#ParsedReport #CompletenessMedium
15-05-2026

Welcome to BlackFile: Inside a Vishing Extortion Operation

https://cloud.google.com/blog/topics/threat-intelligence/blackfile-vishing-extortion-operation/

Report completeness: Medium

Actors/Campaigns:
Cordial_spider (motivation: information_theft)
Shinyhunters
Unc6240

Threats:
Aitm_technique
Credential_harvesting_technique

Industry:
Government

Geo:
America, Australia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1059.001, T1059.006, T1078.004, T1083, T1087.004, T1090.002, T1114.002, T1119, have more...

IOCs:
IP: 1
File: 3

Soft:
Zendesk, Salesforce, Microsoft Office, Gmail, ServiceNow, Microsoft Teams, Microsoft Defender, Outlook

Functions:
as

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка UNC6671, также известная как BlackFile, использует голосовой фишинг (vishing) для атак на организации, использующие Microsoft 365 и Okta, применяя техники «противник посередине» (AiTM) для обхода таких мер безопасности, как многофакторная аутентификация. Первоначальный доступ осуществляется через телефонные звонки с социальной инженерией к сотрудникам, что приводит к сбору учетных записей и последующей эксфильтрации конфиденциальных данных с помощью автоматизированных скриптов. Группировка демонстрирует гибкое перемещение внутри компании по платформам SaaS и использует агрессивные тактики вымогательства, включая целевые сообщения с требованием выкупа и спам, что подчеркивает эволюционный характер угроз кибервымогательства.
-----

UNC6671, известный как BlackFile, атакует инфраструктуры Microsoft 365 и Okta, используя техники голосового фишинга (vishing).

Группа использует стратегии «злоумышленник посередине» (AiTM) для обхода многофакторной аутентификации (MFA) и мер безопасности.

Скрипты на Python и PowerShell используются для эффективной эксфильтрации конфиденциальных корпоративных данных из облачных сред.

Первоначальный доступ осуществляется посредством целевых фишинговых звонков, в ходе которых злоумышленники выдают себя за службу технической поддержки, чтобы обманом вынудить сотрудников раскрыть учетные данные.

Жертв перенаправляют на сайты для сбора учетных записей, которые выглядят достоверными благодаря использованию поддоменов.

После проникновения внутрь UNC6671 использует функции единого входа (SSO) для доступа к таким приложениям, как SharePoint и OneDrive.

Группа специализируется на перемещении внутри компании через платформы SaaS, фокусируясь на ценных данных, включая конфиденциальные документы и электронные письма.

Автоматизированные скрипты используются для эксфильтрации данных, с использованием легитимных сессионных файлов cookie, полученных в ходе фишинга по телефону (vishing).

Криминалистический анализ выявляет аномалии в журналах доступа, такие как несоответствия User-Agent, указывающие на скриптовую активность.

После кражи данных UNC6671 отправляет вымогательские записки со строгими сроками и эскалирует угрозы через целевые коммуникации.

Модель вымогательства включает агрессивные тактики последующего давления, такие как спам-кампании и угрожающие голосовые сообщения, с целью оказания давления на жертв.

Несмотря на закрытие своего сайта для утечки данных, тактика UNC6671 отражает эволюционирующие методы киберэкстремизма, делая акцент на краже данных из облачных сервисов.

Организациям рекомендуется усилить защитные меры, включая защиту учетных данных и решения многофакторной аутентификации (MFA), устойчивые к фишингу, для противодействия угрозам, ориентированным на идентификацию.

#ParsedReport #CompletenessLow
15-05-2026

Gremlin Stealer's Evolved Tactics: Hiding in Plain Sight With Resource Files

https://unit42.paloaltonetworks.com/gremlin-stealer-evolution/

Report completeness: Low

Threats:
Gremlin_stealer
Agent_tesla
Cloudeye
Loki_bot
Quasar_rat

Victims:
Financial services, Cryptocurrency users, Communication platforms, Web browser users

ChatGPT TTPs:
do not use without manual check
T1005, T1027.002, T1027.013, T1071.001, T1115, T1140, T1185, T1528, T1560

IOCs:
Hash: 11
File: 3
Url: 1

Soft:
Telegram, Discord

Algorithms:
sha256, zip, xor

Functions:
a, c

Languages:
csharp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО-стилер Gremlin эволюционировал, получив улучшенные методы обфускации и скрытности, теперь он использует передовые утилиты упаковки и виртуализацию инструкций, что трансформирует его код для обхода инструментов статического анализа. Эта вариация нацелена на сбор конфиденциальной информации из веб-браузеров, буфера обмена и локального хранилища, эксфильтрация данных осуществляется через новые серверы управления (command-and-control) с использованием ZIP-архивов для передачи. Примечательно, что его возможности включают перехват сессий через WebSocket и функцию крипто-клиппера, которая манипулирует данными из буфера обмена (Clipboard Data) во время криптовалютных транзакций, что подчеркивает его сложную и многогранную природу угрозы.
-----

Вредоносное ПО Gremlin stealer значительно эволюционировало в тактиках, особенно в области обфускации и методов скрытности. Недавний анализ выявил, что новый вариант этого ВПО использует передовые утилиты упаковки, которые включают виртуализацию инструкций, преобразующую традиционный код в уникальный байт-код. Этот инновационный подход, в сочетании с внедрением вредоносной полезной нагрузки в раздел ресурсов .NET, позволяет ему избегать обнаружения инструментами статического анализа. Полезная нагрузка защищена через XOR-кодирование, что усложняет её распознавание методами обнаружения на основе сигнатур.

Этот последний вариант нацелен на конфиденциальную информацию на различных платформах, особенно на веб-браузеры, системный буфер обмена и локальное хранилище. Он установил связь с новым сервером управления, который в настоящее время не обнаружен на основных платформах разведки угроз. Stealer Gremlin компилирует похищенные данные в ZIP-архивы, названные в соответствии с публичным IP-адресом жертвы, и загружает эту информацию на сайт, контролируемый злоумышленником.

Сравнительно, недавние версии Gremlin stealer демонстрируют значительное усиление возможностей противодействия анализу. Более старые версии не обладали сложными стратегиями обфускации, которые применяются сейчас. ВПО превратилось в модульный набор инструментов с расширенными возможностями, такими как выделенный модуль для извлечения токенов Discord, что указывает на смещение фокуса на цифровые идентичности. Дальнейшие улучшения включают активный компонент финансового мошенничества, известный как криптоклиппер, который отслеживает системный буфер обмена на наличие адресов криптовалютных кошельков и заменяет их в реальном времени на кошелек атакующего во время транзакций.

Значительным улучшением является возможность перехвата сессий на основе WebSocket, позволяющая Gremlin stealer захватывать контроль над активными сессиями браузера и обходить текущие защиты на основе cookie. Такие усовершенствования подчеркивают сложные методы, применяемые для обхода современных мер безопасности.

Использование коммерческого упаковщика дополнительно демонстрирует сложность вредоносного ПО. Кодируя критические строки и применяя функцию декодирования, оно обеспечивает скрытие ключевых идентификаторов и URL-адресов, тем самым препятствуя простым попыткам статического анализа. Аналитики вынуждены применять динамический анализ для расшифровки реальных намерений ВПО.

В конечном итоге эволюция Gremlin stealer демонстрирует переход от простого инструмента кражи учетных данных к многогранной угрозе, которая активно занимается финансовым мошенничеством и перехватом сессий. Нацеливаясь на современные платформы связи и применяя передовые техники уклонения, Gremlin stealer представляет повышенный риск для пользователей, что требует бдительности и усиления защиты от таких развивающихся угроз.

#ParsedReport #CompletenessMedium
15-05-2026

TeamPCP supply chain attack hits TanStack

https://www.threatlocker.com/blog/teampcp-supply-chain-attack-hits-tanstack

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Supply_chain_technique
Credential_stealing_technique
Shai-hulud

Victims:
Tanstack, Npm, Pypi, Software development

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1036, T1059.007, T1071.001, T1195.001, T1195.002, T1485, T1528, T1543.001, have more...

IOCs:
File: 10
Hash: 4
Domain: 6
Url: 3
IP: 1

Soft:
TanStack, Anthropic, claude, Kubernetes, Linux, macOS, HashiCorp Vault

Algorithms:
sha256, pbkdf2

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
11 мая 2026 года атака на цепочку поставок со стороны TeamPCP на TanStack скомпрометировала 84 вредоносные версии пакетов npm через ряд уязвимостей в конвейере CI/CD, эксплуатируя GitHub Actions с использованием функции pull_request_target и отравления кэша. Атака включала подготовку вредоносного payloads для избежания обнаружения и выполнение червя, крадущего учетные данные, известного как Mini Shai-Hulud, который распространял свои копии через захваченные права публикации и захватывал конфиденциальную информацию разработчиков. Червь поддерживал закрепление с помощью различных системных методов, создавая серьезные риски для затронутых сред.
-----

11 мая 2026 года значительная атака на Цепочку поставок, приписываемая TeamPCP, затронула TanStack, скомпрометировав 84 вредоносных версии 42 пакетов npm. Эта атака использовала функцию pull_request_target в GitHub Actions без изменения рабочего процесса публикации или прямого кражи токенов npm. Вместо этого она выполнила сложную цепочку из трех уязвимостей в конвейере Continuous Integration/Continuous Deployment (CI/CD): злоупотребление триггером pull_request_target, отравление кэша в рамках GitHub Actions и извлечение токена OIDC из памяти исполнителя GitHub Actions.

Атака началась с размещения вредоносного кода в коммите внутри форка TanStack/router, созданного злоумышленником. Этот форк был разработан для обхода обнаружения, используя префикс "skip ci" для предотвращения выполнения автоматизированных процессов непрерывной интеграции при отправке изменений. Открывая запрос на слияние (pull request) в основной репозиторий, атакующий использовал контекст безопасности репозитория для выполнения вредоносного кода.

Следующий этап включал эксплуатацию кэша, где манипулированный кэш намеренно изменял pnpm-store. Этот кэш затем сохранялся и впоследствии восстанавливался во время следующего легитимного запуска рабочего процесса, что позволяло публиковать вредоносные пакеты с действительной провенансностью SLSA Build Level 3. Они передавались в реестр npm с использованием украденных OIDC-токенов, обходя регулярные проверки безопасности и выглядя как легитимные действия публикации.

Червь для кражи учетных данных Mini Shai-Hulud, являющийся эволюцией более ранних атак Shai-Hulud, стал основным полезным нагрузкой. Передача этого червя опиралась на использование перехваченных прав публикации для распространения дополнительных вредоносных версий пакетов, что способствовало его распространению в доверенных экосистемах. Он имеет продвинутый механизм захвата конфиденциальной информации — включая токены разработчиков и секреты рабочих процессов CI/CD — путем создания публичных репозиториев GitHub с вводящими в заблуждение описаниями.

Для поддержания закрепления червь использует различные техники, включая развертывание скриптов в определенных каталогах на затронутых системах и настройку macOS LaunchAgents и Linux systemd-сервисов. При обнаружении отзыва токенов эти скрипты могут запускать деструктивные действия, такие как удаление домашнего каталога пользователя. Затронутые системы следует считать полностью скомпрометированными; рекомендуется немедленный отзыв любых раскрытых секретов и удаление механизмов закрепления для снижения дальнейших рисков.

#ParsedReport #CompletenessLow
15-05-2026

Malicious Homebrew ads are spreading MacSync stealer

https://moonlock.com/homebrew-ads-spreading-macsync

Report completeness: Low

Threats:
Macc_stealer
Clickfix_technique

Victims:
Mac users, Cryptocurrency

ChatGPT TTPs:
do not use without manual check
T1036, T1059.004, T1105, T1204.001, T1204.004, T1548.004

IOCs:
Domain: 1
Url: 3

Soft:
Claude, macOS

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки с использованием крадущего ПО MacSync эксплуатируют вредоносную рекламу и социальную инженерию для нацеливания на пользователей macOS. Киберпреступники используют Google Ads для перенаправления пользователей на поддельные сайты, имитирующие доверенные платформы, такие как Homebrew, где они могут загрузить ВПО, замаскированное под установочные скрипты. Эта уязвимость позволяет злоумышленникам получать конфиденциальные данные, такие как информация о кошельках криптовалют, путем введения пользователей в заблуждение с целью выполнения скриптов, запрашивающих пароль системы, без установки какого-либо легитимного программного обеспечения.
-----

Недавние киберугрозы, связанные со стиллером MacSync, подчеркивают постоянные риски, связанные с вредоносной рекламой и тактиками социальной инженерии, направленными на пользователей macOS. Киберпреступники используют Google Ads для продвижения поддельных веб-сайтов, которые имитируют доверенные платформы, в частности Homebrew, чтобы заманить пользователей на загрузку вредоносного ПО MacSync. Этот стиллер особенно опасен, так как его цель — извлечение конфиденциальных данных, включая информацию о криптографических кошельках, после успешного проникновения в систему Mac.

Атака начинается с того, что пользователи ищут Homebrew в Google и переходят по обманчивой рекламе, которая появляется в верхней части результатов поиска. Фейковый сайт обычно показывает якобы легитимные инструкции по установке, часто описывая методы ClickFix, но выполнение предоставленного скрипта в терминале Mac запускает установку стиллера MacSync. Этот процесс часто включает подозрительное всплывающее окно с запросом системного пароля пользователя — тактика, используемая для получения доступа к конфиденциальным данным. В отличие от традиционных установок программного обеспечения, эти вредоносные скрипты не устанавливают никакого легитимного ПО вместе со стиллером, что является критическим признаком злонамеренных действий.

Выявлены две конкретные кампании ClickFix MacSync. Одна из них включает скрипт, размещенный на домене nycaihong.com, а другая связана с glowmedaesthetics.com для загрузки вредоносного кода. Сообщается, что сайты-носители претерпели изменения, скрывая свое первоначальное злонамеренное назначение. Расследования показывают, что несколько аккаунтов Google Ads активно используются для распространения этих угроз, при этом наблюдаются постоянные изменения в доменной инфраструктуре и контенте, направленные на обход мер безопасности.

Для снижения рисков, связанных с такими типами киберугроз, пользователям рекомендуется проявлять бдительность в своем онлайн-поведении. К основным мерам предосторожности относятся скептическое отношение к рекламе в Google и воздержание от ввода системных паролей во время установки программного обеспечения, поскольку легитимные установки не должны требовать таких учетных данных. Хотя бдительность имеет решающее значение, рекомендуется внедрять решения безопасности, такие как Moonlock, которые, как утверждается, обеспечивают дополнительный уровень защиты за счет мониторинга терминальных скриптов и файлов на наличие потенциальных угроз. Оно может изолировать подозрительные действия, проводить регулярные сканирования и повышать общий уровень безопасности.

В заключение, эволюционирующие тактики преступных группировок, использующих стилер MacSync, подчеркивают необходимость повышения уровня безопасности и принятия проактивных мер среди пользователей macOS, особенно в контексте онлайн-взаимодействий и установки программного обеспечения.

#ParsedReport #CompletenessHigh
14-05-2026

How TeamPCP's Python Toolkit Survives a C2 Takedown: FIRESCALE, GitHub, and the Victim's Own Account

https://hunt.io/blog/teampcp-python-toolkit-firescale-github-c2-takedown

Report completeness: High

Actors/Campaigns:
Teampcp
Mini_shai-hulud
Voicproducoes

Threats:
Firescale
Dead_drop_technique
Adaptixc2_tool
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software developers, United states government agencies, Defense contractors

Industry:
Government

Geo:
Luxembourg, Russian, Iran, Iranian, Israeli, Israel

TTPs:
Tactics: 10
Technics: 19

IOCs:
IP: 7
Url: 4
File: 1
Hash: 11

Soft:
Linux, 1Password, Bitwarden, Kubernetes, HashiCorp Vault, systemd, Xinference, TanStack, Docker, Ubuntu, have more...

Algorithms:
cbc, aes-gcm, aes-cbc, aes-256, sha256, aes-256-gcm, base64

Functions:
SSM, Store

Languages:
python

Links:
have more...
https://api.github.com/search/commits?q=FIRESCALE

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Комплект инструментов Python TeamPCP представляет собой сложную киберугрозу, нацеленную на настоящие среды разработки путем проверки наличия ОС Linux, русского локального окружения и количества ядер процессора перед выполнением. Он использует жестко закодированный основной сервер C2 (83.142.209.194) и механизм устойчивости под названием FIRESCALE для обеспечения непрерывности связи через методы резервирования, включая запрос к GitHub для получения URL-адресов серверов. Инструментарий является модульным, что позволяет одновременно извлекать данные из различных источников, и имеет «геополитический уничтожитель», который активируется на израильских или иранских системах для удаления файлов, демонстрируя продуманный операционный дизайн и фокус на учетных данных правительств США.
-----

Набор инструментов TeamPCP на Python развёртывается как вторичная полезная нагрузка после установки троянизированных пакетов npm и PyPI.

Набор инструментов проводит проверку окружения и завершает работу, если обнаружена операционная система, отличная от Linux, русская локаль или низкое количество ядер процессора.

Он использует жёстко заданный основной адрес сервера управления (83.142.209.194) для связи с каналом управления.

Механизм устойчивости под названием FIRESCALE активируется, если основной адрес C2 недоступен, и выполняет запрос к публичному GitHub для получения действительного URL-адреса резервного сервера.

Верификация FIRESCALE включает встроенный RSA-ключ для поддержания связи с затронутыми системами.

Эксфильтрация структурирована в три уровня: основной сервер C2, мёртвая точка FIRESCALE и прямая загрузка в собственный репозиторий GitHub жертвы.

Набор инструментов нацелен на регионы AWS GovCloud, фокусируясь на учетных данных правительственных структур США и оборонных подрядчиков.

Он собирает конфиденциальную информацию, включая переменные окружения, SSH-ключи и учетные данные из запущенных контейнеров Docker.

Функция «геополитического стиральщика» предназначена для активации на израильских или иранских системах, удаляя файлы и воспроизводя громкий звук.

Модульная структура позволяет параллельное выполнение до 13 модулей для одновременного сбора учетных записей с различных платформ.

Модули могут извлекать данные из таких источников, как 1Password, Bitwarden, AWS Secrets Manager и конфигурации Kubernetes.

Инфраструктура оператора подключена к более широкой сети контролируемых серверов, что указывает на устойчивую операционную способность.

Набор инструментов использует шифрование AES-GCM и обёртывание ключей RSA, что демонстрирует продвинутые криптографические знания при его разработке.

#ParsedReport #CompletenessMedium
14-05-2026

Backdoored node-ipc npm releases steal developer credentials through DNS queries

https://securitylabs.datadoghq.com/articles/node-ipc-npm-malware-analysis/

Report completeness: Medium

Actors/Campaigns:
Node-ipc_compromise

Threats:
Supply_chain_technique

Victims:
Software development, Cloud services, Continuous integration, Developer workstations, Build systems

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1030, T1041, T1059.007, T1071.004, T1082, T1132.001, T1132.002, T1140, T1195.001, have more...

IOCs:
File: 12
IP: 2
Hash: 4

Soft:
Kubernetes, node.js, macOS, Firefox, Linux, Microsoft Teams, twitter, K8s

Algorithms:
base64, sha256, gzip, xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
14 мая 2026 года в репозитории npm были выпущены версии пакета node-ipc (9.1.6, 9.2.3, 12.0.1), содержащие бэкдоры и внедряющие ВПО, которое при загрузке выполняет сбор и эксфильтрацию учетных данных. Пейлоад, использующий технику эксфильтрации на основе DNS, отправляет конфиденциальную информацию на удаленную конечную точку посредством DNS TXT-запросов через порт 443, маскируя коммуникацию с помощью gzip-сжатия, base64-кодирования и операций XOR. После запуска ВПО порождает дочерние процессы для сбора конфиденциальных файлов и систематически передает данные, что затрудняет обнаружение.
-----

14 мая 2026 года в репозиторий npm были опубликованы три вредоносные версии пакета node-ipc, а именно 9.1.6, 9.2.3 и 12.0.1. Каждая из этих версий содержала поддельный файл node-ipc.cjs, который при загрузке пакета через точку входа CommonJS выполнял полезную нагрузку для сбора и эксфильтрации учетных данных. ВПО было разработано для сбора широкого спектра конфиденциальной информации, включая переменные окружения, данные о хосте и различные файлы учетных данных, связанные с разработчиками, облачными сервисами, системами контроля версий и базами данных. Примечательно, что полезная нагрузка не полагалась на сценарии жизненного цикла npm для выполнения, что вызывает опасения относительно ее скрытности.

Метод эксфильтрации использовал подход на основе DNS, который позволял ВПО отправлять собранные данные через DNS TXT-запросы на удаленный конечный узел, идентифицированный как sh.azurestaticprovider.net на порту 443. Этот порт не является стандартным для DNS-трафика, что указывает на попытку скрыть свои коммуникации. ВПО создает gzip-архив tar из захваченных данных, переименовывает его содержимое в соответствии с определенным шаблоном для компактности, а затем выполняет DNS-запросы с закодированными именами запросов, полученными из данных.

При запуске бэкдор создает отсоединенный дочерний процесс, систематически извлекает конфиденциальные файлы и инициирует процесс эксфильтрации. Пейлоад разрешает вышеупомянутую DNS-конечную точку через публичные DNS-резолверы и отправляет метаданные архива пакетами, хитро кодируя данные в процессе. Трансформация включает кодирование base64 и операции XOR для сокрытия фактического содержимого, что затрудняет обнаружение.

Обнаружение этой вредоносной активности может включать мониторинг процессов Node.js, которые загружают скомпрометированные версии node-ipc и проявляют необычное поведение, такое как создание дочерних процессов или выполнение неожиданных DNS-запросов. В частности, командам следует обращать внимание на DNS-разрешения к конечной точке бэкдора, операции с файлами, указывающие на доступ к файлам учетных данных, а также на любые аномальные шаблоны DNS-трафика, которые могут свидетельствовать о связи с известными вредоносными узлами.

Для смягчения угрозы немедленные шаги по сдерживанию должны включать sinkholing DNS для домена sh.azurestaticprovider.net и внедрение контроля исходящего трафика для предотвращения прямых DNS-запросов к неутвержденным резолверам. Все среды, загрузившие скомпрометированные версии, следует рассматривать как потенциальные нарушения, что приводит к таким действиям, как удаление затронутого пакета, ротация любых раскрытых учетных данных и тщательная проверка токенов безопасности, связанных с контролем исходного кода и облачной инфраструктурой.

#ParsedReport #CompletenessLow
15-05-2026

Mini Shai-Hulud: The Worm Returns and Goes Public

https://www.akamai.com/blog/security-research/2026/may/mini-shai-hulud-worm-returns-goes-public

Report completeness: Low

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique

Victims:
Npm ecosystem, Software supply chain, Developer organizations, Open source software projects

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1195.001, T1485, T1528, T1546, T1550.001, T1552, T1552.001, T1567.001

IOCs:
File: 8
Domain: 1

Soft:
TanStack, OpenSearch, Trivy, Claude, LINUX, CyberGhost, EarthVPN, Kubernetes, vscode

Crypto:
bitcoin

Algorithms:
ed25519

Functions:
getCA

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
11 мая 2026 года кампания червя Shai-Hulud нацелилась на экосистему npm, используя техники отравления кэша CI и уязвимости в конечной точке OpenID Connect npm, затронув зависимости, такие как TanStack и другие, связанные с Mistral AI, UiPath и OpenSearch. ВПО, приписываемое TeamPCP, применяет передовые тактики, такие как эксплуатация неправильных конфигураций GitHub Action для получения доступа на запись, постоянное кражу учетных записей и установление C2-коммуникаций через репозитории GitHub. Его функции включают агрессивный сбор учетных записей из AWS и Kubernetes, а также распространение путем вставки вредоносных файлов в ветки GitHub, что представляет значительные риски для цепочек поставок программного обеспечения.
-----

11 мая 2026 года новая волна кампании червя Shai-Hulud нацелилась на экосистему npm, в частности затронув дерево зависимостей TanStack. Атака характеризовалась техникой отравления кэша непрерывной интеграции (CI) и эксплуатацией конечной точки публикации npm на основе OpenID Connect (OIDC). Эта кампания быстро вышла за пределы TanStack, затронув несколько пакетов npm, связанных с Mistral AI, UiPath и OpenSearch. Вскоре после атаки вредоносный код, связанный с червем Shai-Hulud, стал общедоступным в новых репозиториях GitHub.

Злоумышленная деятельность приписывается группе TeamPCP, ранее связанной с различными инцидентами безопасности, включая инцидент с Trivy в марте 2026 года. Эта волна червя включает в себя передовые тактики, такие как эксплуатация неправильных конфигураций в рабочих процессах pull request в GitHub Actions, что позволило злоумышленникам получить доступ на запись к кэшу CI репозитория.

Функциональность ВПО распространяется на различные среды разработки, включая хуки сессий Claude Code и автоматизацию задач VS Code, что обеспечивает закрепление даже после выполнения команды npm uninstall. Червь Shai-Hulud выполняет набор структурированных фаз. Изначально, на фазе проверки «preflight», он определяет, работает ли он в контексте конкретных пакетов, таких как opensearch-js, внедряет бэкдоры и пытается украсть учетные данные, а также проверяет языковую настройку системы (завершает работу, если она установлена на русский язык).

На следующем этапе, называемом «Быстрые победы», червь активно собирает учетные данные из известных мест и пытается выполнить команды, которые могут раскрыть конфиденциальную информацию. Затем он устанавливает каналы управления (C2), сначала путем прямого контакта с основным сервером, а в случае неудачи — путем создания новых репозиториев GitHub для эксфильтрации данных.

ВПО усиливает фокус на сбор учетных записей на платформах, таких как AWS и Kubernetes, демонстрируя свою способность перебирать различные секреты и конфигурации. Оно даже ищет кошельки Bitcoin, конкретно нацеливаясь на файлы wallet.dat. Механизм распространения червя примечателен; он пытается распространяться, вставляя вредоносные файлы в несколько веток GitHub, особенно в папках, связанных с инструментами ИИ.

Отличительной особенностью ВПО является «переключатель мертвого человека», который каждую минуту проверяет ротацию токенов и удаляет определенные файлы из системы при обнаружении таких изменений. Эта текущая волна подчеркивает обширный и продвинутый подход TeamPCP к краже учетных данных и их решимость эксплуатировать рабочие процессы разработчиков, что имеет значительные последствия, особенно с учетом публичного выпуска кода червя. Эта уязвимость позволяет другим злоумышленникам потенциально перенимать и модифицировать эти тактики для дальнейшей злонамеренной деятельности, усиливая риск в средах цепочки поставок программного обеспечения.