#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники усовершенствовали киберугрозу ClickFix, используя запланированные задачи для закрепления и SOCKS5-прокси PySoxy для зашифрованного доступа, перейдя к модульной технике постэксплуатации. Внедрение начинается с команды PowerShell, запущенной в результате социальной инженерии, которая обеспечивает закрепление, позволяя осуществлять удаленный доступ и разведку с помощью встроенных инструментов Windows для оценки среды перед развертыванием прокси PySoxy. Этот прокси выполняется из нестандартного каталога, чтобы скрыть свою активность, что указывает на целенаправленную и организованную стратегию злоумышленников.
-----

Наблюдается новое развитие киберугрозы ClickFix, при котором злоумышленники используют комбинацию запланированных задач для закрепления и PySoxy — десятилетней давности открытого SOCKS5-прокси — для создания зашифрованного прокси-доступа. Этот новый подход знаменует собой отход от традиционного однократного события выполнения, характерного для тактик ClickFix, что позволяет реализовать то, что можно назвать модульной постэксплуатацией. Используя PySoxy, злоумышленники получают дополнительный метод доступа через зашифрованное управление, избегая зависимости от известных ВПО и инструментов удаленного мониторинга.

Внедрение начинается с того, что пользователь выполняет看似 безобидную команду PowerShell в результате социальной инженерии, что запускает цепочку событий, обеспечивающих закрепление через запланированные задачи. Эти запланированные задачи гарантируют, что даже если исходящие подключения к инфраструктуре злоумышленника заблокированы, атака может продолжаться за счет повторных попыток выполнения. Скрипт PowerShell функционирует не только как загрузчик, но и как легковесный инструмент удаленного доступа, способный опрашивать наличие команд и позволять злоумышленнику поддерживать активную сессию с скомпрометированным хостом.

Атака включает разведку после первоначального выполнения, где встроенные инструменты Windows используются для оценки скомпрометированной среды — сбора информации, такой как членство в группах, роли в домене и идентификация потенциальных целей. Эта разведка закладывает основу для развертывания прокси PySoxy, который повышает оперативную гибкость атакующего, создавая второй канал доступа.

При внедрении PySoxy он выполняется из нестандартного каталога, а его работа искусно маскируется под рутинную активность Python. Злоумышленники обеспечивают доступность необходимой инфраструктуры перед развертыванием этого дополнительного слоя. Выполнение происходит сразу после операций PowerShell и настройки запланированных задач, что указывает на тщательно спланированную стратегию, а не на оппортунистические действия.

Для защитников вызов, который представляет этот метод атаки, является значительным. Наличие запланированной задачи означает, что завершение действий по динамическому сдерживанию угроз не может опираться исключительно на обнаружение и блокировку первоначального обратного вызова. Защитные меры должны включать изоляцию скомпрометированных хостов, проверку запланированных задач и поиск аномальных выполнений команд Python, особенно тех, которые связаны с поведением, характерным для прокси. Фокус исключительно на заблокированных соединениях не решает проблему механизмов закрепления, которые поддерживают работу атаки.

#ParsedReport #CompletenessLow
22-05-2026

ShinyHunters Delivers Outsized Impact

https://reliaquest.com/blog/threat-spotlight-ransomware-and-cyber-extortion-in-q1-2026/

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: financially_motivated, information_theft)
Gentlemen_ransomware
Alp-001 (motivation: financially_motivated, information_theft)

Threats:
Aitm_technique
Akira_ransomware
Qilin_ransomware
0apt_syndicate
Supply_chain_technique
Ransomhub
Blackcat
Disabling_antivirus_technique
Inc_ransomware
Credential_harvesting_technique

Victims:
Large enterprises, Legal services, Law firms, Critical infrastructure, Health care, Finance, Banking, Manufacturing, United states, India, have more...

Industry:
Financial, Critical_infrastructure, Healthcare

Geo:
Thailand, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1021.002, T1078, T1078.004, T1098, T1133, T1190, T1213, T1484.001, T1557, have more...

Soft:
Salesforce, Linux, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShinyHunters стали одним из наиболее значимых акторов угроз в 2026 году, используя intrusion-операции, ориентированные на компрометацию цифровых идентичностей (identity-first intrusions), а также SaaS-native методы хищения данных. Основной фокус группы — кража данных и вымогательство без применения традиционных ransomware-тактик.

В качестве основных векторов первоначального доступа злоумышленники используют vishing-атаки с применением подмены Caller ID и фишинговых сайтов. В результате ими было развернуто около 500 фишинговых доменов, а учетные данные жертв похищались с использованием техник adversary-in-the-middle (AiTM).

Группа также эксплуатирует ошибки конфигурации в таких платформах, как Salesforce, компрометируя учетные записи и извлекая чувствительную информацию через API и механизмы массовой выгрузки данных. Активность ShinyHunters подчеркивает необходимость повышенной бдительности и адаптации защитных мер к их постоянно эволюционирующим тактикам.-----

ShinyHunters стал значимым злоумышленником в первом квартале 2026 года, используя атаки с первичным захватом учётных данных и методы кражи данных, характерные для SaaS-среды.

Группа сосредоточена на краже данных и вымогательстве, не развертывая вредоносные шифровальщики, и нацелена на среды с ограниченной видимостью безопасности.

Основные методы доступа включают атаки vishing, при которых злоумышленники выдают себя за сотрудников службы технической поддержки IT для получения учетных данных.

Они используют поддельные Caller ID и фишинг-сайты, имитирующие доверенные сервисы, что помогает им обходить корпоративные меры безопасности.

Обнаружено около 500 фишинг-доменов, связанных с ShinyHunters, что увеличивает их доступ к бизнес-данным.

Техники «злоумышленник посередине» (AiTM) используются для быстрого захвата учётных данных и доступа к устройствам многофакторной аутентификации (MFA).

Попав внутрь, они используют подключения единого входа (SSO) для доступа к таким платформам, как Salesforce и SharePoint, извлекая конфиденциальную информацию через API или массовые загрузки.

ShinyHunters неправильно настраивает Salesforce Experience Cloud с модифицированным инструментом AuraInspector для взлома сотен учетных записей без взаимодействия с пользователем.

Другие группировки вымогателей, такие как Akira и Qilin, продолжают свою деятельность, в то время как новые акторы, такие как хакерская группировка The Gentlemen, демонстрируют повышенную активность.

0APT и ALP-001 — сомнительные сайты утечек, оказывающие давление на предприятия с потенциально сфабрикованными утверждениями.

Организациям рекомендуется усилить киберзащиту от компрометации идентификации, эксплуатации внешних сервисов и латерального перемещения через административные протоколы.

Рекомендуется внедрение надежных политик доступа, повышение осведомленности о рисках, связанных с фишингом через голосовую связь (vishing), а также активный мониторинг журналов SaaS на предмет необычной активности.

Давление со стороны программ-вымогателей сместилось: организациям необходимо быстро проверять вымогательские требования, одновременно адаптируя защиту к эволюционирующим тактикам.

Проактивные меры должны быть сосредоточены на поведении, способствующем проникновению, а не только на выявлении злоумышленников, чтобы повысить устойчивость к постоянным угрозам программ-вымогателей.

#ParsedReport #CompletenessHigh
22-05-2026

Cloud Atlas activity in the second half of 2025 and early 2026: new tools and a new payload

https://securelist.com/cloud-atlas-2026/119895/

Report completeness: High

Actors/Campaigns:
Cloudatlas
Head_mare

Threats:
Revsocks_tool
Vbcloud_tool
Powershower_tool
Kerberoasting_technique
Shadow_copies_delete_technique
Uac_bypass_technique
Paexec_tool
Ps2exe_tool
Phantomheart
Reversesocks_tool

Victims:
Government agencies, Diplomatic entities, Commercial companies

Industry:
Government

Geo:
Belarus, Russia, Russian

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1003.004, T1005, T1018, T1021.001, T1027, T1036, T1036.008, T1041, T1057, have more...

IOCs:
File: 50
Hash: 69
Domain: 26
IP: 19

Soft:
Microsoft Office, Active Directory, Remote Desktop Services, PsExec, OpenSSH, Tor Browser, Chrome, Firefox, Windows ime, Windows setup, have more...

Algorithms:
base64, rc4, md5, zip

Functions:
WriteToSchedulerKillSSH, WriteToSchedulerGenerateKey

Win Services:
BITS

Languages:
powershell, python, golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 и начале 2026 года хакерская группировка Cloud Atlas атаковала государственные и коммерческие организации в России и Беларуси, применяя сложный подход, включавший туннелирование SSH и новые инструменты. Их тактика заключалась в распространении ZIP-архивов, содержащих вредоносные LNK-файлы, которые выполняли скрипты PowerShell, что приводило к установке бэкдоров VBCloud и PowerShower, ориентированных на кражу данных и разведку в сети. Группировка также использовала техники перемещения внутри компании и новые инструменты, такие как PowerCloud, для сбора пользовательских данных, демонстрируя свои развивающиеся угрозы.
-----

Во второй половине 2025 года и начале 2026 года хакерская группировка Cloud Atlas APT group проводила масштабные операции по созданию SSH-туннелей, нацеленные на государственные организации и коммерческие структуры в России и Беларуси. Это расследование выявило новые инструменты и тактики, используемые группировкой, которая активна с 2014 года. Одна из значимых техник заключалась в распространении ZIP-архивов, содержащих вредоносные LNK-файлы, которые запускают скрипты PowerShell, что стало отходом от их предыдущей зависимости от вредоносных документов, эксплуатирующих уязвимость Microsoft Office (CVE-2018-0802).

Первоначальный вектор заражения, используемый Cloud Atlas, в основном опирался на фишинг, при этом злоумышленники отправляли ZIP-файл, содержащий LNK-файл, предназначенный для выполнения сценариев PowerShell из внешних источников. Сценарии PowerShell выполняли ряд действий, включая настройку механизмов закрепления, запуск документов-приманок для отвлечения пользователей и загрузку полезной нагрузки с удаленных серверов. Основной сценарий, называемый Fixed.ps1, обеспечивал установку двух ключевых компонентов ВПО: бэкдора VBCloud и бэкдора PowerShower.

Компонент VBCloud функционирует как дроппер, доставляющий основной модуль бэкдора, нацеленный на различные типы файлов для кражи, включая форматы документов и электронных таблиц. Бэкдор PowerShower сфокусирован на разведке внутри сети жертвы, позволяя выполнять такие действия, как сбор информации о запущенных процессах и выполнение атак Керберостинг для захвата паролей хэшей из учетных записей Active Directory.

В тактиках перемещения внутри компании Cloud Atlas использовал скрипты, предназначенные для разрешения нескольких RDP-сессий путем патчинга файла termsrv.dll. Они также создавали обратные SSH-туннели с использованием различных утилит, включая кастомные версии OpenSSH и инструмент на базе Golang под названием RevSocks, что усиливало их способность поддерживать контроль над скомпрометированными сетями. Эти функции позволяли им устанавливать дополнительные инструменты и получать доступ к конечным точкам, минимизируя риск обнаружения.

Помимо традиционных функций бэкдора, злоумышленники внедрили новый инструмент PowerCloud, который собирает пользовательские данные с повышенными привилегиями и передает эту информацию в Google Sheets в закодированном формате. Кроме того, был замечен скрипт проверки браузеров, который оценивает, работают ли распространенные браузеры, что позволяет злоумышленникам выбирать оптимальное время для своих вредоносных действий на основе паттернов активности пользователей.

Данные телеметрии указывают на то, что данная кампания в первую очередь нацеливалась на секторы в России и Беларуси, в частности на государственные и дипломатические организации, что соответствует историческому фокусу Cloud Atlas. Эволюционирующие тактики группы, включая сложное использование обратного SSH, туннелирования Tor и новых инструментов, подчеркивают их продолжающуюся угрозу для ландшафта угроз. Мониторинг их деятельности остается критически важным, поскольку их возможности указывают на постоянную и адаптивную угрозу.

#ParsedReport #CompletenessMedium
21-05-2026

Megalodon: Mass GitHub Repo Backdooring via CI Workflows

https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/

Report completeness: Medium

Actors/Campaigns:
Megalodon

Victims:
Github repositories, Tiledesk, Black iron project, Wise community, Npm

Industry:
Software_development, E-commerce, Healthcare

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.004, T1078, T1083, T1195.002, T1528, T1552, have more...

IOCs:
IP: 1
File: 2
Url: 1
Email: 2

Soft:
Docker, Kubernetes

Algorithms:
base64

Languages:
javascript, php, golang, python, java, csharp

Platforms:
apple

Links:
https://github.com/Tiledesk/tiledesk-server/commit/acac5a9854650c4ae2883c4740bf87d34120c038
have more...
https://github.com/Tiledesk/tiledesk-server

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
18 мая 2026 года киберкампания «Megalodon» быстро внедрила 5 718 вредоносных коммитов в 5 561 репозиторий GitHub, используя одноразовые аккаунты для маскировки злоумышленников. Два варианта полезной нагрузки, «SysDiag» и «Optimize-Build», эксплуатировали рабочие процессы GitHub Actions для эксфильтрации конфиденциальных секретов CI, ключей AWS, токенов GCP и SSH-ключей, используя base64-кодированные bash-скрипты. Атаки в значительной степени затронули репозитории Tiledesk и продемонстрировали потенциальные широкие последствия для организаций, использующих GitHub для CI/CD.
-----

18 мая 2026 года крупномасштабная автоматизированная киберкампания под названием «Megalodon» осуществила быструю инъекцию 5 718 вредоносных коммитов в 5 561 репозиторий GitHub в течение шести часов. Атакующие использовали одноразовые учетные записи и поддельные личности, применяя псевдонимы, такие как «build-bot» и «ci-bot», чтобы скрыть свои действия. Основной метод заключался в эксплуатации рабочих процессов GitHub Actions для развертывания base64-кодированных bash-скриптов, предназначенных для эксфильтрации конфиденциальных секретов непрерывной интеграции (CI) и различных учетных данных.

В ходе кампании были распространены два различных варианта полезной нагрузки. Первый, названный «SysDiag», функционировал как массовый вариант, настраивая рабочие процессы, которые активировались при каждом пуше кода и запросе на слияние (pull request), тем самым максимизируя возможности для выполнения. В отличие от него, целевой вариант, названный «Optimize-Build», заменял существующие рабочие процессы теми, которые выполнялись только по требованию через триггеры API GitHub. Примечательно, что этот целевой вариант был интегрирован в определенные версии (с 2.18.6 по 2.18.12) пакета npm @tiledesk/tiledesk-server, который был непреднамеренно распространён законным сопровождающим, опубликовавшим обновления из скомпрометированного репозитория.

Скомпрометированные рабочие процессы были разработаны для сбора обширного набора конфиденциальных данных, включая все переменные окружения, связанные с CI, ключи доступа AWS, токены GCP и даже закрытые ключи SSH. Вредоносные скрипты использовали команды для запроса метаданных служб AWS и GCP, а также сканирования исходного кода на наличие распространенных секретов, таких как ключи API, строки подключения к базам данных и облачные токены. Кроме того, полезная нагрузка была направлена на эксфильтрацию токенов OIDC GitHub Actions, персональных токенов доступа GitHub, токенов GitLab CI/CD и токенов Bitbucket, что фактически позволяло потенциальную имперсонацию в облачных средах.

Анализ выявил, что вредоносные коммиты были отправлены с адресов эл. почты, таких как "build-system@noreply.dev" и "ci-bot@automated.dev", что дополнительно подтверждает автоматизированный характер атак. После отслеживания вредоносного коммита было установлено, что он был создан автоматически сущностью 18 мая без использования стандартных pull-запросов, что указывает на прямую отправку в мастер-ветку, вероятно, через скомпрометированный персональный токен доступа (PAT) или ключ развертывания.

Серьезность кампании Megalodon подчеркивается ее масштабом, с широким охватом множества организаций, при этом Tiledesk оказался особенно затронут в девяти из своих репозиториев. В целом, поиск по API коммитов показал, что эти вредоносные активности затронули тысячи репозиториев, сгруппированных в короткий промежуток времени, что указывает на потенциальные широкие последствия для организаций, использующих GitHub для своих CI/CD практик.

#ParsedReport #CompletenessMedium
23-05-2026

Laravel Lang Compromised with RCE Backdoor Across 700+ Versions

https://socket.dev/blog/laravel-lang-compromise

Report completeness: Medium

Threats:
Credential_harvesting_technique
Awscollector_tool
Putty_tool
Supply_chain_technique

Victims:
Software development, Cloud services, Continuous integration and continuous delivery, Developer environments, Php applications, Laravel applications

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1005, T1027, T1041, T1059, T1059.005, T1071.001, T1083, T1105, T1119, have more...

IOCs:
File: 10
Domain: 1
Url: 2

Soft:
Laravel, Unix, Linux, macOS, Slack, Discord, Kubernetes, Helm, HashiCorp Vault, Jenkins, have more...

Wallets:
metamask

Crypto:
bitcoin, ethereum, monero

Algorithms:
xor, base64, md5

Languages:
cscript, php

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Проект Laravel Lang подвергся серьезному нарушению безопасности, в результате которого были скомпрометированы более 700 версий пакетов локализации с бэкдорами, обеспечивающими Удаленное Выполнение Кода (RCE). Атака эксплуатировала автозагрузчик Composer, позволяя вредоносному коду из конкретного PHP-файла выполняться автоматически, что инициировало сложную операцию сбора учетных записей на различных платформах. ВПО использует методы динамической генерации имени хоста C2 и шифрования данных, нацеливаясь на конфиденциальную информацию из различных источников, включая облачные среды и конвейеры CI/CD.
-----

Проект Laravel Lang столкнулся с серьезным нарушением безопасности: более 700 версий его пакетов локализации были скомпрометированы через бэкдоры Удаленного Выполнения Кода (RCE). Среди затронутых пакетов — laravel-lang/lang и laravel-lang/http-statuses. Эти пакеты, хотя и не являются частью официального фреймворка Laravel, широко используются в приложениях на Laravel и подверглись воздействию, когда скомпрометированные версии были автоматически выполнены автозагрузчиком Composer во время стандартного времени выполнения приложения.

Компрометация носит масштабный характер, так как почти одновременно 22 и 23 мая 2026 года в рамках организации Laravel Lang на GitHub произошла вспышка создания новых тегов в нескольких репозиториях. Быстрая публикация этих тегов указывает на организованную атаку, что, вероятно, свидетельствует о том, что злоумышленник получил доступ к учетным данным на уровне организации или использовал автоматизацию репозиториев.

Основной вредоносный код содержится в конкретном файле PHP src/helpers.php, который зарегистрирован в composer.json в разделе autoload.files. Эта регистрация обеспечивает срабатывание бэкдора при каждой обработке PHP-запроса. ВПО использует сложные техники уклонения, такие как динамическая генерация имени хоста для управления (C2) в целях избежания обнаружения и отключение проверки TLS при получении полезной нагрузки.

Вредоносный скрипт демонстрирует расширенные возможности, функционируя как полезная нагрузка второго этапа, предназначенная для кражи конфиденциальных данных с затронутых систем. Это ВПО на базе PHP работает на различных платформах, включая Linux, macOS и Windows. После активации оно запускает процесс сбора учетных записей, который систематически извлекает конфиденциальную информацию из широкого спектра источников — облачных сред, конвейеров CI/CD, Менеджеров паролей и локальных конфигураций. Оно использует множество сборщиков, нацеленных на конкретные категории данных, такие как ключи AWS, токены Kubernetes, учетные данные Git и сохраненные конфигурации VPN.

Несколько тревожных характеристик подчеркивают сложность ВПО. Например, оно создано для генерации уникального идентификатора для каждого хоста, тем самым предотвращая избыточное выполнение его полезной нагрузки после первого запуска. ВПО также содержит жестко закодированный ключ шифрования, который оно использует для XOR-шифрования собранных данных перед их эксфильтрацией на сервер C2.

Организациям, использующим затронутые пакеты Laravel Lang, рекомендуется рассматривать затронутые системы как потенциально скомпрометированные, что требует немедленной проверки файлов composer.lock для выявления и блокировки затронутых пакетов. Рекомендуется сменить учетные данные и секреты, которые могли быть раскрыты. Наконец, организациям следует сохранить соответствующие журналы и артефакты для потенциального криминалистического анализа, а также рассмотреть возможность полной пересборки любой затронутой среды для защиты от дальнейших уязвимостей.

#ParsedReport #CompletenessLow
22-05-2026

Malicious Postinstall Hook Found Across 700+ GitHub Repositories, Including Packagist and Node.js Projects

https://socket.dev/blog/malicious-postinstall-hook-found-across-700-github-repos

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Github repositories, Packagist packages, Php projects, Node.js projects, Ci cd workflows

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.004, T1105, T1195.001, T1564.001

IOCs:
File: 2

Soft:
Node.js, Linux, curl, Laravel, Alpine, Livewire

Languages:
javascript, php

Links:
https://github.com/moritz-sauer-13/silverstripe-cms-theme/commit/7825479
https://github.com/thedevdojo/wave/commit/8f9127a
https://github.com/crosiersource/crosierlib-base/commit/551c319
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Координированная атака на цепочку поставок привела к компрометации более 700 репозиториев GitHub, включая проекты на PHP и Node.js, путем внедрения вредоносного postinstall-хука в затронутые пакеты Composer. Этот скрипт, обнаруженный в файлах `package.json`, загружает несанкционированный бинарный файл, обходя меры безопасности HTTPS, и потенциально нацелен на рабочие процессы CI/CD. Инцидент подчеркивает необходимость комплексного сканирования всех файлов репозитория, поскольку вредоносные изменения могут легко распространяться вместе с новыми версиями пакетов, особенно в широко используемых фреймворках и стартовых комплектах.
-----

Исследователи выявили скоординированную атаку на Цепочка поставок, затронувшую более 700 репозиториев GitHub, включая пакеты PHP на Packagist и проекты Node.js, в которые был встроен вредоносный postinstall-хук. Эта атака нацелилась на восемь пакетов Composer, модифицировав их исходные репозитории для включения вредоносного скрипта, который пытался загрузить и выполнить бинарный файл с URL релизов GitHub, сохраняя его в скрытый файл в директории `/tmp/.sshd`.

Вредоносный скрипт систематически добавлялся в файлы `package.json` этих проектов, а не в ожидаемый `composer.json`. Такое размещение в другой экосистеме имеет значение, поскольку позволяет вредоносному ПО избегать обнаружения командами по безопасности, которые фокусируются преимущественно на метаданных Composer, тем самым потенциально оставляя уязвимости без проверки в хуках жизненного цикла, связанных с JavaScript.

Работа скрипта вызывает обеспокоенность: он использует `curl -k` для загрузки бинарного файла с именем `gvfsd-network`, отключая при этом проверку TLS-сертификатов — подход, который подрывает безопасность, обычно обеспечиваемую HTTPS. Затем скрипт делает загруженный файл исполняемым и запускает его в фоновом режиме. Хотя вторую стадию вредоносного кода не удалось извлечь из-за его недоступности по исходному адресу, поведение первой стадии достаточно тревожно, чтобы классифицировать пакеты как вредоносные. Этот метод установки загружает и выполняет непроверенный удалённый бинарный файл без проверки целостности, что представляет собой серьёзную угрозу.

Анализ репозиториев GitHub позволил выявить вредоносные коммиты, содержащие вредоносный postinstall-скрипт. В некоторых случаях было обнаружено, что этот скрипт также включён в CI/CD-процессы в рамках GitHub Actions, что указывает на возможность расширения атаки на автоматизированные конвейеры развертывания.

Компрометация этих репозиториев напрямую связана с изменениями в цепочке поставок, которые были отражены в Packagist в момент совершения вредоносных коммитов. При выпуске новых версий затронутых пакетов в них непреднамеренно включался вредоносный код. Хотя многие сопровождающие в конечном итоге откатили вредоносные изменения, это продемонстрировало, насколько легко можно упустить из виду вредоносные скрипты, встроенные во вспомогательные файлы.

Среди затронутых пакетов такие, как `devdojo/wave`, популярный стартовый набор для SaaS на Laravel, представляют значительный риск из-за их широкого распространения и характера процессов установки. Такие стартовые наборы, будучи скомпрометированными, позволяют вредоносному скрипту запускаться автоматически при инициализации проекта, что значительно усиливает потенциальное воздействие атаки. Другие затронутые библиотеки, которые функционируют исключительно как зависимости, могут не запускать скрипт postinstall аналогичным образом, снижая их непосредственный риск. Это подчеркивает необходимость тщательного сканирования всех файлов в репозиториях проектов, а не полагаться исключительно на основные менеджеры пакетов для обеспечения безопасности.

#ParsedReport #CompletenessMedium
23-05-2026

Supply Chain Attack Targets Laravel-Lang Packages with Credential Stealer

https://www.aikido.dev/blog/supply-chain-attack-targets-laravel-lang-packages-with-credential-stealer

Report completeness: Medium

Actors/Campaigns:
Laravel_lang_compromise

Threats:
Supply_chain_technique
Credential_stealing_technique
Putty_tool

Victims:
Software, Open source package ecosystem

Industry:
Transport

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1036, T1041, T1059, T1059.005, T1070.004, T1071.001, T1082, have more...

IOCs:
Domain: 1
Url: 2
File: 6

Soft:
Laravel, curl, Linux, macOS, HashiCorp Vault, Helm, Docker, mysql, Chrome, Opera, have more...

Wallets:
zcash, electrum, exodus_wallet, trezor, wassabi, metamask, keplr, solflare, rabby

Crypto:
bitcoin, ethereum, monero, litecoin, dogecoin

Algorithms:
aes-256

Functions:
laravel_lang_locale, laravel_lang_fallback, exec

Languages:
cscript, php, python

Platforms:
intel

Links:
https://github.com/Laravel-Lang/common/issues/257
https://github.com/AikidoSec/safe-chain

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок 22 мая 2026 года нацелилась на пакеты Laravel-Lang, внедряя код стиллера учетных данных в репозитории через вредоносные теги версий, связанные с форком. ВПО, представляющее собой 5900-строчный PHP-стиллер учетных данных, использовало файл-дропер для запуска своего полезного груза, который варьировался в зависимости от операционной системы, с целью сбора конфиденциальных данных, таких как ключи AWS, закрытые ключи SSH и пароли браузеров. Эта атака демонстрирует передовые тактики, использующие зависимости программного обеспечения, и подчеркивает риски для широко используемых пакетов.
-----

22 мая 2026 года была обнаружена атака на Цепочку поставок, направленная на пакеты Laravel-Lang, в ходе которой в три популярных репозитория был внедрен код для кражи учетных данных. Атакующий хитро развернул вредоносные теги версий, которые указывали на форк, содержащий опасный код, без его фиксации в официальных репозиториях. Этот подход эксплуатировал функциональность GitHub, позволяющую связывать теги версий с различными коммитами, что обеспечивало выполнение вредоносного кода через функцию автозагрузчика Composer.

Злоумышленник внедрил файл-дропер src/helpers.php, замаскированный под локализационный помощник. Этот файл содержал блок кода, который выполнялся при заражении, определял среду хоста и обеспечивал активацию полезной нагрузки только один раз на системе путем создания маркерного файла. Домен управления (управление) (C2) был скрыт внутри целочисленного массива, что затрудняло обнаружение, и разрешался в flipboxstudio.info. Дропер загружал полезную нагрузку с этого домена управления (управление) (C2), используя file_get_contents с отключенной проверкой SSL. Способ выполнения полезной нагрузки варьировался в зависимости от операционной системы: в системах Windows запускался файл .vbs, а в системах macOS и Linux полезная нагрузка выполнялась в фоновом режиме.

Полезная нагрузка, представляющая собой масштабный PHP-стиллер учетных данных, состоящий примерно из 5900 строк, был структурирован в пятнадцать специализированных модулей для похищения конфиденциальной информации. После сбора данных он шифровал найденные сведения с использованием AES-256 и передавал их на тот же домен C2, после чего стирал себя, чтобы минимизировать следы атаки.

Похищенные данные включали широкий спектр конфиденциальных учетных данных: ключи доступа и токены AWS, учетные данные приложений GCP, различные токены провайдеров услуг, закрытые ключи SSH и множество конфигурационных файлов (таких как .git-credentials и .env). Кроме того, он нацеливался на специфичные для браузеров данные, собирая сохраненные пароли из нескольких браузеров на базе Chromium и Firefox, а также информацию об учетных данных из менеджеров паролей. ВПО было способно извлекать файлы криптографических кошельков, записи из Диспетчера учетных данных Windows и конфигурационные данные для различных VPN.

Этот инцидент подчеркивает эволюцию тактик, используемых злоумышленниками в уязвимостях цепочки поставок, акцентируя внимание на значительном риске, который представляют пакеты программного обеспечения, на которые разработчики регулярно полагаются. Оперативное информирование таких платформ, как Packagist, позволило быстро провести работы по устранению последствий, включая удаление вредоносных версий для предотвращения дальнейших установок и эксплуатации.