#ParsedReport #CompletenessMedium
14-05-2026

HWMonitor Trojanized to Deliver Multi-Stage STX RAT via DLL Sideloading

https://gurucul.com/blog/hwmonitor-trojanized-to-deliver-multi-stage-stx-rat-via-dll-sideloading/

Report completeness: Medium

Threats:
Stxrat
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Supply_chain_technique

Victims:
Hwmonitor users, Software users

TTPs:
Tactics: 6
Technics: 13

IOCs:
Url: 2
File: 1
Hash: 6

Soft:
HWMonitor, Cloudflare R2

Algorithms:
md5, xor, zip, ror13

Win API:
BitBlt, Loadlibrary, VirtualAlloc, OpenWindowStationW, GetWindow

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ подчеркивает распространение троянской версии HWMonitor через скомпрометированную загрузку, которая использует подгрузку DLL для выполнения вредоносной версии CRYPTBASE.DLL. Это ВПО, идентифицированное как STX RAT, применяет отраженную загрузку PE для выполнения в памяти, уклоняясь от обнаружения, и реализует методы антиотладки, одновременно позволяя осуществлять вредоносные действия, такие как создание сеансов удаленного рабочего стола и мониторинг ввода пользователя. Атака также соответствует тактикам компрометации цепочки поставок и методам обфускации, описанным в фреймворке MITRE ATT&CK.
-----

Недавний анализ выявил злоупотребление легитимным программным обеспечением HWMonitor, разработанным компанией CPUID, для распространения троянизированной версии через скомпрометированный метод загрузки. Злоумышленники предполагают, что вредоносный ZIP-архив размещен на конечной точке Cloudflare R2, маскируясь под легитимный пакет. После запуска атакующие применяют технику DLL sideloading, включая вредоносную версию CRYPTBASE.DLL в каталог программного обеспечения, которая затем получает приоритет над легитимной системной DLL Windows. Этот метод позволяет вредоносному программному обеспечению поддерживать нормальную функциональность приложения, одновременно инициируя многоступенчатую цепочку загрузки в памяти, ведущую к развертыванию STX RAT.

Первоначальное выполнение вредоносной DLL предназначено для загрузки легитимной cryptbase.dll с целью избежания обнаружения. Внутри функции DllMain вредоносное ПО создает два потока: один для выполнения вредоносных действий, а другой — для загрузки легитимной DLL, что позволяет обойти потенциальные проблемы блокировки загрузчика. Вредоносное ПО извлекает зашифрованные данные из собственных ресурсов и выделяет исполняемую память с правами RWX, используя техники отраженного загрузки PE для выполнения последующих полезной нагрузки исключительно в памяти, тем самым минимизируя следы криминалистический анализ.

Для сокрытия своей деятельности STX RAT динамически разрешает API с использованием хеш-рутины ROR13 в сочетании с обходом PEB, что устраняет явные зависимости от таблицы импорта и усложняет статический анализ. Кроме того, он включает легковесный механизм антиотладки, проверяя флаг BeingDebugged в блоке окружения процесса (PEB), что эффективно снижает видимость и позволяет вносить изменения в поток выполнения при обнаружении инструментов отладки.

STX RAT обладает возможностями, характерными для вредоносного ПО в стиле HVNC, что позволяет ему создавать интерактивные сеансы рабочего стола, захватывать активность экрана и контролировать ввод пользователя с использованием методов, согласованных с перечислением окон и обработкой данных из интерактивной оконной станции. Его связь через command-and-control (C2) осуществляется с использованием структурированных данных на основе JSON по Веб-протоколы, что повышает скрытность во время эксфильтрация данных.

Связываясь с фреймворком MITRE ATT&CK, эта кампания соответствует таким тактикам, как компрометация цепочки поставок через троянизированное ПО, подгрузка DLL для выполнения, отражательная загрузка для угроз на основе памяти и различные техники обфускации и антианализа. Усилия по обнаружению сосредоточены на выявлении этой многовекторной атаки с помощью передовых мер безопасности, которые отслеживают шаблоны загрузки DLL, поведение выделения памяти и активность C2. Такие проактивные меры помогают центрам безопасности (SOC) распознавать сложное поведение, связанное с этим вариантом ВПО.

#ParsedReport #CompletenessLow
14-05-2026

Device Code Phishing is an Evolution in Identity Takeover

https://www.proofpoint.com/us/blog/threat-insight/device-code-phishing-evolution-identity-takeover

Report completeness: Low

Actors/Campaigns:
Ta4903 (motivation: cyber_criminal)

Threats:
Device_code_phishing_technique
Eviltokens_tool
Bec_technique
Aitm_technique
Tycoon_2fa
Flowerstorm_tool
Clickfix_technique

Victims:
Small business, Government, Enterprise accounts, Microsoft 365 accounts, Organizations globally

Industry:
Government

Geo:
Spanish, German

ChatGPT TTPs:
do not use without manual check
T1078.004, T1528, T1550.001, T1566.001, T1566.002, T1586.002, T1588.002, T1656

IOCs:
Domain: 43

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг с использованием кода устройства стал сложной угрозой, поскольку злоумышленники меняют тактику, чтобы эксплуатировать потоки авторизации устройств в таких платформах, как Microsoft 365, в основном используя фреймворк OAuth 2.0. Эти кампании часто применяют «прыжки при перехвате учетной записи», компрометируя первоначальную учетную запись эл. почты для распространения фишинговых ссылок, динамически генерируя коды устройств, что повышает эффективность атак и позволяет злоумышленникам захватывать токены аутентификации. Текущие злоумышленники, такие как TA4903, перешли от традиционных методов фишинга к этой технике, при этом кампании нацелены на глобальную аудиторию на нескольких языках.
-----

Фишинг с использованием кода устройства быстро стал значимой киберугрозой, развиваясь из традиционных методов фишинга учетных данных по мере того, как организации усиливают механизмы защиты от более распространенных техник, таких как фишинг с многофакторной аутентификацией (MFA). Эта эволюция отражает более широкий сдвиг в тактике среди злоумышленников, которые теперь используют потоки авторизации устройств, особенно нацеливаясь на платформы Microsoft 365 и, в меньшей степени, на учетные записи Google через фреймворк OAuth 2.0.

Недавний всплеск активности, связанной с фишингом с использованием кода устройства, коррелирует с публичным выпуском криминальных наборов инструментов и ростом предложений фишинга как услуга (PhaaS), таких как EvilTokens и Tycoon. Эти инструменты были разработаны для упрощения и масштабирования атак фишинга за счет упрощения создания и управления вредоносными приложениями, которые могут запрашивать доступ к учетным записям пользователей. В настоящее время кампании фишинга с использованием кода устройства в основном используют технику, известную как «прыжок при компрометации учетной записи», при которой злоумышленники осуществляют компрометацию начальной учетной записи электронной почты и используют ее для распространения ссылок фишинга на широкую аудиторию.

Заметный сдвиг в оперативном подходе этих атак заключается в динамической генерации кодов устройств в момент взаимодействия пользователя с фишинговой ссылкой, что позволяет обойти предыдущее ограничение, связанное с ограниченным временем действия кода. Это изменение повышает эффективность кампаний, позволяя злоумышленникам захватывать аутентификационные токены, когда пользователь вводит код на доверенных платформах, таких как легитимный портал аутентификации Microsoft.

Недавние кампании продемонстрировали различные методы заманивания жертв, включая электронные письма с вложениями и QR-коды, ведущие на фишинговые целевые страницы. На этих страницах обычно отображается уникальный код устройства, который пользователи должны ввести в интерфейс аутентификации устройств Microsoft. Успешное применение этих тактик может привести к серьезным последствиям, таким как захват учетных записей, кража конфиденциальной информации и компрометация в корпоративных средах.

Исследования выявили несколько вариантов наборов для фишинга с использованием кода устройства, которые демонстрируют сходство с существующими платформами PhaaS, а также обладают уникальными характеристиками, связанными с их операционной настройкой. Одним из примеров является актор TA4903, который перешел от традиционных методов компрометации деловой электронной почты к преимущественному использованию фишинга с кодом устройства, отправляя кажущиеся легитимными сообщения, которые обманом заставляют пользователей вводить свои учетные данные.

Более того, распространение фишинга с использованием кода устройства не ограничивается англоязычными целями, поскольку кампании наблюдались на различных языках, нацеленных на глобальную аудиторию. Эта адаптивность подчеркивает растущую эффективность и привлекательность метода среди киберпреступников.

#ParsedReport #CompletenessMedium
14-05-2026

Kazuar: Anatomy of a nation-state botnet

https://www.microsoft.com/en-us/security/blog/2026/05/14/kazuar-anatomy-of-a-nation-state-botnet/

Report completeness: Medium

Actors/Campaigns:
Turla (motivation: cyber_espionage)
Gamaredon

Threats:
Kazuar
Lolbin_technique
Process_injection_technique
Amsi_bypass_technique
Shadowloader

Victims:
Government, Diplomatic sector, Ministries of foreign affairs, Embassies, Government offices, Defense departments, Defense related companies, Ukraine

Industry:
Military, Government

Geo:
Russia, Russian, Asia, Ukraine

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1007, T1008, T1010, T1016, T1027, T1029, T1041, T1049, T1055, have more...

IOCs:
File: 2
Hash: 4

Soft:
Microsoft Defender, Event Tracing for Windows, Outlook, Microsoft Defender for Endpoint, Twitter

Algorithms:
md5, aes, sha256

Functions:
TaskKill, taskIssue

Win API:
GetMailslotInfo

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kazuar, разработанный российским злоумышленником Secret Blizzard, представляет собой продвинутое модульное P2P ВПО для ботнета, предназначенное для шпионажа и нацеленное на государственные секторы Европы и Центральной Азии, а также на Украину. Его архитектура включает три основных модуля: Kernel, Bridge и Worker, при этом Kernel управляет операциями и техниками уклонения от безопасности. Kazuar использует различные методы доставки, включая загрузчик Pelmeni, и применяет эффективные протоколы связи через Google Protocol Buffers, что позволяет осуществлять обновления в реальном времени и скрытую эксфильтрацию данных.
-----

Kazuar — это сложное ВПО, разработанное российским злоумышленником Secret Blizzard, которое эволюционировало из стандартного бэкдора в модульный пиринговый (P2P) фреймворк ботнета, в первую очередь предназначенный для шпионажа. Это ВПО представляет собой значительное улучшение, направленное на обеспечение постоянного и скрытого доступа к целевым системам, особенно в правительственных и дипломатических секторах Европы и Центральной Азии, а также в Украине. Операционная структура Kazuar включает комбинацию различных модулей, что обеспечивает устойчивость и скрытность благодаря его дизайну.

Архитектура ВПО состоит из трёх основных типов модулей: Kernel, Bridge и Worker. Модуль Kernel служит основным координатором, выдаёт команды и ведёт журналы, а также управляет межмодульной коммуникацией. Он выполняет обширные проверки для обхода мер анализа и песочницы перед созданием рабочей среды со сложным набором конфигурации, включающим более 150 типов, которые определяют возможности коммуникации, выполнения, техник обхода безопасности, timing эксфильтрации данных и управления задачами.

Kazuar использует различные механизмы доставки, включая загрузчик Pelmeni, который связывает зашифрованный полезный груз с целевой средой, обеспечивая выполнение исключительно на предназначенном хосте. Управление конфигурацией осуществляется динамически через сервер C2, что позволяет обновлять его операционные параметры в реальном времени. Модуль Bridge обеспечивает внешнюю связь, выступая в качестве прокси между ядром (Kernel) и инфраструктурой C2, в то время как модули Worker выполняют назначенные задачи, такие как сбор данных и выполнение команд, агрегируя и подготавливая данные для эксфильтрации.

Взаимодействие между модулями структурировано и использует такие механизмы, как именованные каналы и Windows Messaging. Kazuar использует Google Protocol Buffers для эффективного обмена сообщениями и взаимодействия с C2, при этом поддерживаются настраиваемые методы транспорта, включая HTTP и Exchange Web Services. Такая модульная архитектура не только повышает оперативную скрытность, но и применяет техники запланированной эксфильтрации данных, маскируя вредоносную активность под нормальное сетевое поведение.

Общая цель Secret Blizzard — сбор разведывательной информации, с фокусом на системы, способные предоставить данные, релевантные для внешней политики России, особенно через сбор и эксфильтрацию конфиденциальных документов и коммуникаций. Детальный архитектурный дизайн Kazuar и адаптивные стратегии коммуникации иллюстрируют сложную и изощренную угрозу ВПО, отражающую растущие возможности акторов-государств в киберпространстве.

#ParsedReport #CompletenessLow
14-05-2026

Inside a Tor Backed Supply Chain Worm

https://www.cloudsek.com/blog/inside-a-tor-backed-supply-chain-worm

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Xmrig_miner
Hellcat
Shai-hulud

Victims:
Npm ecosystem, Linux developer systems, Ci cd environments, Software supply chain

ChatGPT TTPs:
do not use without manual check
T1027.009, T1036.005, T1059.006, T1078, T1083, T1090.003, T1195.001, T1496, T1497.001, T1543.002, have more...

IOCs:
File: 2

Soft:
systemd, Outlook, Claude, Travis, CircleCI, ledger-live, Linux

Wallets:
atomicwallet

Algorithms:
hmac, aes-cbc, pbkdf2, base64, sha256

Functions:
sendmsg

Win API:
lockfile

Languages:
javascript, rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака на цепочку поставок npm включала пакет с опечаткой «crypto-javascri», предназначенный для сбора учетных данных npm и GitHub, что позволяло злоумышленникам переиздавать троянизированные пакеты, такие как модифицированный клиент Arti Tor. ВПО собирало учетные данные, распространялось через поддерживаемые пакеты и обладало возможностями управления через Tor для скрытой работы. Атака, связанная с злоумышленником Sukob, ассоциируемым с экосистемой вымогателя HellCat, демонстрирует сложную модель распространения, использующую небольшие опечатки в названиях пакетов для компрометации широкой сети.
-----

Был выявлен сложный атакующий сценарий в цепочке поставок npm, связанный с пакетом-омографом под названием "crypto-javascri", который был специально разработан для сбора учетных данных npm и GitHub. Это позволило злоумышленнику использовать скомпрометированные аккаунты разработчиков для скрытого переиздания троянизированных пакетов. Финальным полезным нагрузкой стала вооруженная версия клиента Arti Tor, оснащенная возможностями кражи учетных данных, закрепления и управления (C2) через Tor, что значительно усложняет обнаружение и пресечение атаки.

Атака использует огромный масштаб экосистемы npm, которая обрабатывает миллиарды установок пакетов еженедельно, где даже незначительные ошибки в названиях пакетов могут иметь широкие последствия. 11 мая 2026 года злоумышленник зарегистрировал вредоносный пакет с ошибкой в один символ по сравнению с широко используемой библиотекой "crypto-js", тем самым эксплуатируя распространенную опечатку, которую легко можно было пропустить. После установки пакет, содержавший бинарный файл на Rust, собирал учетные данные из npm и GitHub, а затем интегрировался в каждый пакет, который поддерживал жертва, позволяя ему распространяться без дальнейшей помощи со стороны атакующего.

Вредоносный бинарный файл на Rust представлял собой модифицированную сборку Arti, включающую дополнительный код для кражи учетных данных и криптомайнинга. Он содержал механизмы обеспечения выполнения на машине жертвы, проверял внутренние пути и обращался к конфигурационным файлам, которые запускали внедрение. Структура бинарного файла маскировала его под стандартное приложение, скрывая истинное назначение дополнительного кода. Примечательно, что он проверяет наличие облачной среды и корректно завершает работу, избегая обнаружения в песочницах.

Функция C2 вредоносного ПО была построена на базе сети Tor, обеспечивая как анонимность, так и устойчивость к усилиям по обнаружению. Выбранный метод позволяет оператору перемещать инфраструктуру, сохраняя тот же адрес скрытой службы. Эта возможность затрудняет защитникам блокировку связи, даже по мере эволюции атакующей инфраструктуры.

Операция демонстрирует черты, характерные для злоумышленника, известного как Sukob, который, по слухам, связан с экосистемой вымогательского ПО HellCat. Хотя прямая атрибуция остается неясной, метод работы отражает сходство с предыдущей агрессией, проявленной этой группой. Модель распространения, используемая в данной операции, зеркально отражает известные тактики, при которых одна скомпрометированная машина разработчика становится точкой Компрометации цепочки поставок, затрагивая более широкую сеть пользователей, находящихся на последующих этапах цепочки.

Для борьбы с такими угрозами организациям необходимо отслеживать подозрительные хуки установки npm, проводить аудит несанкционированных публикаций пакетов и обеспечивать безопасность учетных данных. Осведомленность о любой неожиданной активности, связанной с инфраструктурой Tor, имеет решающее значение для раннего обнаружения и реагирования на эти сложные угрозы.

#ParsedReport #CompletenessLow
14-05-2026

Why AMOS matters: The macOS malware stealing data at scale

https://www.sophos.com/en-us/blog/why-amos-matters-the-macos-malware-stealing-data-at-scale

Report completeness: Low

Threats:
Amos_stealer
Clickfix_technique
Macc_stealer
Credential_harvesting_technique
Mainhelper

Victims:
Macos users, Cryptocurrency wallet users

TTPs:
Tactics: 6
Technics: 9

IOCs:
Url: 5

Soft:
macOS, curl, sudo, acOS an, Firefox, Chrome, QEMU, IndexedDB, Unix, Gatekeeper, have more...

Wallets:
ledger_wallet, trezor

Algorithms:
zip, base64

Platforms:
apple

Links:
https://github.com/sophoslabs/IoCs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атомный macOS стиллер (AMOS) — это значимый стиллер, нацеленный на пользователей macOS, использующий тактики социальной инженерии для начальной компрометации, в частности через вводящие в заблуждение команды терминала. Он эксплуатирует уязвимости для извлечения конфиденциальных данных, включая детали Связки ключей и учетные данные браузеров, а также реализует меры противодействия анализу для уклонения от обнаружения. ВПО работает по модели ВПО как услуга, отправляя собранные данные на инфраструктуру, контролируемую злоумышленниками, через серверы управления, адаптируясь к конкретным целям.
-----

Atomic macOS Stealer (AMOS) представляет собой существенную угрозу для пользователей macOS, в первую очередь функционируя как стиллер, который использует техники социальной инженерии для начальной компрометации. Недавний инцидент выявил вариант AMOS, использующий уловку в стиле ClickFix, где пользователей вводят в заблуждение для выполнения команды терминала. Эта техника подчеркивает более широкую тенденцию, наблюдаемую за последний год, когда различные macOS стиллеры применяли подобные обманные методы для заражения.

AMOS приобрел дурную славу благодаря своим впечатляющим статистическим данным, составляя около 40% обновлений защиты macOS за короткий период и почти половину отчетов клиентов, связанных с macOS-стилерами. Это ВПО часто связано с моделью ВПО как услуга (MaaS) и специально разработано для извлечения конфиденциальной информации, включая данные Связки ключей, учетные данные браузеров, информацию автозаполнения и криптовалюты, что все это может использоваться для последующих атак на захват учетных записей.

Жизненный цикл заражения начинается с выполнения пользователем вредоносной команды в Terminal, что приводит к загрузке и выполнению начального скрипта. Последующие этапы включают проверку вредоносным ПО пароля пользователя macOS и запуск вторичной полезной нагрузки для повышения привилегий. Архитектура вредоносного ПО включает рутинные процедуры противодействия анализу, которые проверяют наличие виртуализованных сред для уклонения от обнаружения, а также сбор сельскохозяйственных данных из различных системных профилей. В конечном итоге оно извлекает широкий спектр конфиденциальных данных, которые затем сжимаются и выводятся на инфраструктуру, контролируемую злоумышленниками, часто используя серверы управления (C2) для получения дальнейших инструкций.

AMOS также включает различные конфигурации для расширения возможностей сбора данных, что указывает на его способность адаптироваться к конкретным целям, включая модули сбора конфиденциальной информации, такие как кошельки криптовалют. Эта адаптивность подтверждается повторяющимся поведением, например, постоянным запросом учетных данных, что эффективно принуждает жертв раскрывать свои пароли.

Для обнаружения и предотвращения инцидентов команды безопасности должны знать о характерных признаках активности AMOS, таких как необычные попытки аутентификации, создание временных каталогов и неожиданные исходящие сетевые запросы. Блокировка выполнения команд терминала, инициируемых пользователями, и внедрение надежных мер безопасности, таких как принудительное использование Gatekeeper и мониторинг несанкционированных изменений в LaunchDaemons, являются критически важными шагами для снижения рисков, связанных с данным ВПО.

#ParsedReport #CompletenessHigh
11-05-2026

TeamPCP's Mini Shai-Hulud Is Back: A Self-Spreading Supply Chain Attack Compromises TanStack npm Packages

https://www.stepsecurity.io/blog/mini-shai-hulud-is-back-a-self-spreading-supply-chain-attack-hits-the-npm-ecosystem

Report completeness: High

Actors/Campaigns:
Mini_shai-hulud
Teampcp
Double_tap

Threats:
Supply_chain_technique
Dead_drop_technique
Masscan_tool

Victims:
Tanstack, Uipath, Draftlab, Npm maintainers, Github repositories, Developer machines

Industry:
Aerospace

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1005, T1027, T1036, T1059.006, T1059.007, T1071.001, T1140, T1195.001, T1195.002, have more...

IOCs:
File: 39
Domain: 4
Hash: 3
Email: 1

Soft:
TanStack, Claude, mistralai, o pyth, sudo, HashiCorp Vault, CyberGhost, Kubernetes, macOS, Linux, have more...

Wallets:
electrum, atomicwallet

Algorithms:
sha256, gzip, aes-256-gcm, pbkdf2, aes, rsa-4096, base64

Functions:
beautify, w8, createDecipheriv, TextDecoder, get_pid, createCommitOnBranch

Languages:
python, javascript

Platforms:
intel

Links:
https://github.com/TanStack/router/issues/7383
https://github.com/opensearch-project/opensearch-js/issues/1116
have more...
https://github.com/mistralai/client-ts/issues/217

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка TeamPCP запустила атаки на цепочку поставок с самораспространением, используя червя Mini Shai-Hulud для компрометации пакетов npm в экосистеме TanStack, эксплуатируя перехваченные рабочие процессы GitHub Actions и украденные токены OIDC. Червь проникает в конвейеры CI/CD для кражи учетных данных и заражает других сопровождающих, публикуя вредоносные версии пакетов с действительными аттестациями. Заметные особенности включают обширное сканирование памяти на наличие секретов, методы обфускации и взаимодействие с серверами управления через зашифрованные каналы.
-----

Группировка TeamPCP осуществила сложную атаку на цепочку поставок с самораспространением, используя свой червь Mini Shai-Hulud для компрометации легитимных пакетов npm, особенно в экосистеме TanStack. Эта атака примечательна тем, что использует перехваченные рабочие процессы GitHub Actions, эксплуатируя украденные OIDC-токены для публикации вредоносных версий пакетов, которые содержат действительные аттестации происхождения SLSA Build Level 3, что позволяет зафиксировать первый документально подтвержденный случай, когда червь npm производит легитимно аттестованное вредоносное программное обеспечение.

Червь действует, проникая в конвейер CI/CD для кражи учетных данных, а затем автономно распространяется на других сопровождающих путем публикации зараженных версий пакетов. Вредоносная нагрузка размером около 2,3 МБ напрямую считывает память процесса GitHub Actions Runner для извлечения секретов и конфиденциальных данных из различных сервисов. Он нацелен на более чем 100 путей к файлам в облачных провайдерах, криптокошельках и платформах обмена сообщениями, а также устанавливает механизмы закрепления в инструментах разработчика, таких как Claude Code и VS Code.

Атака включает многоэтапный процесс: начиная с размещения вредоносного полезного груза в ответвлении GitHub, его внедрения в пакеты npm и последующего использования конвейера CI/CD для публикации скомпрометированных версий. Примечательно, что червь использует сложную функциональность для кражи учетных данных, которая не только извлекает секреты из исполнителя GitHub Actions, но и осуществляет целевую кражу учетных данных с облачных вычислительных инстансов и машин разработчиков.

В payload включены расширенные функции, такие как вторичный шифр для обфускации учетных данных, широкие возможности сканирования памяти для выявления маскированных секретов и стратегии уклонения от обнаружения путем запуска в среде выполнения JavaScript, которая менее контролируется, чем стандартная Node.js. Было отмечено, что скомпрометированные пакеты имели необычные размеры — около 900 КБ по сравнению с типичными 190 КБ, что сигнализирует о возможном заражении.

Целями в сети являются службы метаданных AWS EC2 и локальные конечные точки HashiCorp Vault, при этом червь устанавливает каналы управления для связи через зашифрованные каналы. Эксплуатация рабочих процессов GitHub CI/CD подчеркивает значительные уязвимости безопасности, связанные с моделью доверия по умолчанию операций CI/CD.

В ответ на инциденты подчеркивается необходимость усиления бдительности, включая ротацию учетных данных, проверку активности в репозиториях GitHub на предмет аномальных действий после компрометации и аудит токенов доступа npm. Рекомендуется проактивный подход, направленный на развертывание инструментов мониторинга, таких как решения StepSecurity, для более точного выявления вредоносной активности в реальном времени и защиты сред разработки.

#ParsedReport #CompletenessHigh
14-05-2026

Popular node-ipc npm Package Infected with Credential Stealer

https://socket.dev/blog/node-ipc-package-compromised

Report completeness: High

Actors/Campaigns:
Node-ipc_compromise

Threats:
Supply_chain_technique
Typosquatting_technique
Remmina_tool

Victims:
Software development, Cloud infrastructure, Developer environments, Npm users, Node.js applications, Russian federation, Belarus

Industry:
Transport

Geo:
Belarus, Russia

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 26
Domain: 2
IP: 1
Hash: 4

Soft:
Node.js, macOS, Alibaba Cloud, MinIO, Salesforce, Kubernetes, Docker, Helm, Firefox, Linux, have more...

Algorithms:
gzip, xor, base64, sha256

Functions:
setImmediate, unlinkSync, resolveTxt

Languages:
javascript