#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компрометация библиотеки Intercom TypeScript версии intercom-client@7.0.4 создает серьезную киберугрозу, использующую метод «скачать и выполнить» для развертывания ВПО, крадущего информацию, которая нацелена на учетные данные GitHub. Заражение начинается с хука preinstall, который запускает скрипт для загрузки среды выполнения, исполняющий полезную нагрузку, собирающую сохраненные учетные данные GitHub и ищущую в публичных сообщениях коммитов инструкции. Функция самодеструкции ВПО минимизирует обнаружение, позволяя злоумышленникам использовать украденные учетные данные для распространения дальнейших заражений среди пользователей.
-----

Недавняя компрометация библиотеки Intercom на TypeScript, в частности версии intercom-client@7.0.4, представляет собой серьезную киберугрозу, поскольку использует классическую модель «скачать и выполнить» для развертывания вредоносного ПО, крадущего информацию, предназначенного для сбора учетных данных GitHub. Этот шаблон атаки напоминает предыдущие инциденты Shai-Hulud, которые характеризуются червеобразным поведением, позволяющим распространяться за счет использования собранных учетных данных для дальнейшего заражения дополнительных пакетов npm. Учитывая значительную базу пользователей библиотеки, насчитывающую около 361 510 загрузок в неделю, существует повышенный риск массового заражения среди разработчиков, использующих этот пакет.

Механизм заражения начинается с того, что пользователи устанавливают скомпрометированную версию intercom-client, что запускает preinstall-хук, выполняющий скрипт setup.mjs. Этот скрипт отвечает за загрузку среды выполнения Bun с GitHub, которая затем запускает полезную нагрузку router_runtime.js. Эта полезная нагрузка предназначена для выполнения команды `gh auth token`, эффективно собирая сохраненные учетные данные GitHub из среды пользователя. Кроме того, ВПО опрашивает службу по адресу zero.masscan.cloud и использует публичный API поиска коммитов GitHub для работы в качестве резолвера мертвой почты. Оно ищет определенные строки в публичных сообщениях коммитов (в частности, "beautifulcastle" и "EveryBoiWeBuildIsAWormyBoi"), чтобы извлечь инструкции управления (C2), встроенные в репозиторий GitHub. Этот метод не только использует легитимные службы для обхода традиционного обнаружения C2 на сетевом уровне, но и демонстрирует сложность оперативных техник ВПО.

После выполнения вредоносного кода бинарный файл Bun удаляется сам, что направлено на минимизацию криминалистический анализ следов и усложнение усилий по обнаружению. Получив украденные учетные данные GitHub, злоумышленник может использовать их для заражения дополнительных страниц, продолжая цикл компрометация. В результате пользователям библиотеки Intercom TypeScript рекомендуется проверить свои учетные записи на наличие любой необычной активности и срочно изменить учетные данные, чтобы предотвратить возможную эксплуатацию.

#ParsedReport #CompletenessLow
30-04-2026

lightning PyPI Package Compromised in Supply Chain Attack

https://socket.dev/blog/lightning-pypi-package-compromised

Report completeness: Low

Actors/Campaigns:
Teampcp
Lapsus

Threats:
Supply_chain_technique
Credential_stealing_technique

Victims:
Software developers, Python artificial intelligence and machine learning environments, Open source software ecosystem

Industry:
Transport

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1105, T1132, T1195.001, T1567.001

IOCs:
File: 2

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет PyPI "lightning" версий 2.6.2 и 2.6.3 был скомпрометирован в ходе атаки на Цепочку поставок, которая развертывает ВПО для кражи учетных данных при импорте и автоматически выполняет JavaScript-полезную нагрузку без взаимодействия с пользователем. ВПО нацелено на конфиденциальную информацию, включая токены аутентификации и переменные окружения, и имеет потенциал для эксплуатации API GitHub с целью передачи украденных данных. Атакующие, связанные с группой под названием Team PCP, подозреваются в более широкой деятельности по вымогательству, хотя утверждения об их принадлежности остаются неподтвержденными.
-----

Пакет PyPI "lightning", в частности версии 2.6.2 и 2.6.3, был скомпрометирован в ходе атаки на цепочку поставок, которая развертывает ВПО для кражи учетных данных при импорте. Этот инцидент затрагивает широко используемый фреймворк для искусственного интеллекта и машинного обучения, и он получил признание за свое значительное воздействие, учитывая существенные показатели ежедневных и ежемесячных загрузок пакетов.

Вредоносные версии были обнаружены сканером на базе искусственного интеллекта всего через восемнадцать минут после их публикации 30 апреля 2026 года. Скомпрометированный пакет внедряет скрытую директорию _runtime, содержащую загрузчик, который выполняет JavaScript-пэйлод с именем "router_runtime.js". Этот пэйлод размером 11 МБ, подвергнутый обфускации для уклонения от обнаружения, запускается автоматически при импорте модуля и не требует взаимодействия с пользователем. Загрузчик специально настраивается через скрипт "start.py", который загружает среду выполнения JavaScript (Bun) с GitHub.

Вредоносное ПО работает через демон-поток, который подавляет вывод и демонстрирует различные поведения, связанные с кражей учетных данных. В частности, оно нацелено на конфиденциальные материалы, такие как токены аутентификации, переменные среды, репозитории и связанные с облаком секреты. Кроме того, вредоносное ПО может активировать эксплуатацию API GitHub, позволяя зафиксировать закодированные данные в репозитории с использованием украденных токенов. Также вредоносное ПО обладает возможностью заражать архивы пакетов NPM для разработчиков, усиливая свое потенциальное воздействие.

Начальный отчет в репозитории Lightning-AI на GitHub указывал на проблему, ссылаясь на атаку через цепочку поставок в версии 2.6.3, что подтверждало скрытую цепочку выполнения. Этот отчет позже был закрыт без дополнительных публичных комментариев, оставив вопросы вокруг реакции со стороны сопровождающих.

Атакующие, связанные с этим инцидентом, связаны с группой, якобы называемой Team PCP, утверждающей связи с более широкой деятельностью по вымогательству и утечке данных. Это утверждение упоминает ссылки на другие организации, такие как LAPSUS$, которая была указана как совместный участник этой операции. Однако достоверность этих утверждений, включая подлинность подписи PGP и реальные аффилиации, остается неподтвержденной. Во время этого инцидента также сообщалось о признаках потенциальной компрометации учетных записей разработчиков, что указывает на оппортунистическое брендинг или потенциальную попытку ложного флага со стороны атакующих. Расследования поведения ВПО, связей с крупномасштабными атаками на Цепочка поставок и последствий участия Team PCP продолжаются.

#ParsedReport #CompletenessHigh
30-04-2026

Rock, paper, scissors: a new toolkit in Paper Werewolf cluster attacks

https://bi.zone/expertise/blog/kamen-nozhnitsy-bumaga-novyy-instrumentariy-v-atakakh-klastera-paper-werewolf/

Report completeness: High

Actors/Campaigns:
Paper_werewolf

Threats:
Mythic_c2_tool
Papergrabber
Echogather
Vain1
Spear-phishing_technique
Process_injection_technique
Costura_tool

Victims:
Industrial enterprises, Financial enterprises, Transportation organizations, Russian organizations

Industry:
Transport

Geo:
Russian

TTPs:
Tactics: 10
Technics: 0

IOCs:
Domain: 8
File: 32
Command: 2
Registry: 4
Path: 3
Url: 12
Hash: 27

Soft:
Telegram, Yandex Browser, Chrome, Opera, Chromium, Node.js, Visual Studio

Algorithms:
zip, rsa-4096, aes, base64, md5

Win API:
HeapCreate, HeapAlloc, CreateThread, CreateProcessW, ReadFile, TerminateProcess, CopyFileW, MoveFileExW, RegEnumKeyExW, RegEnumValueW, have more...

Languages:
javascript, visual_basic, python

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кластер Paper Werewolf связан с продвинутой кампанией, нацеленной на российские промышленные, финансовые и транспортные сектора, в рамках которой развертываются передовые инструменты, такие как стиллер PaperGrabber и кастомный имплант Mythic. PaperGrabber извлекает конфиденциальные данные, включая учетные данные браузеров и данные сессий Телеграм, и передает их через HTTPS на бота Телеграм. Кроме того, кампания использует несколько загрузчиков на различных языках программирования и RAT EchoGather для удаленного доступа, применяя тактики социальной инженерии через фишинг для доставки ВПО и усиливая скрытность посредством закрепления в реестре и проверок окружения.
-----

Недавние активности, приписываемые кластеру Paper Werewolf, указывают на сложную кампанию, нацеленную на российские промышленные, финансовые и транспортные сектора. Эта кампания, зафиксированная в период с марта по апрель 2026 года, включает развертывание передовых и ранее не описанных вредоносных инструментов, в частности стиллера PaperGrabber и кастомного импланта Mythic.

Стиллер PaperGrabber предназначен для извлечения различных конфиденциальных данных, включая файлы с локальных и сетевых дисков, съемных носителей, а также учетные данные из популярных веб-браузеров, таких как Chrome, Opera и Yandex. Кроме того, он извлекает данные сессий из мессенджера Телеграм. Собранная информация эксфильтруется по протоколу HTTPS и передается на бота Телеграм, настроенного злоумышленниками. Примечательно, что если параметры токена бота или идентификатора чата отсутствуют, стиллер завершает свою работу. Основные функции PaperGrabber встроены в различные классы режимов, ориентированные на разные типы сбора данных, такие как пароли браузеров, данные клиента Телеграм и файлы, соответствующие определенным расширениям, что указывает на приоритет криптографических ключей, таких как SSH.

Кроме того, кампания использует несколько загрузчиков на разных языках программирования — C++, C#, Python и JavaScript. Один из заметных загрузчиков на JavaScript, названный vain, тесно связан с типичной структурой файловой системы и манипулирует средами Node.js для работы скрытно. Этот загрузчик отвечает за скачивание вредоносных полезной нагрузки в виде шеллкода, который выполняется в памяти процесса с использованием функций Windows API. Общая цепочка выполнения часто включает создание скрытых артефактов для уклонения от обнаружения.

Атакующие также использовали троянскую программу EchoGather (RAT), которая позволяет им получать системную информацию и выполнять команды удаленно. EchoGather претерпел модификации для улучшения своих возможностей маскировки, такие как интеграция проверок для различения виртуальных и физических сред, что дополнительно усложняет усилия по обнаружению. Фишинг-кампании, использующие вредоносные вложения в формате PDF, побуждают пользователей загружать ZIP-архивы, содержащие вредоносные установщики, маскирующиеся под легитимное программное обеспечение, что усиливает опору на тактики социальной инженерии.

Важно отметить, что оперативные меры закреплены в методологии злоумышленников, включая использование ключей реестра для закрепления через функции автозапуска, применение различных программных методов для сокрытия своей деятельности и разработку команд, позволяющих удаленное управление скомпрометированными системами. Адаптация фреймворка Mythic и его методов обфускации отражают индивидуальный подход к обходу мер безопасности при сохранении эффективной функциональности ВПО. Сочетание этих инструментов и техник демонстрирует гибкость Paper Werewolf и их приверженность эволюции тактик против защитных механизмов, подчеркивая насущную необходимость проактивных стратегий кибербезопасности для сдерживания таких стойких угроз.

#ParsedReport #CompletenessLow
30-04-2026

Popular PyTorch Lightning Package Compromised by Mini Shai-Hulud

https://www.aikido.dev/blog/pytorch-lightning-pypi-compromise-mini-shai-hulud

Report completeness: Low

Threats:
Shai-hulud
Supply_chain_technique

Victims:
Software development, Machine learning developers, Cryptocurrency wallet users

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1059.006, T1059.007, T1082, T1105, T1195.001, T1552.001, T1552.004

IOCs:
File: 7
Hash: 2

Soft:
Bitwarden, MySQL, Kubernetes, Helm, Docker, CyberGhost, Discord, Slack

Wallets:
exodus_wallet

Crypto:
bitcoin, litecoin, monero, dogecoin

Algorithms:
rsa-2048, sha256

Languages:
javascript, python

Platforms:
intel, cross-platform

Links:
https://github.com/AikidoSec/safe-chain

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок Mini Shai-Hulud привела к компрометации версий 2.6.2 и 2.6.3 пакета lightning в PyPI, внедрив вредоносный код, который облегчает эксфильтрацию конфиденциальной информации, такой как учетные данные разработчиков и облачные ключи. Методология перешла с npm на PyPI, используя файл с именем start.py для загрузки и выполнения дополнительных полезной нагрузки. Целевые данные включают SSH-ключи, учетные данные облачных служб, информацию о VPN и закрытые ключи криптографических кошельков из различных приложений.
-----

Атака через цепочку поставок Mini Shai-Hulud расширила свое влияние на Python Package Index (PyPI), скомпрометировав версии 2.6.2 и 2.6.3 широко используемого пакета lightning, предназначенного для обучения моделей PyTorch. Эти версии содержат вредоносный код, который позволяет скрытно осуществлять эксфильтрацию конфиденциальных данных, включая учетные данные разработчиков, секреты облачных сервисов и информацию о криптографических кошельках.

Данный инцидент следует аналогичным компрометациям пакетов Bitwarden CLI и SAP npm, что указывает на преемственность в методологии атаки со стороны того же злоумышленника, который теперь переходит от npm к PyPI. Компрометация осуществляется через файл с именем start.py, который функционирует как кроссплатформенный загрузчик Bun. Этот вредоносный скрипт определяет операционную систему и архитектуру зараженного компьютера, после чего загружает версию среды выполнения JavaScript Bun 1.3.13. Затем он выполняет другой полезный груз, router_runtime.js, представляющий собой файл размером 11 МБ, что является тактикой, согласующейся с предыдущими атаками, встреченными в рамках этой кампании.

Среди типов информации, на которую нацелены злоумышленники и которая похищается, — ключи SSH, история команд оболочки (в различных средах, таких как bash, zsh, Python, Node и базы данных), переменные окружения, учетные данные git, а также учетные данные для основных облачных сервисов, таких как AWS, GCP и Azure. Под угрозой также находятся дополнительные учетные данные для Kubernetes и Helm, Docker, токены npm и конфигурационные файлы. Особую обеспокоенность этот инцидент вызывает у тех, кто связан с криптовалютой, поскольку злоумышленники стремятся извлечь закрытые ключи из приложений кошельков, поддерживающих Bitcoin, Litecoin, Monero, Dogecoin, Dash, Exodus, Atomic и Ledger. Кроме того, под угрозой оказываются учетные данные VPN для таких сервисов, как NordVPN, ProtonVPN, CyberGhost, Windscribe и OpenVPN, а также данные сеансов платформ для общения из Discord и Slack.

Для тех, кто использует Aikido, возможности обнаружения настроены для выявления этой угрозы ВПО. Пользователям рекомендуется отслеживать свой центральный канал на предмет критических проблем, помеченных как 100/100, и инициировать ручные повторные сканирования по мере необходимости. Хотя Aikido предлагает бесплатный план, охватывающий обнаружение ВПО, подчеркивается, что организации могут извлечь выгоду из их комплексной защиты конечных точек, которая обеспечивает видимость пакетов программного обеспечения, установленных на устройствах команды. Профилактические решения, такие как Aikido Safe Chain — инструмент с открытым исходным кодом, — также доступны для перехвата и проверки команд управления пакетами npm и других систем управления пакетами с помощью разведданных Aikido перед установкой, тем самым повышая безопасность против таких атак на Цепочку поставок.

#ParsedReport #CompletenessMedium
30-04-2026

Crypto Drainers as a Converging Threat: Insights into Emerging Hybrid Attack Ecosystems

https://www.levelblue.com/blogs/spiderlabs-blog/crypto-drainers-as-a-converging-threat-insights-into-emerging-hybrid-attack-ecosystems

Report completeness: Medium

Threats:
Credential_stealing_technique
Clickfix_technique
Nova_stealer
Miolab
Credential_harvesting_technique
Stepdrainer
Etherrat

Victims:
Cryptocurrency users, Enterprise networks, Windows users

Industry:
Petroleum, E-commerce, Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1036, T1059.001, T1059.007, T1071.001, T1082, T1102.001, T1105, T1189, have more...

IOCs:
Domain: 3
File: 22
Coin: 1
Registry: 1
Path: 1
Command: 2

Soft:
OpenClaw, penClaw re, Telegram, ode.js im, inux en, Node.js, ode.js ru, indows Security Center, A, ctive Directory do, curl, have more...

Wallets:
ledger_wallet, coinbase, solflare, bybit, math_wallet, tokenpocket, exodus_wallet, metamask, daffione, newwallet, have more...

Crypto:
arbitrum, solana, ethereum, coingecko

Algorithms:
cbc, aes, base64, zip, sha256

Functions:
getAccountInfo, connect, analyzeWallet, routeStealling, stealETH, stealCollection, permitSteal, tokenSteal, approve, transferFrom, have more...

Win API:
Polygon

Languages:
php, javascript, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Слияние традиционного киберкриминала и угроз, связанных с криптовалютой, привело к появлению сложных методов атак, что наглядно демонстрируется эволюцией современных «дрейнеров» и гибридного ВПО, такого как StepDrainer и EtherRAT. Эти инструменты используют передовые техники, включая социальную инженерию и манипуляции с блокчейном, для извлечения цифровых активов при минимальном взаимодействии со стороны пользователя. Эксплуатация поведения пользователей и уязвимостей блокчейна стирает границы между угрозами Web2 и Web3, повышая риски даже для организаций, не имеющих прямого отношения к криптовалютам.
-----

Наблюдается растущее пересечение инфраструктуры и методов, используемых киберкриминалом, нацеленным на пользователей криптовалют и тех, кто вовлечен в традиционный киберкриминал.

Вредоносное ПО и ботнеты, предназначенные для кражи учетных данных, теперь связаны с крипто-специфичными угрозами, такими как фишинговые порталы.

Современные «дрейнеры» эволюционировали от простых JavaScript-вставок до сложных систем, работающих в рамках нескольких блокчейн-сетей.

Дрейнеры отдают приоритет краже токенов высокой ценности при минимальном взаимодействии с пользователем и действуют менее заметно, чем программы-вымогатели.

Наборы «Drainer-as-a-service» доступны на подпольных рынках, что снижает порог входа для новых злоумышленников.

StepDrainer работает более чем на 20 блокчейнах, используя социальную инженерию для имитации легитимных подключений кошельков.

Техники StepDrainer включают имитацию дизайнов авторитетных торговых платформ и представление поддельных подтверждений транзакций.

EtherRAT сочетает в себе функции традиционных троянских программ удалённого доступа (RAT) с возможностями манипулирования блокчейном.

EtherRAT распространяется через троянизированный установщик, что позволяет проводить разведку и потенциально похищать криптоактивы через взаимодействия в блокчейне.

Дрейнеры эксплуатируют поведение пользователей, представляя визуальные элементы, соответствующие легитимным операциям, и обманом заставляя пользователей предоставлять одобрения.

Темы, связанные с искусственным интеллектом, используются для повышения доверия к вредоносным интерфейсам в этих атаках.

Организации, не имеющие прямого взаимодействия с криптографией, по-прежнему подвержены риску из-за скомпрометированных учетных данных или зараженных систем.

Распространение дрэйнеров и их интеграция с фишингом и распространением ВПО размывают границы между угрозами Web2 и Web3.

Злоумышленники эксплуатируют традиционные уязвимости, одновременно занимаясь сложными кражами криптоактивов, что требует единого подхода к защите в области кибербезопасности.

#ParsedReport #CompletenessLow
30-04-2026

Mapping Remus Infostealer

https://intelinsights.substack.com/p/mapping-remus-infostealer

Report completeness: Low

Threats:
Remus
Etherhiding_technique
Lumma_stealer

Industry:
Financial, Petroleum

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1571, T1583.001

IOCs:
IP: 29
Url: 4
Domain: 12
Coin: 6

Crypto:
ethereum

Functions:
write, read, setData, getData, transferOwnership

Links:
have more...
https://github.com/gendigitalinc/ioc/tree/master/Remus

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, chart: 1, table: 3, code: 5, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ вредоносного ПО Remus Infostealer выявляет его паттерны регистрации доменов, в основном использующие TLD .biz, и его интеграцию с блокчейн-технологиями для операций. Ключевые выводы показывают автоматизированные кампании, связанные с различными контрактами Ethereum, с выявленными конкретными портами управления (61611 и 61617). Дальнейшее изучение смарт-контрактов демонстрирует прогресс в функциях безопасности и потенциальные русскоязычные корни, что указывает на связи с известными группами российских злоумышленников.
-----

Анализ сосредоточен на инфраструктуре и оперативных техниках, используемых вредоносным ПО Remus Infostealer, предоставляя информацию о закономерностях регистрации доменов и его интеграции с блокчейн-технологиями. Основное внимание уделяется выявлению индикаторов компрометации (IoCs) и пониманию динамики коммуникаций и транзакций стиллера.

Большинство доменов, связанных с Remus, используют доменную зону .biz, что перекликается с другими инфостилерами, особенно с его предшественником Lumma. С помощью платформы Validin исследователи отследили историческое присутствие этих доменов, которые преимущественно были зарегистрированы в начале марта через Dynadot, что подтвердило гипотезу об автоматизированной кампании. Это согласуется с более широкими оперативными временными рамками, наблюдаемыми в аналогичных атаках.

Значительная методология данного исследования включает анализ блокчейна, где выявление паттернов транзакций раскрыло новые связи с кошельками операторов. Изначально анализ зашел в тупик, но дальнейшее изучение привело к идентификации дополнительных контрактов Ethereum, связанных с кошельками операторов. Расследование выявило четыре новых контракта и определило критические точки транзакций в фазе развертывания ВПО, указывая на использование конкретных портов (61611 и 61617) для каналов управления.

Анализ смарт-контрактов выявил различные операционные версии, при этом самые ранние версии не содержали механизмов валидации и функций безопасности. В последующих версиях были внедрены улучшения, такие как обеспечение конфиденциальности данных, строгие требования к форматированию и расширенные возможности логирования. Заметная эволюция в дизайне контракта отражает постоянные корректировки со стороны операторов, направленные на оптимизацию для снижения затрат при одновременном устранении видимости историй ротации C2. Интересно, что использование комментариев на русском языке внутри кода указывает на возможное русскоязычное происхождение разработчиков, что может помочь атрибутировать ВПО к конкретным группам злоумышленников, исторически связанным с деятельностью российского киберкриминала.

Несмотря на полученные данные, исследование признает ограничения в продолжении отслеживания блокчейна без новых образцов или индикаторов. Использование ончейн-мониторов может помочь в усилиях по обнаружению, что предполагает совместные действия для усиления мер кибербезопасности против Remus и подобных угроз. В целом, выводы подтверждают важность использования кросс-доменных методов, включая аналитику блокчейна, для отслеживания инфраструктуры и поведения ВПО, проливая свет на эволюционирующие тактики, применяемые киберпреступниками.

#ParsedReport #CompletenessMedium
30-04-2026

Claude adds malware to crypto agent

https://www.reversinglabs.com/blog/claude-promptmink-malware-crypto

Report completeness: Medium

Actors/Campaigns:
Famous_chollima
Graphalgo

Threats:
Promptmink
Ottercookie
Beavertail
Supply_chain_technique
Typosquatting_technique
Invisibleferret

Victims:
Cryptocurrency developers, Web3 developers, Ai coding agents, Software development

Industry:
Transport, Software_development, Financial

Geo:
Dprk, North korean

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1027, T1027.009, T1036.005, T1041, T1082, T1083, T1098.004, T1119, have more...

IOCs:
File: 3
Domain: 19
IP: 3
Hash: 305

Soft:
Claude, Twitter, Anthropic, Node.js, linux

Crypto:
solana

Algorithms:
base64, sha1

Functions:
ReversingLabs

Languages:
rust, python, typescript

Links:
https://github.com/reversinglabs/rl-protect-skills
https://github.com/ExpertVagabond/openpaw-graveyard/commit/cd3c6ccbfe02a0fcf249fdcf67fd3ec351a7ed7c
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PromptMink — это вредоносная кампания, связанная с северокорейской группой Famous Chollima, использующая скомпрометированный пакет @validate-sdk/v2, который маскируется под легитимный инструмент для проверки данных с целью кражи учетных данных криптокошельков. ВПО применяет техники враждебного искусственного интеллекта для уклонения от обнаружения и может атаковать конфиденциальные файлы, внедрять SSH-ключи для удаленного доступа и встраивать вредоносный код в крупные бинарные файлы. Эта кампания представляет собой значительную эволюцию в атаках на цепочку поставок программного обеспечения, демонстрируя манипулирование инструментами ИИ-кодинга для эффективного сокрытия вредоносных зависимостей.
-----

Исследователи ReversingLabs выявили новую вредоносную кампанию под названием PromptMink, исходящую от проекта криптографической торговли, в котором основанный на искусственном интеллекте агент программирования включил вредоносный пакет зависимостей с меткой @validate-sdk/v2. Этот пакет имитирует обычный инструмент проверки данных, но предназначен для эксфильтрации конфиденциальной информации, включая учетные данные из криптокошельков пользователей, и связан с хакерской группировкой Famous Chollima из Северной Кореи. В частности, этот инцидент демонстрирует сложную компрометацию цепочки поставок программного обеспечения, включающую многоуровневый подход: пакеты первого уровня, выглядящие легитимно и безвредно, служат приманкой, тогда как пакеты второго уровня несут реальный вредоносный код.

Mink демонстрирует заметную техническую эволюцию; его полезная нагрузка перешла от базовых возможностей по сбору информации к более продвинутым функциям. Изначально унаследованное от более ранних вредоносных пакетов, ВПО усовершенствовало свои методы, используя техники adversarial AI для обфускации и уклонения от обнаружения. ВПО может сканировать машины жертв на наличие конфиденциальных файлов, таких как .env и .json файлы, содержащие учетные данные криптографии, и оно использует функцию для сжатия и эксфильтрации целых проектов. Для целей Linux и Windows оно также может внедрять SSH ключи для постоянного удаленного доступа.

Кампания использует современные практики разработки, внедряя вредоносные загрузки в более крупные бинарные файлы с помощью таких техник, как создание одиночных исполняемых приложений (SEA). Этот подход не только облегчает обфускацию, но и интегрирует вредоносные загрузки в знакомые среды, где присутствуют интерпретаторы JavaScript, что существенно повышает скрытность от механизмов обнаружения. Исследователи отметили, что злоумышленники быстро адаптировались к уязвимостям предыдущих итераций, постоянно развертывая новые версии с усовершенствованными тактиками уклонения от обнаружения.

Выбор знаменитой группы Chollima манипулировать инструментами программирования на базе ИИ эффективно демонстрирует эволюцию в способах генерации и развертывания вредоносного ПО; использование больших языковых моделей (LLM) облегчает создание как описаний пакетов, так и самого вредоносного ПО. Это привело к успешному обману как человеческих разработчиков, так и ИИ-агентов для программирования, заставив их использовать вредоносные зависимости. Ключевые индикаторы компрометации (IOCs) включают конкретные домены управления и конечные точки API, которые обеспечивают эксфильтрацию данных.

Выводы подчеркивают необходимость надежных мер безопасности в процессах разработки программного обеспечения, в частности посредством детального статического анализа всех зависимостей перед установкой. Такие инструменты, как ReversingLabs' Spectra Assure Community, могут помочь выявить эти вредоносные сущности, повышая целостность цепочки поставок программного обеспечения и защищая от подобных целевых кампаний ВПО в будущем.