#ParsedReport #CompletenessMedium
11-05-2026

New TrickMo Variant: Device Take Over malware targeting Banking, Fintech, Wallet & Auth apps

https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app

Report completeness: Medium

Threats:
Trickmo
Ssh_tunnelling_technique
Godfather

Victims:
Banking, Fintech, Digital wallet, Authenticator applications, Banking customers, Wallet customers

Industry:
E-commerce, Financial

Geo:
Turkish, Austria, France, Italy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1021.005, T1041, T1046, T1056.001, T1056.002, T1071.001, T1090, T1105, have more...

IOCs:
Hash: 6

Soft:
Android, TikTok, Telegram, curl, Google Play

Algorithms:
base32, sha256

Functions:
getScreenshot, setNotificationFilter, setKeyLoggerConfig, setVars, setSwitch, setServers, getInstalledApps, getState, getUsageStats, setRingerMode, have more...

Win API:
loadModule, setGestureConfig

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО TrickMo эволюционировало в новый вариант, нацеленный на банковские приложения в нескольких европейских странах, использующий The Open Network (TON) для управления коммуникацией с целью обхода обнаружения. Этот вариант имеет усовершенствованную архитектуру с децентрализованными конечными точками .adnl и встроенным локальным прокси TON, что повышает его операционные возможности для злонамеренной деятельности, такой как фишинг учетных данных, регистрация нажатий клавиш и удаленное управление. Несмотря на улучшения в операционных возможностях, некоторые компоненты остаются неактивными, что указывает на потенциальные будущие улучшения без немедленных обновлений.
-----

Вредоносное ПО TrickMo эволюционировало в новый вариант, выявленный аналитиками мобильной разведки угроз, который целенаправленно атакует банковские и финансовые приложения в нескольких европейских странах, включая Францию, Италию и Австрию. Этот вариант представляет собой значительную переработку более ранних версий, но сохраняет схожие возможности на устройстве. Основное улучшение заключается в его операционной среде, поскольку теперь он преимущественно использует The Open Network (TON) для связи с центром управления, отказываясь от традиционной интернет-инфраструктуры для повышения устойчивости к обнаружению и попыткам отключения.

Архитектура TrickMo была доработана для включения сетевого слоя, использующего децентрализованные атрибуты TON, с применением .adnl-конечных точек и встроенного локального прокси TON для маршрутизации трафика управления. Такая архитектура означает, что стандартные отключения на основе доменов в значительной степени неэффективны; даже когда ВПО необходимо получить доступ к DNS в открытом интернете, оно использует защищённые протоколы DNS-over-HTTPS для поддержания анонимности.

Одной из наиболее заметных особенностей TrickMo является его способность использовать зараженные устройства в качестве программируемых сетевых мостов. Эта функция обеспечивается дополнительными возможностями, позволяющими настраивать SSH-туннели и использовать прокси-сервер SOCKS5, что эффективно превращает скомпрометированные устройства в сетевые узлы выхода, способные пересылать трафик, который выглядит так, будто он исходит из IP-адреса жертвы. Инструменты для сетевой разведки были значительно расширены, что позволило выполнять команды для HTTP-зондирования, DNS-запросов, ICMP-пингов, тестов TCP-соединений и трассировки маршрутов, что отражает переход от чисто банковских троянских функций к более широкой операционной роли.

Более того, TrickMo может участвовать в различных вредоносных действиях, включая фишинг учетных данных через имитированные оверлеи приложений, регистрацию нажатий клавиш, удаленное управление устройством и перехват SMS, что позволяет злоумышленникам эксплуатировать пользователей без их ведома. Примечательно, что ВПО использует разрешения службы доступности, полученные через принуждение пользователя, для поддержания контроля и видимости над зараженными устройствами.

В отчете также указывается, что, хотя операционные возможности TrickMo выросли, определенные элементы, такие как фреймворк Pine hooking, остаются неактивными, что намекает на возможности для развертывания новых функций в будущем без необходимости их немедленной реализации в текущей версии. Эта адаптивность иллюстрирует постоянную угрозу, которую представляет TrickMo, поскольку он продолжает совершенствовать свои методы для обхода развивающихся средств защиты кибербезопасности и сохранения foothold в мобильных средах. В целом, новейший вариант TrickMo означает переопределенную задачу для специалистов по безопасности, подчеркивая необходимость постоянной бдительности и адаптивности в стратегиях обнаружения и реагирования на угрозы.

#ParsedReport #CompletenessHigh
07-05-2026

Unmasking a Multi-Stage Loader: AutoIt Abuse Leading to Vidar Stealer Command-and-Control Communication

https://www.levelblue.com/blogs/spiderlabs-blog/unmasking-a-multi-stage-loader-autoit-abuse-leading-to-vidar-stealer-command-and-control-communication

Report completeness: High

Threats:
Vidar_stealer
Arkei_stealer
Lolbin_technique

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 6
Url: 1
Domain: 2
Hash: 5
IP: 1

Soft:
WinINet API, Steam

Algorithms:
sha256

Win API:
ZwQueryInformationProcess, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, FindNextFileA, RtlExitUserProcess

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, windows: 2, dump: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе недавнего анализа было выявлено многоэтапное вредоносное нападение с использованием скриптов AutoIt, инициированное запуском файла MicrosoftToolkit.exe, который запускал командные строки и применял Маскировка файлов для уклонения от обнаружения. Вредоносное ПО включало извлечение полезной нагрузки с помощью extract32.exe и загрузчик AutoIt под названием Replies.scr, который устанавливал соединения с инфраструктурой крадильщика Vidar, известного кражей учетных данных и сбором информации. Оно использовало продвинутые техники антианализа и поведения очистки после выполнения, чтобы скрыть свое присутствие, что подчеркивает сложную угрозу компрометация данных.
-----

В ходе недавнего анализа угроз было исследовано многоэтапное выполнение вредоносного кода, обнаруженное в среде клиента, в основном связанное с несанкционированным использованием скриптов AutoIt. Начальным вектором заражения стало выполнение инструмента под названием MicrosoftToolkit.exe, который впоследствии запускал командную строку для продолжения атаки. Файл с именем Swingers.dot был замаскирован под скрипт .bat с использованием маскировки расширения файла для обхода средств защиты. ВПО использовало различные техники, включая Изучение процессов и завершение процессов, чтобы облегчить свое продвижение по цепочке атаки.

Извлечение полезной нагрузки было выполнено с помощью extract32.exe, после чего был запущен загрузчик, скомпилированный в AutoIt и названный Replies.scr, который обработал внешнюю файл полезной нагрузки и инициировал сетевые коммуникации, ведущие к инфраструктуре, связанной со стелером Vidar. Vidar известен своими возможностями по краже учетных данных и сбору информации, особенно нацеленными на данные браузеров и криптовалютные кошельки. Атака продемонстрировала многоэтапную архитектуру загрузчика, где скрипт AutoIt функционировал для доставки конечной полезной нагрузки.

Вредоносное ПО выполняло проверку окружения на наличие процессов безопасности и использовало техники противодействия анализу. Оно использовало системные вызовы для обнаружения отладчиков и инструментов мониторинга, которые могли бы помешать его выполнению. Ключевыми методами коммуникации были HTTP-запросы к Телеграм и Steam, что указывает на использование легитимных платформ для возможностей управления (C2). С помощью этих методов вредоносное ПО потенциально извлекало конфигурационные данные и обеспечивало эксфильтрацию данных.

Кроме того, после выполнения вредоносное ПО проявляло поведение по очистке, удаляя файлы, использованные во время операции, и завершая свои процессы, чтобы скрыть следы. Такая очистка типична для поведения сложного ВПО, направленного на удаление криминалистический анализ артефактов и снижение вероятности обнаружения.

Анализ показал, что, хотя отдельные техники, используемые этим ВПО, не являются полностью новыми, их интеграция в единую стратегию атаки подчеркивает умеренно-высокий уровень сложности и указывает на риск компрометации данных, особенно в отношении хранимых учетных данных и пользовательских данных. Для смягчения таких угроз системы должны быть изолированы немедленно после выявления заражения, с сильной рекомендацией полного переустановления системы для обеспечения полного уничтожения ВПО. Кроме того, скомпрометированные учетные данные должны быть сброшены, а сильные сетевые защиты должны быть установлены для мониторинга необычного исходящего трафика и DNS-запросов, связанных с известными вредоносными доменами.

#ParsedReport #CompletenessHigh
07-05-2026

Malware Found in Trending Hugging Face Repository Open-OSS/privacy-filter

https://www.hiddenlayer.com/research/malware-found-in-trending-hugging-face-repository-open-oss-privacy-filter

Report completeness: High

Threats:
Supply_chain_technique
Typosquatting_technique
Credential_harvesting_technique
Procmon_tool
Process_injection_technique
Winos

Victims:
Hugging face users, Open source ecosystems, Artificial intelligence community, Software developers, Cryptocurrency wallet users

Industry:
Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027.007, T1033, T1036, T1041, T1053.005, T1059.001, T1059.003, T1059.006, T1070.004, have more...

IOCs:
File: 11
Url: 11
Domain: 5
Command: 3
Coin: 1
Hash: 6
IP: 1

Soft:
Hugging Face, LiteLLM, OpenAI, Discord, Linux, macOS, Microsoft Defender, VirtualBox, QEMU, Xen, have more...

Algorithms:
base64, sha256, gzip

Functions:
_verify_checksum_integrity, Start-Process

Win Services:
WebClient

Languages:
python, rust, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В репозитории Hugging Face Open-OSS/privacy-filter был обнаружен вредоносный код, который использовал тайпсквоттинг на Privacy Filter от OpenAI для доставки стиллер-ВПО на системы Windows. Атака включала начальный этап, на котором скомпрометированный код отключал проверку SSL и загружал дополнительные полез нагрузки через PowerShell, что в конечном итоге приводило к исполняемому файлу, уклонявшемуся от обнаружения. Стиллер собирал конфиденциальные данные из различных источников, включая браузеры и криптовалютные кошельки, и отправлял их на сервер, контролируемый злоумышленником.
-----

7 мая 2026 года в репозитории Hugging Face Open-OSS/privacy-filter был обнаружен вредоносный код, который набрал значительную популярность, собрав более 200 000 загрузок за один день до его удаления. Этот репозиторий использовал техники тайпсквоттинга по отношению к настоящему Privacy Filter от OpenAI, тесно воспроизводя его модельную карточку, но при этом внедряя вредоносный файл loader.py, предназначенный для доставки стиллер-ВПО на машины под управлением Windows.

Операционный фреймворк вредоносного ПО можно разделить на несколько этапов. Сначала пользователя заманивают для запуска кода из скомпрометированного репозитория, в частности, с помощью таких команд, как start.bat или python loader.py. Этот код отключает проверку SSL и извлекает закодированную в base64 команду из источника JSON, размещенного на jsonkeeper.com, которая затем выполняется через PowerShell. Этот начальный этап предназначен для того, чтобы оставаться незамеченным, так как он работает в фоновом режиме без вызова видимых предупреждений.

Второй этап включает выполнение однострочной команды PowerShell, которая загружает дополнительный полезный груз — update.bat — с api.eth-fastscan.org. После этого скрипт update.bat повышает свои привилегии и проводит различные проверки, чтобы убедиться в наличии прав администратора, затем загружает финальный полезный груз стиллера, упакованный в виде исполняемого файла на базе Rust. Этот исполняемый файл использует техники противодействия анализу, маскируя свое использование API Windows и пытаясь избежать обнаружения средствами защиты, такими как AMSI и ETW.

Основная функциональность стиллера включает восемь модулей сбора, предназначенных для извлечения конфиденциальных данных из различных источников. Он нацелен на данные из браузеров (как Chromium, так и Firefox), учетных записей Discord, криптовалютных кошельков и конфиденциальных файлов, применяя такие техники, как динамические скриншоты нескольких мониторов. Собранная информация затем компилируется в формат JSON и отправляется через HTTP POST-запрос на сервер, контролируемый злоумышленником, в частности recargapopular.com.

До деактивации репозитория он быстро поднялся в статусе самого популярного тренда на Hugging Face, и расследователи отметили связи между этим репозиторием и другими под тем же аккаунтом, все из которых содержали аналогичные скрипты загрузки и методы атак. Эти взаимосвязанные кампании указывают на скоординированные усилия по эксплуатации уязвимостей в средах с открытым исходным кодом, используя тайпсквоттинг как вектор атаки.

В связи с этим инцидентом пользователям, взаимодействовавшим с скомпрометированным репозиторием, рекомендуется рассматривать свои системы как потенциально скомпрометированные, настоятельно призывая к немедленной переустановке операционной системы и ротации учетных данных. Командам безопасности также следует заблокировать связанные индикаторы компрометации (IOCs) в своих сетях, чтобы предотвратить дальнейшее использование уязвимостей. Этот инцидент подчеркивает критические слабости в проверке вкладов в открытые исходные коды в репозиториях и риски, связанные с тактиками тайпсквоттинга, применяемыми злоумышленниками в киберпространстве.

#ParsedReport #CompletenessHigh
12-05-2026

Mini Shai-Hulud Strikes Again: TanStack + more npm Packages Compromised

https://www.wiz.io/blog/mini-shai-hulud-strikes-again-tanstack-more-npm-packages-compromised

Report completeness: High

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Supply_chain_technique
Typosquatting_technique
Shai-hulud

Victims:
Developer tooling, Tanstack, Uipath, Mistral ai, Guardrails ai, Npm ecosystem, Pypi ecosystem, Developer machines, Continuous integration environments, Cloud environments, have more...

Industry:
Aerospace

Geo:
Iran, Russian, Israel

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.006, T1059.007, T1105, T1195.001, T1480.001, T1485, T1528, T1543.001, have more...

IOCs:
Domain: 1
Url: 2
IP: 1
File: 3
Hash: 4

Soft:
TanStack, mistralai, CircleCI, Kubernetes, HashiCorp Vault, macOS, Linux systemd, Linux, systemd, 1Password, have more...

Algorithms:
sha1, sha256

Languages:
typescript, python, javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Mini Shai-Hulud, приписываемая хакерской группировке TeamPCP, нацелилась на экосистемы npm и PyPi, скомпрометировав инструменты разработчиков в пространствах имен @tanstack и @uipath. Атака включала эксплуатацию уязвимостей GitHub Actions, что позволяло извлекать токены OpenID Connect и несанкционированно публиковать вредоносные пакеты с помощью полезной нагрузки, крадущей учетные данные. ВПО реализует демон для мониторинга токенов, проявляет деструктивное поведение и использует техники уклонения, основанные на языковых настройках географического положения.
-----

Недавняя скоординированная атака на цепочку поставок, получившая название кампания Mini Shai-Hulud, была осуществлена хакерской группировкой TeamPCP, нацеленной на экосистемы npm и PyPi 11 мая 2026 года. В результате этой атаки были скомпрометированы несколько высокоценных инструментов разработчика, особенно в пространствах имен @tanstack и @uipath, среди затронутых оказались вредоносные версии популярных пакетов, таких как @tanstack/react-router и @uipath/apollo-core. Атака характеризовалась эксплуатацией уязвимостей в GitHub Actions, где актор создал форк легитимного репозитория, переименовал его для уклонения от обнаружения и впоследствии выполнил вредоносный код, который отравил кэш GitHub Actions. Это позволило извлечь токены OpenID Connect (OIDC) из агентов GitHub Actions, обеспечив несанкционированную публикацию вредоносных версий пакетов путем полного обхода учетных данных npm.

Параллельно с компрометацией TanStack аналогичная участь постигла пространство имён @uipath: был использован скрипт preinstall, который после установки выполнял полезную нагрузку, нацеленную на различные токены CI/CD и учетные данные облачных сервисов. Сообщалось, что эта полезная нагрузка действует как стиллер учетных данных и самораспространяющийся червь, способный на компрометацию токенов OIDC GitHub Actions и аналогичных токенов, тем самым облегчая публикацию дополнительных вредоносных пакетов. ВПО использовало три различных канала эксфильтрации: домен-тайпсквоттер, децентрализованные сети обмена сообщениями и «мёртвые почты» (dead drops) через GitHub API.

Механизм закрепления вредоносного ПО включает установку демона, настроенного на мониторинг токенов GitHub каждые 60 секунд. Оно обладает потенциально деструктивным поведением, направленным на очистку данных, если токены, по-видимому, были отозваны. Кроме того, вредоносное ПО разработано таким образом, чтобы проверять языковые настройки и завершать свою работу, если обнаружен русский язык. Атака продемонстрировала заметные достижения в технике, включая эксплуатацию среды выполнения Bun и доставку полезной нагрузки по двум каналам.

Для пакетов PyPI вредоносные версии демонстрировали поведение, отличное от их аналогов в npm: они содержали значительно меньше кода, но при этом аналогичным образом позволяли осуществлять кражу учетных данных. Пакет PyPI специально нацелен на среды Linux и структурирован таким образом, чтобы избегать выполнения при определенных условиях, включая языковые настройки, связанные с конкретными странами. Если он запускается в указанных географических контекстах, ВПО пытается удалить файлы хоста при случайном срабатывании триггера.

В ответ на эту атаку организациям рекомендуется активно искать затронутые версии пакетов, проверять наличие демона gh-token-monitor и извлекать затронутые репозитории для блокировки связанной инфраструктуры управления. Меры безопасности должны включать ротацию всех потенциально скомпрометированных учетных данных и аудит сред разработки на наличие признаков устойчивых угроз, внедренных вредоносными пакетами. Этот инцидент подчеркивает повышенные риски в области безопасности цепочки поставок программного обеспечения, что требует проактивной защиты от таких сложных атак.

#ParsedReport #CompletenessMedium
12-05-2026

How Dirty Frag rose from the Copy Fail exploit

https://www.reversinglabs.com/blog/dirtyfrag-linux-privilege-escalation-exploit

Report completeness: Medium

Threats:
Copyfail_vuln
Multiverze
Dirtyfrag_vuln
Dirty_pipe_vuln
Supply_chain_technique

Victims:
Linux systems, Software supply chain, Developer environments, Open source package ecosystem

CVEs:
CVE-2026-31431 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.254, <5.15.204, <6.1.170, <6.6.137, <6.12.85)

CVE-2022-0847 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.102, <5.15.25, <5.16.11)


TTPs:
Tactics: 2
Technics: 4

IOCs:
Hash: 24
File: 1

Soft:
Linux, Twitter, Ubuntu, Unix, Debian

Algorithms:
zip, sha256

Functions:
b0, Shellcode

Languages:
python

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2026-31431, также известная как Dirty Frag, представляет собой локальное повышение привилегий в ядре Linux, которым активно пользовались злоумышленники: до публичного раскрытия информации и выпуска исправлений было выявлено 163 различных вредоносных образца. Техники атаки включают традиционные ELF-бинарные файлы и скрипты на Python, при этом используется метод выполнения через оболочку с помощью системного вызова 59 без вставки нулевого байта. Правила YARA, разработанные для обнаружения связанных вредоносных паттернов, эффективно выявляют ELF-бинарные файлы, но не покрывают скрипты на Python, что указывает на сохраняющиеся риски в средах Linux.
-----

ReversingLabs (RL) выделила эксплуатацию уязвимости CVE-2026-31431, также известной как Dirty Frag или Copy Fail, которая представляет собой уязвимость повышения привилегий в ядре Linux. Эта уязвимость, получившая широкое внимание после нарушения эмбарго в мае 2026 года, позволяла злоумышленникам эксплуатировать кэш страниц ядра способом, напоминающим уязвимости Dirty Pipe (CVE-2022-0847). После документирования этого недостатка RL выявила 163 уникальных вредоносных образца, связанных с ним, что указывает на значительную фазу превентивной эксплуатации как минимум за девять дней до публичного уведомления и развертывания исправления Ubuntu.

Анализированные образцы включают как традиционные ELF-бинарные файлы, так и скрипты на Python, охватывая широкий спектр вредоносных форматов под тегами эксплойтов, связанных с CVE-2026-31431, а также отдельную категоризацию образцов, полученных из референса V4bel/dirtyfrag, найденного на GitHub. В частности, 148 образцов отслеживаются под тегом эксплойта для CVE-2026-31431, среди которых узнаваемые имена, такие как Linux.Exploit.CVE-2026-31431, тогда как 15 образцов из реализации V4bel помечены тегом Linux.Exploit.DirtyFrag. В исследовании подробно описывается всплеск вредоносных образцов, начавшийся 1 мая 2026 года, что подчеркивает растущий интерес к эксплуатации данной уязвимости.

Обнаружение вредоносного поведения облегчается правилами YARA, разработанными RL, предназначенными для выявления конкретных шаблонов шеллкода, связанных с эталонной реализацией V4bel. Эти шаблоны используют стандартные техники выполнения шелла через системный вызов 59 (syscall 59) без вставки нулевых байтов, что обычно применяется при разработке позиционно-независимого шеллкода. Однако важно отметить, что, хотя эти правила YARA эффективно коррелируют с ELF-бинарными файлами, они не покрывают варианты на Python-скриптах и PyPI-колесах (PyPI-wheel), для которых требуются альтернативные методы обнаружения.

Выводы RL указывают на значительную оперативную ценность для защитников, поскольку разработанные ими правила YARA могут быть внедрены в существующие системы безопасности для обнаружения угроз в реальном времени. Учитывая, что множество образцов были классифицированы как вредоносные еще до того, как широко признанные антивирусные сигнатуры зафиксировали эксплуатацию уязвимости, потенциал не mitigated рисков в средах Linux остается высоким. Аналитические инструменты, предлагаемые RL, такие как Spectra Analyze, могут обеспечить непрерывные усилия по сканированию новых ELF-файлов, гарантируя быструю адаптацию к возникающим угрозам.

#ParsedReport #CompletenessMedium
11-05-2026

TanStack npm Packages Compromised in Ongoing Mini Shai-Hulud Supply-Chain Attack

https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Supply_chain_technique
Credential_stealing_technique
Credential_harvesting_technique

Victims:
Tanstack, Npm maintainers, Github repositories, Developer systems, Ci systems

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1041, T1059.007, T1074.001, T1078, T1082, T1090.003, T1195.001, have more...

IOCs:
File: 28
Hash: 6
Domain: 1
Url: 1

Soft:
TanStack, HashiCorp Vault, Kubernetes, Claude, Node.js, laude ho, vscode, linux, macOS, ubernetes -i, have more...

Algorithms:
sha1, xor, md5, base64, sha256, aes

Functions:
beautify, unref, REST, createCommitOnBranch, updateTarball

Languages:
javascript

Links:
https://github.com/voicproducoes?tab=repositories&type=source
https://github.com/TanStack/router/commit/79ac49eedf774dd4b0cfa308722bc463cfe5885c
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда Socket Threat Research обнаружила компрометацию 84 пакетов npm в пространстве имен TanStack, внедрив ВПО, предназначенное для кражи учетных данных из систем CI, таких как GitHub Actions. Зашифрованный полезный груз, включающий файл `router_init.js`, действует как червь цепочки поставок и нацелен на среды, включая AWS и Kubernetes, применяя такие техники, как форкирование процессов и постоянное внедрение в директории разработчиков. ВПО может самовоспроизводиться, публикуя себя обратно в реестр npm, применяя метод отравления репозитория через GraphQL API GitHub и маршрутизируя похищенные данные через децентрализованную сеть обмена сообщениями для уклонения от обнаружения.
-----

В ходе недавнего инцидента киберугрозы команда Socket Threat Research выявила значительную компрометацию 84 пакетов npm в пространстве имен TanStack, которые были изменены для включения ВПО, способного красть учетные данные из различных систем непрерывной интеграции (CI), наиболее заметной из которых является GitHub Actions. Вредоносные модификации были обнаружены в течение нескольких минут после их публикации благодаря возможностям быстрого реагирования AI-сканера Socket. Затронутые пакеты включали популярные библиотеки, некоторые из которых набрали более 12 миллионов загрузок всего за одну неделю.

Основной вредоносный код содержится в новом файле `router_init.js`, который сильно запутан и функционирует как червь цепочки поставок. ВПО использует различные техники запутывания, включая ротацию строковых массивов и уплощение потока управления, что затрудняет статический анализ. После запуска вредоносный код закрепляется, проверяя наличие переменной окружения и создавая отсоединённый процесс, чтобы работать незамеченным. Он обеспечивает устойчивость, размещая свои копии в директориях инструментов разработки, тем самым сохраняя функциональность даже в случае удаления исходного npm-пакета.

Функционал сбора учетных записей вредоносного ПО нацелен на несколько сред, включая AWS, HashiCorp Vault и Kubernetes. Для AWS он корректно использует службу метаданных экземпляра (IMDSv2) для получения учетных данных в нескольких регионах. Для GitHub Actions он сканирует переменные среды для захвата токенов и секретных значений, тогда как нацеливание на Kubernetes использует токены учетных записей служб для получения доступа к секретам, хранящимся в Vault.

Помимо простого кражи учётных данных, внедрённый код включает механизм червеобразного распространения, который позволяет ему публиковать себя обратно в реестре npm под идентичностью скомпрометированных сопровождающих, создавая дополнительную угрозу для экосистемы. Эта функция самовоспроизведения сочетается с вектором атаки отравления репозитория, который использует GraphQL API GitHub для коммита вредоносного кода непосредственно в репозитории сопровождающих, эффективно внедряя себя в легитимные проекты.

Все эксфильтрованные данные маршрутизируются через децентрализованную сеть обмена сообщениями, что позволяет командно-управляющей (C2) коммуникации маскироваться под легитимный трафик и избегать обнаружения. Важно отметить, что внедренные модули демонстрируют глубокое понимание CI-процессов, используя OIDC GitHub для генерации валидных npm-токенов с целью вредоносного повторного размещения.

Рекомендуемые меры по смягчению последствий для затронутых сред включают немедленную ротацию всех секретов, связанных с скомпрометированными пакетами, аудит недавних коммитов и строгий контроль журналов публикации npm. ВПО представляет серьезную угрозу для целостности Цепочка поставок в экосистеме JavaScript, подчеркивая необходимость бдительности в отношении как текущих, так и новых атак на Цепочка поставок.

#ParsedReport #CompletenessMedium
12-05-2026

Flash Alert: EtherRat and TukTuk C2 End in The Gentleman Ransomware

https://thedfirreport.com/2026/05/11/flash-alert-etherrat-and-tuktuk-c2-end-in-the-gentleman-ransomware/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware

Threats:
Gentlemen_ransomware
Tuktuk
Etherrat
Gotoresolve_tool
React2shell_vuln
Etherhiding_technique
Dll_sideloading_technique
Dead_drop_technique
Kerberoasting_technique
Winrm_tool
Netexec_tool
Mimikatz_tool
Rclone_tool
Shadow_copies_delete_technique

Victims:
Critical infrastructure

Industry:
Critical_infrastructure, Financial

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 7
Technics: 1

IOCs:
File: 14
Command: 11
Path: 1
Domain: 1
Coin: 2
Hash: 6

Soft:
curl, SoftPerfect Network Scanner, trycloudflare, supabase, clickhouse, Arweave, Linux, Sysinternals, Node.js, Dropbox, have more...

Wallets:
wassabi

Crypto:
ethereum

Languages:
javascript

Platforms:
x86

Links:
https://github.com/Pennyw0rth/NetExec