#ParsedReport #CompletenessMedium
26-05-2026

Kazuar Evolves From Backdoor to Resilient Espionage Ecosystem

https://blog.polyswarm.io/kazuar-evolves-from-backdoor-to-resilient-espionage-ecosystem

Report completeness: Medium

Actors/Campaigns:
Turla (motivation: cyber_espionage)

Threats:
Kazuar
Pelmeni
Lolbin_technique

Victims:
Foreign affairs ministries, Embassies, Government agencies, Defense organizations, Defense contractors, Diplomatic institutions, Research entities

Industry:
E-commerce, Government, Military

Geo:
Asia, Ukraine, Russian, Russia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027.013, T1056.001, T1071.001, T1074.001, T1082, T1113, T1114.001, T1140, T1480.001, have more...

IOCs:
Hash: 4

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kazuar, разработанный российской государственной группой Secret Blizzard, эволюционировал из базового бэкдора в сложный модульный фреймворк для шпионажа, включающий модули Kernel, Bridge и Worker, которые повышают устойчивость и оперативную скрытность. Он использует сложные методы связи, включая опции IPC, при этом один модуль Kernel поддерживает связь с инфраструктурой управления, тем самым минимизируя видимость. ВПО использует загрузчик Pelmeni для доставки полезной нагрузки и предлагает около 150 настраиваемых параметров, что затрудняет обнаружение и анализ из-за его модульной и адаптивной природы.
-----

Kazuar, семейство ВПО, приписываемое российскому спонсируемому государством злоумышленнику Secret Blizzard (также известному как Turla или Venomous Bear), претерпело значительную эволюцию от простого бэкдора до сложного модульного фреймворка для шпионажа. Эта новая архитектура повышает устойчивость к обнаружению и облегчает проведение длительных операций по сбору разведывательных данных, нацеленных преимущественно на правительственные, дипломатические, оборонные и исследовательские структуры. В настоящее время Kazuar структурирован вокруг трех основных типов модулей: Kernel, Bridge и Worker, которые взаимодействуют для поддержания скоординированной операционной среды при одновременном минимизировании сетевой видимости.

Архитектура Kazuar включает сложные механизмы коммуникации, в том числе варианты межпроцессного взаимодействия (IPC), такие как именованные каналы, Mailslots и скрытые сообщения Windows. Это позволяет вредоносному ПО управлять операциями внутри себя, ограничивая внешние коммуникации единственным выбранным лидером Kernel-модуля, который выступает точкой контакта с инфраструктурой управления (C2). Этот процесс выбора лидера повышает скрытность за счет консолидации трафика коммуникаций, уменьшения электронного следа зараженных систем и позволяет вредоносному ПО выживать при системных сбоях. Архитектура коммуникации поддерживает несколько методов транспорта, включая HTTP, WebSocket и Exchange Веб-сервисы, что дополнительно повышает операционную эффективность.

Методы доставки Kazuar включают использование дроппера Pelmeni, который внедряет зашифрованные полез нагрузки в исполняемые файлы, а также легковесный .NET-лоадер, работающий как COM-объект. Оба метода приоритизируют снижение артефактов на диске, тем самым улучшая возможности уклонения. Фреймворк высоко настраиваемый, имеет около 150 опций для транспорта, методов внедрения и различных операционных задач, таких как регистрация нажатий клавиш и сбор файлов.

Модули-работники Kazuar выполняют различные задачи шпионажа и размещают собранные данные в выделенной рабочей директории для последующей эксфильтрации. Этот модульный и изолированный подход усложняет традиционное обнаружение и анализ ВПО, требуя сосредоточения внимания на операционном поведении вредоносного ПО, а не только на отдельных образцах.

В заключение, Kazuar является примером меняющегося ландшафта киберугроз, переходя от простых инструментов взлома к сложным модульным средам, предназначенным для постоянных и скрытных операций. По мере того как Secret Blizzard продолжает адаптировать свои стратегии, организациям необходимо улучшать свои возможности обнаружения, чтобы учитывать сложность и скрытность, присущие современным вредоносным программам, таким как Kazuar.

#ParsedReport #CompletenessHigh
26-05-2026

Phishing Campaign Deploys JavaScript-Driven PureLogs Variant to Steal Sensitive Data

https://www.fortinet.com/blog/threat-research/phishing-campaign-deploys-javascript-driven-purelogs-variant-to-steal-sensitive-data

Report completeness: High

Threats:
Purelogs
Process_hollowing_technique
Dotnet_reactor_tool
Intellilock_tool

Victims:
Information technology, Communications, Cryptocurrency, Email services, Virtual private network services

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1033, T1041, T1055.012, T1059.001, T1059.007, T1071.001, T1082, have more...

IOCs:
File: 14
IP: 1
Url: 10
Hash: 5

Soft:
Microsoft Edge, Discord, NET Reactor, Windows Defender, Google Chrome, Chromium, Epic Privacy Browser, Amigo, Vivaldi, Kometa, have more...

Wallets:
litecoincore, bitcoincore, coinomi, exodus_wallet, electrum, atomicwallet, bitpay, wassabi, electron_cash, iocoin, have more...

Crypto:
monero, dogecoin, ethereum, mincoin, yacoin, binance, terracoin

Algorithms:
base64, gzip, sha256, aes, des

Functions:
Execute, ZwUnmapViewOfSection

Win API:
CreateProcessA, GetObject, ReadProcessMemory, WriteProcessMemory, VirtualAllocEx, GetThreadContext, SetThreadContext, ResumeThread

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6, windows: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания использует зашифрованный файл JavaScript для развертывания варианта вредоносного ПО PureLogs, предназначенного для извлечения конфиденциальных данных. Процесс начинается с обманных писем, содержащих вложения RAR, которые выполняют скрипт PowerShell, использующий Внедрение в пустой процесс для внедрения вредоносного кода в MsBuild.exe. Модуль PureLogs, работающий из памяти, собирает различную конфиденциальную информацию, включая учетные данные и данные о криптовалюте, которые затем сжимаются и отправляются на сервер управления.
-----

Недавно выявленная фишинговая кампания использует зашифрованный файл JavaScript для развертывания варианта вредоносного ПО PureLogs, предназначенного для извлечения конфиденциальной информации с зараженных устройств. Кампания начинается с писем, маскирующихся под заказы на покупку, которые побуждают получателя открыть вложенный RAR-архив, содержащий вредоносный скрипт JavaScript с именем kpankocrs.js. При выполнении этот скрипт расшифровывает и запускает код PowerShell, который затем сохраняется в файл с случайным именем (.ps1) в папке C:\Temp и выполняется через командную оболочку.

Скрипт PowerShell содержит большой блок зашифрованных и закодированных в Base64 данных, которые декодируются и расшифровываются с использованием метода XOR с ротацией. В результате получается fileless-скрипт PowerShell, использующий команду Invoke-Expression для выполнения вредоносного кода. Этот код сложным образом применяет техники Process Hollowing для внедрения в пустой процесс .NET-сборки в легитимный процесс (в частности, MsBuild.exe). Целью этого внедрения является облегчение извлечения и выполнения модуля загрузчика из его встроенных ресурсов.

Загрузчик, идентифицированный как Rmiyj.dll, получает дополнительные плагины с сервера управления (C2). Он выполняет это, отправляя GET и POST запросы, последний из которых содержит AES-зашифрованный полезный груз. Загрузчик взаимодействует с сервером управления, используя информацию, закодированную в его конфигурации ресурсов, подтверждая активность сервера и загружая плагины, которые расширяют его функциональные возможности.

Финальный полезный модуль — PureLogs — работает исключительно из памяти, собирая различные формы конфиденциальных данных с машины жертвы. Сюда входят сведения об Аппаратное обеспечение, сохраненные учетные данные и информация о криптографических кошельках. Модуль также может извлекать данные из популярных веб-браузеров, а также из таких приложений, как Microsoft Outlook и Discord, путем сканирования конкретных путей к файлам на наличие токенов аутентификации и данных сессии. Собранная информация сжимается и шифруется перед отправкой на сервер C2 через HTTP POST-запросы.

Сложность этой атаки подчеркивается ее многоэтапным механизмом заражения, который использует передовые тактики, такие как многослойное шифрование, выполнение без файлов и процедуры внедрения в пустой процесс, что значительно усложняет обнаружение традиционными средствами защиты. В связи с этим организациям рекомендуется внедрять строгую фильтрацию электронной почты, отключать ненужное выполнение скриптов и осуществлять мониторинг необычной активности PowerShell и признаков внедрения в пустой процесс для снижения потенциальных рисков от подобных угроз.

#ParsedReport #CompletenessLow
26-05-2026

The Gentlemen Leak Analysis (Part 2) — JA456 Follow-on

https://ransom-isac.org/blog/the-gentlemen-leak-analysis-part-2

Report completeness: Low

Actors/Campaigns:
Gentlemen_ransomware
Zeta88

Threats:
Megasync_tool
Megacmd_tool
Rclone_tool
Cobalt_strike_tool
Havoc
Gentlemen_ransomware
Xenallpasswordpro_tool
Netexec_tool
G-bot
Blackbasta

Victims:
Pharmaceutical

Industry:
Healthcare, Telco

Geo:
Russia, Mongolia, India, Egypt, China, South africa, Russian, Egyptian, Ghana

CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.003, T1021, T1048.002, T1074.002, T1090, T1190, T1486, T1555, T1567.002

IOCs:
IP: 8
File: 7

Soft:
mysql, enAllPasswordPro fo, Firefox, Android, AmneziaVPN, WireGuard

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ пакета JA456 выявляет хакерскую группировку, связанную с программой-вымогателем, раскрывая артефакты, такие как история сессий MEGA и теневая копия Synology NAS, которые связывают актора со статическим IP-адресом в России. Их тактики включают использование систем FortiGate для доступа, сбор учетных записей для перемещения внутри компании и эксфильтрация данных с помощью rclone и MEGA, при этом прослеживаются связи с фреймворками Cobalt Strike и Havoc. В отчете указываются риски, связанные с конфиденциальными данными жертв, что подтверждает продолжающийся потенциал вымогательства со стороны актора.
-----

Анализ пакета JA456, являющегося продолжением утечек хакерской группировки The Gentlemen, раскрывает критически важные сведения об операциях злоумышленника, связанного с деятельностью, связанной с программным обеспечением для вымогательства. Этот пакет содержит артефакты, включая историю сеансов MEGA, теневую копию NAS Synology и скриншоты сценариев, демонстрирующих процесс стирания данных, что способствует атрибуции злоумышленника к статическому IP-адресу жилого помещения в Ижевске, Удмуртская Республика, Россия, используемому до внедрения VPN. Указанный IP-адрес 92.39.211.142 идентифицирован как активный до внедрения мер VPN и может представлять собой ранее использовавшийся статический IP-адрес, способный сыграть ключевую роль в связывании различных операционных кампаний.

Операционные методологии, выявленные в ходе данного анализа, указывают на сложную сквозную схему эксфильтрации. Она включает использование систем FortiGate для доступа, развертывание инструментов сбора учетных записей для перемещения внутри компании, подготовку данных на устройствах Synology NAS и выполнение эксфильтрации с помощью таких инструментов, как rclone и MEGA. Примечательно, что в отчете указывается, что недавняя активность, связанная с данной инфраструктурой, имеет связи с фреймворками команд и управления (C2) Cobalt Strike и Havoc, что подчеркивает устоявшийся опыт в области тактик и приемов, выходящий за рамки данного конкретного инцидента утечки.

В отчете отмечается наличие определенных конфиденциальных материалов жертв, включая файлы регуляторных органов фармацевтической отрасли и метаданные резервных копий контроллеров домена Windows, что указывает на сохраняющуюся угрозу шантажа или мошенничества в результате данной утечки. Взаимосвязь между данными геолокации IP-адресов и наблюдаемыми временными рамками операций предполагает тщательную синхронизацию с местным часовым поясом, предоставляя дополнительные указания относительно физического местоположения злоумышленника.

Для защитников рекомендуется внедрить мониторинг выявленных индикаторов компрометации (IOCs), уделяя особое внимание использованию rclone и MEGA в сценариях потенциальной эксфильтрации данных. Организациям рекомендуется оценить свои среды на наличие признаков компрометации FortiGate, тщательно анализируя артефакты получения учетных данных и перемещения внутри компании. Кроме того, приоритетным должно стать устранение рисков компрометации домена, связанных с доступом к чувствительным каталогам, наряду с проверкой административных контролей.

Анализ атрибуции приводит к выводу о том, что злоумышленник имеет российские корни, что подтверждается различными шаблонами трафика и сопоставлениями инфраструктуры, подчеркивая постоянную активность этих групп в сфере программ-вымогателей. В целом, информация, полученная из JA456, представляет собой значительную оценку операционных возможностей и методологий, используемых этой конкретной хакерской группировкой, которая эффективно вписывается в более широкий контекст преступной деятельности, охватывающей несколько лет.

#ParsedReport #CompletenessMedium
26-05-2026

Fake software on GitHub and SourceForge distribute Deno RAT

https://www.malwarebytes.com/blog/threat-intel/2026/05/fake-software-on-github-and-sourceforge-distribute-deno-rat

Report completeness: Medium

Actors/Campaigns:
Smokest

Threats:
Dindoor
Nwhstealer
Castleloader
Clickfix_technique

Victims:
Content creators, Ai enthusiasts, Gamers, Technical users, Cryptocurrency users

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1041, T1059.001, T1059.003, T1059.007, T1071.001, T1082, T1083, T1090, have more...

IOCs:
Domain: 9
IP: 5

Soft:
ChatGPT, Claude, macOS, GearUP, Chrome, Chromium, Opera, Vivaldi, CentBrowser, Kometa, Orbitum, have more...

Wallets:
atomicwallet, electrum

Algorithms:
base64

Languages:
typescript, javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют легитимные платформы, такие как GitHub и SourceForge, для распространения поддельного программного обеспечения, которое устанавливает бэкдор DinDoor на базе Deno, функционирующий как скрытый RAT. Это ВПО использует скомпрометированные каналы YouTube для перенаправления пользователей на вредоносные репозитории, где выполняются поддельные MSI-файлы или сценарии PowerShell, что приводит к установке альтернативных пакетных менеджеров Windows и среды выполнения Deno. DinDoor устанавливает закрепление, связывается с серверами C2 и может похищать конфиденциальную информацию, применяя при этом продвинутые техники, такие как пиринговая связь через Microsoft Edge, для уклонения от обнаружения.
-----

Злоумышленники используют легитимные платформы, такие как GitHub и SourceForge, для распространения поддельных установщиков программного обеспечения, имитирующих популярные приложения.

Эти кампании используют бэкдор на базе Deno под названием DinDoor, функционирующий как скрытая Троянская программа (RAT).

Вредоносные репозитории продвигаются через скомпрометированные каналы YouTube, направляя пользователей на загрузку поддельных MSI-файлов или сценариев PowerShell.

При выполнении эти скрипты устанавливают пакетные менеджеры Windows, такие как Scoop и WinGet, которые необходимы для развертывания среды выполнения Deno.

Затем среда выполнения Deno запускает RAT, который может развертывать дополнительные полезную нагрузку и похищать данные из браузеров и криптокошельков.

DinDoor обеспечивает закрепление и взаимодействует с серверами управления (управление) (C2) через различные HTTP-конечные точки.

RAT собирает системную информацию и может управлять устройствами через собственную реализацию VNC.

Он нацелен конкретно на расширения криптокошельков и обладает возможностью эксфильтрации данных браузера из нескольких популярных браузеров.

DinDoor может выполнять команды, делать скриншоты и управлять данными из буфера обмена.

Заметной особенностью DinDoor является использование им режима peer-to-peer через браузер Microsoft Edge, что позволяет ему обходить традиционные методы обнаружения.

Эта операция «peer-to-peer» использует технологию WebRTC для создания прямого канала связи для потоковой передачи видео, превращая Edge в видео-ретранслятор.

RAT позволяет выполнять команды, собирающие сведения о системе и управляющие процессами, используя Base64-кодированную связь с C2-сервером для обеспечения оперативной безопасности.

Также была замечена облегченная версия RAT с урезанными возможностями и вариантами методов связи с C2.

#ParsedReport #CompletenessLow
26-05-2026

Quasar Linux (QLNX): A Developer-Targeted Linux RAT and Detection Strategy

https://guardsix.com/blog/quasar-linux-qlnx-a-developer-targeted-linux-rat-and-detection-strategy

Report completeness: Low

Threats:
Quasar_rat
Supply_chain_technique
Credential_harvesting_technique
Mitm_technique

Victims:
Developer workstations, Devops endpoints, Ci cd build hosts

TTPs:
Tactics: 6
Technics: 21

IOCs:
File: 4

Soft:
Linux, Kubernetes, Debian, Ubuntu, Fedora, sudo, Systemd, Unix

Algorithms:
xor

Languages:
python, c_language, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Quasar Linux (QLNX) — это Троянская программа (RAT), нацеленная на среды разработки Linux, использующая передовые техники уклонения. Она функционирует через фреймворк из 58 команд, работает без создания файлов с помощью `memfd_create`, маскируется под легитимные процессы и содержит руткит на базе eBPF и бэкдор PAM для кражи учетных данных. QLNX динамически компилирует свои компоненты с помощью `gcc`, что усложняет обнаружение, и устанавливает одноранговую сеть для ретрансляции команд, затрудняя устранение последствий.
-----

Quasar Linux (QLNX) — это сложная Троянская программа (RAT), специально разработанная для атаки на среды разработки Linux, использующая высокоценные учетные данные, присутствующие на таких системах. Выявленная исследователями TrendMicro, QLNX отличается от основанной на Windows QuasarRAT и использует комбинацию инновационных методов для обхода традиционных механизмов обнаружения. ВПО нацелено на рабочие станции разработчиков и хосты сборки CI/CD, работающие под управлением различных популярных дистрибутивов Linux (Debian, Ubuntu, RHEL, Fedora и Arch), и спроектировано так, чтобы оставаться практически невидимым.

Архитектура QLNX построена вокруг фреймворка RAT, включающего 58 команд, и использует техники бездискового выполнения, которые задействуют системный вызов `memfd_create` для создания временных файлов в памяти для своей полезной нагрузки. Это позволяет ему выполняться без создания обнаруживаемых артефактов на диске. После запуска троян маскируется под легитимные потоки ядра, эффективно сливаясь с нормальными системными операциями. Он включает в себя руткит ядра на основе eBPF и бэкдор Плагинного модуля аутентификации (PAM), что позволяет ему захватывать конфиденциальные учетные данные, такие как SSH-ключи, токены Git, секреты AWS и многое другое.

Заметной особенностью QLNX является его способность динамически компилировать свои компоненты во время выполнения, используя локальный `gcc` для генерации руткита и модулей PAM, нацеленных на конкретную версию ядра скомпрометированного хоста. Эта характеристика делает его особенно трудным для обнаружения статическими антивирусными решениями и решениями мониторинга целостности файлов, поскольку ВПО генерирует уникальные разделяемые объекты, адаптированные под каждую среду. Кроме того, QLNX устанавливает одноранговую сетевую топологию, обеспечивая связь и ретрансляцию команд между зараженными хостами, что усложняет попытки прервать каналы управления.

Обнаружение QLNX основано на мониторинге конкретных индикаторов компрометации (IoC), таких как попытки изменить файл `/etc/ld.so.preload` — метод, который он использует для внедрения своих вредоносных библиотек в каждый новый запущенный процесс. К другим индикаторам высокого приоритета относятся необычные вызовы `gcc` и наличие неожиданных скрытых файлов, созданных в `/tmp` или `/var/log`. Непрерывный мониторинг попыток аутентификации, связанных с PAM, также имеет решающее значение, поскольку ВПО перехватывает пароли открытым текстом во время локальных входов и событий sudo через свои механизмы бэкдор.

С точки зрения устранения последствий, полная очистка систем, зараженных QLNX, представляет собой сложную задачу. Рекомендуемые практики предписывают полное стирание данных с системы и переустановку операционной системы с чистого образа для любого узла, демонстрирующего признаки компрометации. Учитывая его возможности работы в режиме «peer-to-peer», изолированные усилия по устранению последствий могут непреднамеренно позволить устойчивым угрозам восстановить свое присутствие. Эффективные стратегии изоляции требуют единообразного отключения предположительно скомпрометированных узлов от сети, очистки файла `/etc/ld.so.preload` и сбора любых захваченных журналов учетных данных для криминалистического анализа перед их удалением.

#ParsedReport #CompletenessMedium
26-05-2026

Megalodon: Mass GitHub Repo Backdooring via CI Workflows

https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/#full-list-of-compromised-github-repositories

Report completeness: Medium

Actors/Campaigns:
Megalodon

Threats:
Merlin_tool

Victims:
Github repositories, Npm ecosystem, Open source projects, Software development

Industry:
E-commerce, Healthcare, Software_development

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.004, T1071.001, T1083, T1195.001, T1528, T1552, T1552.001, have more...

IOCs:
IP: 1
File: 2
Url: 1

Soft:
Docker, Kubernetes

Algorithms:
base64

Languages:
javascript, php, python, csharp, java, golang

Platforms:
apple

Links:
https://github.com/Tiledesk/tiledesk-server
https://github.com/Tiledesk/tiledesk-server/commit/acac5a9854650c4ae2883c4740bf87d34120c038
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания «Megalodon», начатая 18 мая 2026 года, скомпрометировала более 5 500 репозиториев GitHub с помощью 5 718 вредоносных коммитов, используя автоматизированные техники и поддельные идентичности. Атакующие внедрили вредоносные рабочие процессы GitHub Actions, которые похищали конфиденциальные данные, включая учетные данные облачных сервисов и SSH-ключи, на сервер C2. Два варианта полезной нагрузки, «SysDiag» и «Optimize-Build», использовались для обеспечения широкого выполнения и распространения вредоносного кода, эксплуатируя уязвимости в процессах CI/CD.
-----

Кампания «Megalodon», запущенная 18 мая 2026 года, представляла собой агрессивную автоматизированную операцию, в ходе которой было скомпрометировано 5 561 репозиторий GitHub путем внедрения 5 718 вредоносных коммитов всего за шесть часов. Атакующий использовал одноразовые учетные записи и поддельные идентичности, такие как «build-bot» и «ci-bot», для внедрения вредоносных рабочих процессов GitHub Actions. Эти рабочие процессы содержали bash-скрипты, закодированные в формате base64, целью которых было похищение широкого спектра конфиденциальных данных, включая секреты CI, учетные данные облачных сервисов, SSH-ключи, токены OIDC и различные секреты исходного кода, на сервер управления (C2), расположенный по адресу 216.126.225.129:8443.

Были развернуты два различных варианта полезной нагрузки: массовый вариант под названием «SysDiag», который срабатывал каждый раз при создании или обновлении pull-запроса, обеспечивая комплексное автоматическое выполнение; и более целевой вариант, получивший название «Optimize-Build», который заменял существующие рабочие процессы и выполнялся только при определенных условиях срабатывания через GitHub API. Последний вариант был обнаружен встроенным в пакет npm «@tiledesk/tiledesk-server» в версиях от 2.18.6 до 2.18.12, распространялся в рамках обычного процесса публикации скомпрометированным сопровождающим, что непреднамеренно позволяло вредоносному коду распространяться.

Вредоносные рабочие процессы были способны извлекать обширную информацию, включая учетные данные AWS, токены доступа Google Cloud Platform (GCP), закрытые ключи SSH, конфигурации аутентификации Docker и различные конфигурационные файлы, содержащие конфиденциальные данные. Векторы атаки активно искали в рабочем пространстве распространенные секреты с использованием регулярных выражений и похищали жизненно важные URL-адреса запросов токенов OIDC и токены действий GitHub, что облегчало потенциальную имперсонацию и дальнейший доступ к облачным средам.

Расследование показало, что коммиты, созданные пользователями "build-system@noreply.dev" и "ci-bot@automated.dev", указывали на автоматизированные процессы CI/CD, поскольку злоумышленник создал их, чтобы слиться с обычными коммитами CI. Примечательно, что вредоносный коммит (идентификатор acac5a9) был сделан без pull request или слияния, что предполагает несанкционированный доступ через скомпрометированный персональный токен доступа (PAT) или ключ развертывания.

К концу операции было задокументировано в общей сложности 5 718 коммитов, направленных на множество репозиториев, включая несколько проектов организации Tiledesk. Этот инцидент подчеркивает значительный риск, связанный с безопасностью конвейеров CI/CD, и акцентирует внимание на критической необходимости строгих мер безопасности вокруг репозиториев GitHub и рабочих процессов CI/CD для предотвращения подобных атак с использованием бэкдора в будущем.

#ParsedReport #CompletenessLow
26-05-2026

TrapDoor: Malicious npm, PyPI, Crates.io Packages Target Developer Secrets & AI Tooling

https://socradar.io/blog/trapdoor-npm-pypi-cratesio-secrets-ai-tooling/

Report completeness: Low

Actors/Campaigns:
Trapdoor

Threats:
Supply_chain_technique

Victims:
Software development, Cryptocurrency, Decentralized finance, Artificial intelligence

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1053.003, T1059.007, T1195.001, T1528, T1543.002, T1546, T1546.004, T1552, have more...

IOCs:
File: 1

Soft:
CLAUDE, systemd

Languages:
javascript, rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4