-crypto-js_tool

Victims:
Software developers, Ci cd pipelines, Open source software ecosystem, Sap related npm packages

Geo:
Russia, Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1036, T1057, T1059.006, T1059.007, T1070.004, T1071.001, T1082, T1105, have more...

IOCs:
Email: 3
File: 91
Hash: 5
Path: 6

Soft:
Claude, VSCode, Node.js, Linux, Alpine, TRAVIS, CIRCLECI, Dependabot, Kubernetes, helm, have more...

Algorithms:
zip, rsa-4096, aes-256-gcm, pbkdf2, aes-256, base64, gzip, sha256, aes

Functions:
isAlpineOrMusl, __decodeScrambled, 220__decodeScrambled, require, eval, TextDecoder, F30, N30, jA0, UZh, have more...

Languages:
python, javascript

Platforms:
intel

Links:
have more...
https://github.com/cap-js/cds-dbs/issues/1588
https://github.com/SAP/cloud-mta-build-tool/issues/1224

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Shai-Hulud — это ВПО для кражи учетных данных, которое нацелено на программное обеспечение, связанное с SAP, через скомпрометированные пакеты npm, в частности mbt@1.2.48 и несколько модулей @cap-js с вредоносным хуком preinstall. Он устанавливает среду выполнения JavaScript Bun и развертывает обфусцированную полезную нагрузку, которая собирает конфиденциальные данные, используя AES-256-GCM для шифрования и RSA-4096 для защиты ключей. Червь эксплуатирует среды разработки, внедряя вредоносные конфигурации для обеспечения устойчивости в рабочих процессах разработчиков, одновременно осуществляя Маскировка под обновления Dependabot для распространения в облачных средах и захвата секретов из систем CI/CD.
-----

Недавняя киберугроза, связанная с компрометацией пакетов npm, нацеленных на программное обеспечение SAP, привела к появлению обфусцированного вредоносного ПО для кражи учетных данных, получившего название червь Shai-Hulud. Атака была обнаружена вскоре после публикации вредоносных пакетов, что привело к немедленному уведомлению владельцев репозиториев и команды безопасности SAP. Выявленные скомпрометированные пакеты — это mbt@1.2.48 и несколько модулей @cap-js, все из которых содержат вредоносный хук preinstall. Этот хук устанавливает среду выполнения JavaScript Bun и запускает 11,6 МБ обфусцированный полезный груз, который собирает конфиденциальную информацию, включая токены npm, которые он использует для дальнейшего распространения вредоносного ПО.

Червь Shai-Hulud уникальным образом шифрует украденные данные с помощью AES-256-GCM и оборачивает ключ шифрования с помощью RSA-4096, обеспечивая то, что даже если данные будут найдены в репозиториях жертв, они останутся нечитаемыми без закрытого ключа атакующего. Этот уровень шифрования создает значительные трудности для жертв, заставляя их рассматривать наихудший сценарий в отношении компрометации учетных данных.

Что касается закрепления, то вредоносное ПО примечательно своей способностью эксплуатировать среды разработки, такие как VSCode и Claude Code. Оно внедряет вредоносные файлы конфигурации задач, которые автоматически запускают вредоносное ПО каждый раз, когда разработчик открывает зараженный репозиторий, что фактически позволяет ему выполняться незамеченным в рамках обычных рабочих процессов разработки. Этот метод доставки является частью более широкой попытки нацелиться на уязвимости цепочки поставок, что делает его одним из первых продемонстрированных атак на цепочку поставок, направленных на конфигурации ИИ для программирования.

Отличительными особенностями этого ВПО являются его поведение на системах, настроенных с русской локалью, приводящее к выходу при обнаружении такой системы, что указывает на то, что злоумышленник, вероятно, действует из России или соседних регионов. Анализ во время выполнения выявил несколько механизмов извлечения учетных данных, включая возможность чтения памяти исполнителей процессов напрямую для получения конфиденциальной информации.

Червь дополнительно усиливает свои возможности эксфильтрации и репликации, маскируясь под рутинные обновления Dependabot путем внесения тонких изменений в рабочие процессы репозиториев. Эта тактика позволяет ему распространяться по нескольким облачным средам и захватывать учетные данные из систем CI/CD, не вызывая немедленных тревог. Он хранит эти учетные данные в репозиториях под контролем злоумышленника, что затрудняет для защитников своевременное обнаружение затронутых систем.

В качестве защитной меры организациям необходимо проводить аудит пакетов npm на наличие несанкционированных версий, проверять репозитории GitHub на предмет аномальных шаблонов именования, связанных с червем Shai-Hulud, а также внедрять защитные инструменты для мониторинга установки скомпрометированных пакетов. Динамичный характер этой угрозы подчеркивает насущную необходимость непрерывного бдительного контроля в цепочке поставок программного обеспечения и средах разработки.