#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Darktrace выявила продолжающуюся киберактивность китайской спонсируемой государством группы Twill Typhoon, нацеленную на страны Азиатско-Тихоокеанского региона и Японию с конца сентября 2025 года. Группа использует сложную стратегию подгрузки (sideloading), скачивая легитимные исполняемые файлы и связанные с ними DLL-библиотеки для развертывания троянской программы на базе .NET, которая устанавливает каналы управления для связи. Ключевыми компонентами атаки являются эксплуатация механизма Windows ClickOnce и сильно обфусцированные бэкдоры, такие как Client.TcpDmtp.dll, что обеспечивает постоянное взаимодействие и профилирование системы.
-----

В ходе недавнего анализа Darktrace выявила продолжающуюся киберактивность, связанную с китайской группой, спонсируемой государством, известной как Twill Typhoon, которая в первую очередь нацелена на регионы Азиатско-Тихоокеанского региона и Японии. Кампания, начавшаяся в конце сентября 2025 года, продемонстрировала различные клиентские среды, отправляющие запросы к доменам, маскирующимся под сети доставки контента (CDN). Эти домены были связаны с известными сервисами, включая Yahoo и Apple. Методология атаки включает загрузку легитимных исполняемых файлов вместе с вредоносными динамическими библиотеками (DLL) для обеспечения выполнения модульного фреймворка Троянской программы удаленного доступа (RAT) на базе .NET.

Обнаруженная во время кампании последовательная модель выполнения указывает на сложную стратегию подгрузки сторонних библиотек. Сначала загружается легитимный исполняемый файл, затем соответствующий файл конфигурации и, наконец, вредоносная DLL. Этот процесс наблюдался в нескольких инцидентах, когда одна и та же последовательность извлечения данных приводила к установлению связи с управлением (C2). Хотя методы первоначального доступа не были выявлены, исторические паттерны, связанные с Twill Typhoon, предполагают, что Целевой фишинг может предшествовать подобным действиям.

Один конкретный инцидент в финансовом секторе показал, что хосты отправляли множество HTTP GET-запросов на, казалось бы, безобидные домены, связанные с Yahoo, начиная с легитимных бинарных файлов и постепенно загружая связанные конфигурационные и DLL-компоненты. Возможность ВПО работать внутри доверенных процессов подчеркивается его методом именования вредоносной DLL так же, как легитимной, что позволяет ей выполняться при вызове базовым приложением.

Ключевые компоненты атаки включают механизм ClickOnce для Windows (dfsvc.exe) и процесс хостинга Visual Studio (vshost.exe). Вредоносные конфигурации заменяют легитимные файлы, манипулируя тем, как выполняются целевые процессы, и внедряя бэкдоры без немедленного вызова тревог. В качестве заметного примера процесс заменяет конфигурации и изменяет поведение приложения, чтобы обеспечить бесшовную загрузку вредоносной DLL (dnscfg.dll).

Основной полезный груз — сильно зашифрованный бэкдор под названием Client.TcpDmtp.dll, который работает по собственному протоколу TCP и обновленной версии протокола передачи сообщений Duplex Message Transport Protocol (FDMTP 3.2.5.1). Бэкдор поддерживает постоянное взаимодействие с сервером C2 и обладает возможностями профилирования системы и выполнения команд. Он глубоко интегрируется в систему, управляя жизненным циклом и обслуживанием с помощью различных компонентов, включая основную библиотеку и дополнительные плагины, способные выполнять постоянные изменения в реестре.

Выводы согласуются с установленными паттернами угроз, связанных с Китаем, подчеркивая поведенческую модель вместо конкретных индикаторов для обнаружения. Как отмечалось, хотя техники и инфраструктура могут эволюционировать, фундаментальные методологии выполнения выявляют стабильную и узнаваемую тактику. Этот вывод предполагает, что киберзащита должна сосредоточиться на мониторинге этих поведенческих паттернов для усиления усилий по обнаружению и предотвращению таких сложных кампаний.

#ParsedReport #CompletenessMedium
28-05-2026

Grandoreiro Malware Campaign Targets Europe and Latin America

https://www.watchguard.com/wgrd-security-hub/secplicity-blog/grandoreiro-malware-campaign-targets-europe-and-latin-america

Report completeness: Medium

Threats:
Grandoreiro
Dll_sideloading_technique

Victims:
Banking, Companies, Europe, Latin america

Industry:
Iot, Financial

Geo:
Argentina, Portugal, Spain, Latin america, Brazil, Mexico, Portuguese, Spanish, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1047, T1059.005, T1071.005, T1105, T1497.001, T1518, T1518.001, T1566.002, have more...

IOCs:
File: 13
Domain: 1
Url: 1
IP: 1

Soft:
WebRTC, Dropbox, Sysinternals, NetworkMiner, Google Chrome, Firefox, Microsoft Edge

Crypto:
binance

Algorithms:
zip

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Grandoreiro нацелена на банковские учреждения в Европе и Латинской Америке, используя DLL Side-Loading с библиотеками, созданными в Delphi 11, и техниками реального времени, такими как SGC WebSockets и WebRTC, что усложняет обнаружение. Начальным вектором атаки является фишинг, который побуждает пользователей загружать вредоносные ZIP-файлы из Dropbox. ВПО использует пиринговую связь через протоколы STUN и ICE, взаимодействует с Облачными сервисами и включает проверки на наличие средств защиты, что подчеркивает его адаптивность в избежании обнаружения.
-----

Вредоносная кампания Grandoreiro активно нацелена на банковские учреждения в Европе и Латинской Америке, в частности в Португалии и Испании, а также расширяет свое присутствие в Мексике. Злоумышленник использует технику DLL Side-Loading, применяя различные библиотеки программного обеспечения — включая libwebp.dll, mingw10.dll, libffi-6.dll и libpng15.dll, — созданные с помощью Delphi 11. Эти библиотеки интегрированы с файлами HTML, JavaScript и CSS, которые являются частью схемы связи, использующей SGC WebSockets и WebRTC. Такой подход обеспечивает связь в реальном времени между приложениями, что затрудняет обнаружение вредоносной активности, поскольку она функционирует в рамках легитимных шаблонов трафика.

Первоначальный вектор атаки для этой кампании — фишинг, который использует вредоносные ссылки, направляющие пользователей на Dropbox для загрузки ZIP-файлов, содержащих ВПО. Выявленные домены, используемые для этих ссылок, такие как uniaodownloadcnk.online и vmi.contaboserver.net, связаны с облачным хостингом и были недавно созданы для поддержки кампании.

Два конкретных случая дополнительно иллюстрируют операционные техники вредоносного ПО. Первый случай использует протокол STUN, позволяющий вредоносному ПО определить публичный IP-адрес жертвы и осуществлять связь по принципу «peer-to-peer». Вариант mingwn10.dll подключается к сервисам Google Cloud, тогда как libwebp.dll взаимодействует с Azure через протокол MQTT, потенциально нацеливаясь на устройства Интернета вещей (IoT). Использование шумного трафика веб-конференций усложняет усилия по мониторингу, делая злонамеренную деятельность менее заметной.

Во втором случае вредоносное ПО использует протокол ICE, также предназначенный для одноранговых коммуникаций, и взаимодействует с API Binance вместе с сервисами Amazon через MQTT. Эта вариация содержит ссылки как на португальские банки, так и на некоторые китайские строки, что указывает на разнообразный операционный охват. Дополнительные проверки в коде вредоносного ПО включают функциональность режима киоска, которая ограничивает доступ пользователя к другим приложениям, обеспечивая скрытые операции.

Помимо техник подгрузки DLL, задокументирована отдельная кампания, связанная с сильно обфусцированным скриптом Visual Basic (VBS), который устанавливает вредоносное ПО после выполнения. Скрипт VBS проверяет наличие различных средств защиты, таких как утилиты из набора Sysinternals и приложения для сетевого анализа, а также определяет, выполняется ли он в виртуальной среде. Кроме того, он использует WMI для запроса списка антивирусных продуктов, установленных в системе.

Продолжающаяся эволюция кампании Grandoreiro подчеркивает необходимость надежных мер кибербезопасности. Мотивированные финансовой выгодой злоумышленники быстро адаптируют свои стратегии, используя легитимные сервисы для сокрытия своей деятельности и эффективного уклонения от традиционных методов обнаружения. Организациям в затронутых регионах необходимо принять многоуровневую стратегию защиты, включающую поведенческое обнаружение и комплексный мониторинг для упреждающего выявления и снижения риска банковских троянов до того, как они нанесут ущерб.

#ParsedReport #CompletenessMedium
28-05-2026

GREYVIBE: A Rus

https://labs.withsecure.com/publications/greyvibe.html

Report completeness: Medium

Actors/Campaigns:
Greyvibe (motivation: cyber_criminal, information_theft)
Fin12

Threats:
Spear-phishing_technique
Legionrelay
Phantomrelay
Phantomclick_tool
Clickfix_technique
Fallspy
Zapixdesk
Lookvaljs
Teasoup
Kongtuke
Sawdust_tool
Crudedust_tool
Lookvalps
Trickbot
Xmrig_miner

Victims:
Military, Government, Civilian, Business, Ukrainian combatants, Ukraine related entities

Industry:
Energy, Military, Government

Geo:
Russia, Ukrainian, Ukraine, Latvian, Moscow, Rus, Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1021.001, T1027, T1041, T1059.001, T1059.003, T1059.007, T1071.001, T1082, have more...

Soft:
Zoom, Android, Telegram, WireGuard, ChatGPT, Microsoft Teams, WhatsApp

Algorithms:
zip, exhibit

Languages:
powershell, javascript

Links:
https://github.com/WithSecureLabs/iocs/tree/master/GREYVIBE/

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GREYVIBE — это хакерская группировка, нацеленная на Украину, действующая в интересах российского государства с августа 2025 года, использующая такие методы, как Целевой фишинг, поддельные страницы captcha и мошеннические веб-сайты. Их арсенал ВПО включает инструменты собственной разработки, такие как RAT PhantomRelay на базе PowerShell, который имеет модульную архитектуру и использует WebSockets для управления, а также вредоносное ПО для Android FallSpy для слежки. Недавнее использование GREYVIBE генеративного искусственного интеллекта для улучшения операций указывает на изменяющийся ландшафт угроз, усложняя усилия по обнаружению и атрибуции.
-----

GREYVIBE — это хакерская группировка, выявленная WithSecure, которая с августа 2025 года преимущественно нацелена на Украину и организации, связанные с Украиной. Деятельность группы демонстрирует значительные пересечения в инфраструктуре атак и операционных методологиях, что указывает на устойчивую кампанию, согласованную с интересами российского государства, особенно в контексте российско-украинской войны. Операции GREYVIBE характеризуются использованием различных векторов атак, включая целевой фишинг, поддельные страницы captcha и мошеннические веб-сайты, имитирующие украинские организации. Эти методы способствовали распространению ВПО, преимущественно кастомных вариантов, таких как PhantomRelay, FallSpy и LegionRelay.

PhantomRelay, Троянская программа удалённого доступа (RAT) на базе PowerShell, использует двухэтапную цепочку выполнения и осуществляет связь с сервером управления через WebSockets. Её модульная архитектура позволяет расширять функциональность с помощью дополнительных скриптов. Группа выпустила несколько вариантов PhantomRelay, последним из которых является PhantomRelayV2, что демонстрирует явное развитие их возможностей по созданию вредоносного программного обеспечения (ВПО). FallSpy, доступная для Android, предназначена для слежки и тайного сбора разведывательных данных, осуществляя эксфильтрацию информации с заражённых устройств, при этом показывая пользователю поддельный контент.

Согласно недавним оперативным тенденциям, GREYVIBE экспериментирует с системами в стиле ClickFix для создания поддельных страниц для начального развертывания вредоносного ПО. Кроме того, их широкое использование генеративного искусственного интеллекта и больших языковых моделей на протяжении всего жизненного цикла атаки усилило их оперативные возможности. Это позволило GREYVIBE эффективно разрабатывать приманки, обфускаторы и загрузчики, быстро устраняя технические пробелы и усложняя традиционные методы атрибуции из-за динамичной природы их набора инструментов.

Их атрибуция дополнительно усложняется указаниями на то, что группа имеет связи с более широким экосистемой киберкриминал, с доказательствами их ВПО, появляющимися в несвязанных киберкриминал деятельности. Операторы, вероятно, русскоязычные, работающие в часовых поясах Москвы, и их деятельность сильно указывает на согласование с российскими целями сбора разведданных.

Хотя анализ WithSecure подтверждает мнение о том, что операции GREYVIBE связаны с российскими государственными интересами, они не демонстрируют зрелости, типичной для более продвинутых злоумышленников. Однако постоянная разработка и развертывание сложных инструментов, а также интеграция искусственного интеллекта в их стратегии указывают на то, что GREYVIBE может продолжать развиваться, что делает непрерывное обнаружение и атрибуцию все более сложными задачами для усилий в области кибербезопасности. Согласно последним отчетам, окончательных связей с другими известными группами злоумышленников не установлено, хотя мониторинг будет продолжаться для определения любых потенциальных пересечений с существующей кибердеятельностью.

#ParsedReport #CompletenessHigh
28-05-2026

Malicious NuGet Package Impersonates Sicoob SDK to Exfiltrate Banking Certificates and Passwords

https://socket.dev/blog/malicious-nuget-package-impersonates-sicoob-sdk

Report completeness: High

Actors/Campaigns:
Sicoob_impersonation

Threats:
Supply_chain_technique

Victims:
Financial services, Banking, Software developers

Industry:
Financial

Geo:
Brazilian, Brasil, Brazil

TTPs:
Tactics: 3
Technics: 5

IOCs:
File: 16
Url: 4
Domain: 1
Hash: 1

Soft:
NuGet, NuGet a

Algorithms:
base64

Languages:
powershell

Links:
https://github.com/Sicoob-Cooperativa/sicoob\_sdk\_csharp/blob/main/SicoobClient.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет NuGet, замаскированный под SDK Sicoob, был обнаружен выполняющим эксфильтрацию конфиденциальной банковской информации, включая идентификаторы клиентов и пароли PFX, путем инициализации объекта клиента и передачи данных на жестко закодированный конечный пункт. Версии с 2.0.0 по 2.0.4 содержали встроенную логику эксфильтрации, в то время как связанный репозиторий GitHub ложно характеризовал SDK как безвредный, не имея вредоносных компонентов. Эта атака использует методы Компрометации цепочки поставок и представляет риск несанкционированного доступа к чувствительным финансовым операциям, если учетные данные будут скомпрометированы.
-----

Недавно выявленный вредоносный пакет NuGet, использующий Маскировка под официальный SDK Sicoob (Sicoob.Sdk), оказался инструментом для эксфильтрации конфиденциальной банковской информации, включая идентификаторы клиентов, пароли PFX и банковские сертификаты. Этот пакет, ложно заявляющий о возможности интеграции с финансовыми системами Sicoob в Бразилии, был загружен в репозиторий NuGet без какого-либо законного отношения к банку.

Вредоносное поведение в основном происходит, когда пакет инициализирует объект клиента — с использованием предоставленного идентификатора клиента, пути к файлу PFX и пароля к файлу PFX. Пакет считывает содержимое сертификата PFX с диска, кодирует эти данные в base64 и затем передает как идентификатор клиента, так и пароль к PFX в открытом виде на жестко заданный конечный пункт телеметрии Sentry. Такое поведение вызывает серьезные опасения в плане безопасности, поскольку файл PFX часто содержит закрытый ключ клиента и сертификат, необходимые для аутентификации по взаимному TLS. Если эти учетные данные будут скомпрометированы, злонамеренный актор может потенциально имперсонировать легитимную интеграцию API Sicoob, что приведет к несанкционированному доступу к конфиденциальным финансовым данным.

Анализ пакета показывает, что версии 2.0.0–2.0.4 содержали встроенную логику эксфильтрации, что отличало их от других безвредных пакетов, выпущенных тем же хакером под тем же именем. Примечательно, что видимый исходный код в связанном репозитории GitHub демонстрировал безвредную функциональность SDK, но не содержал вредоносных компонентов эксфильтрации, присутствующих в распространяемых бинарных файлах NuGet. Это расхождение предполагает, что репозиторий GitHub мог быть создан как фасада для придания дополнительного уровня достоверности вредоносному коду.

Аккаунт NuGet, ответственный за распространение этой версии SDK, был отмечен как связанный с другими потенциально вредоносными пакетами, и после получения сообщения об злоупотреблении пакет был заблокирован для дальнейшего распространения. Кроме того, связанная организация GitHub не имеет никакой подтверждённой аффилированности с Sicoob и не демонстрирует признаков надёжности, таких как подписчики или история вкладов, которые могли бы придать ей авторитетность в качестве официального источника.

Угроза, создаваемая этим ВПО, усугубляется возможностью доступа к чувствительным операциям, включая мгновенные платежи Pix, транзакции boleto и управление другими финансовыми данными, в зависимости от разрешений, связанных с скомпрометированными учетными данными.

Атака соответствует устоявшимся техникам MITRE ATT&CK, связанным с компрометацией Цепочки поставок, эксфильтрацией через каналы управления (C2) и несанкционированным получением учетных данных, что отражает продуманную стратегию злоумышленника по эксплуатации относительно доверенных программных сред и манипулированию доверием разработчиков в корыстных целях. Инцидент служит критически важным напоминанием о важности обеспечения безопасности зависимостей программного обеспечения и бдительности в отношении атак на Цепочку поставок.

#ParsedReport #CompletenessLow
28-05-2026

The Mini Shai-Hulud Worm and the New Era of CI/CD Exploitation

https://flashpoint.io/blog/mini-shai-hulud-worm-new-era-ci-cd-exploitation/

Report completeness: Low

Actors/Campaigns:
Mini_shai-hulud (motivation: cyber_criminal)
Teampcp (motivation: cyber_criminal)

Threats:
Supply_chain_technique
Dead_drop_technique
Shai-hulud

Victims:
Developer ecosystem, Software supply chain, Ai developer tools, Enterprise data visualization, Code hosting platforms, Security tooling

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.007, T1102.001, T1195.001, T1213, T1485, T1543.001, T1543.002, T1546, have more...

IOCs:
File: 2

Soft:
TanStack, Node.js, Kubernetes, Docker, HashiCorp Vault, 1Password, Bitwarden, systemd, Linux, macOS, have more...

Crypto:
bitcoin

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Mini Shai-Hulud, развернутый TeamPCP, нацелен на конвейеры CI/CD, эксплуатируя уязвимости в инструментах разработчиков и крадя токены аутентификации с платформ, таких как npm и GitHub. Он выполняется в виде зашифрованного скрипта на Bun JavaScript, что позволяет ему избегать обнаружения, одновременно компрометируя учетные данные во множестве сред. К продвинутым тактикам относятся использование GitHub для связи с управлением и поддержание закрепления, а также эксфильтрация конфиденциальных данных из сеансов разработки.
-----

Червь Mini Shai-Hulud, развернутый хакерской группировкой TeamPCP, представляет собой серьезную угрозу для экосистемы разработчиков, фундаментально компрометируя целостность конвейеров непрерывной интеграции/непрерывного развертывания (CI/CD). Благодаря своей способности к самораспространению и воздействию на миллионы разработчиков и множество организаций, Mini Shai-Hulud может быстро эксплуатировать уязвимости в инструментах разработчиков и инфраструктурах идентификации. Операции быстро эскалировали, перейдя от оппортунистических краж учетных данных к автоматизированному процессу, способному компрометировать множество пакетов за считанные минуты.

Технически Mini Shai-Hulud функционирует как обфусцированный скрипт (498 КБ), выполняемый с использованием среды выполнения JavaScript Bun, что позволяет ему избегать обнаружения большинством решений безопасности конечных точек, настроенных для Node.js. Методика включает кражу токенов аутентификации npm и GitHub и их использование для публикации вредоносных версий пакетов, поддерживаемых скомпрометированными пользователями. Это достигается путем сканирования памяти для извлечения кратковременных токенов идентификации и их использования для получения токенов доверенного издателя npm без необходимости в долгосрочных секретных ключах.

Червь нацелен на широкий спектр учетных данных в более чем 130 путях к файлам, включая токены для npm, GitHub, AWS, Azure, Kubernetes, Docker и различных решений для управления секретами. Коммуникация command-and-control (C2) использует метод мертвой точки через публичный API поиска коммитов GitHub, что затрудняет обнаружение без нарушения легитимного использования платформы. Установленные демоны на машинах жертв позволяют червю опрашивать GitHub на наличие команд, встроенных в коммиты, выполняя их бесшовно и используя GitHub в качестве доверенного ретранслятора.

Кроме того, червь использует инновационные техники закрепления путем перехвата AI-агентов для написания кода. Он изменяет конфигурационные файлы таких инструментов, как Claude Code и Visual Studio Code, чтобы сохранить свое присутствие и выполнить эксфильтрацию конфиденциальной информации, обрабатываемой в будущих сессиях разработки. Это представляет собой новую поверхность атаки в средах разработки, ориентированных на ИИ.

За несколько волн атак в 2026 году TeamPCP нацелилась на значительные экосистемы, включая ряд пакетов библиотек, инструментов для разработчиков ИИ и даже внутренние корпоративные репозитории, похитив значительный объем проприетарных данных из организаций. Их методология включала эксплуатацию методов отравления кэша и использование поддельного авторства коммитов для дальнейшего проникновения в доверенные среды разработки.

В качестве ответа организациям рекомендуется провести аудит сред CI/CD, удалить зараженные пакеты, сменить учетные данные и заблокировать коммуникации с C2. Эта новая угроза подчеркивает критическую необходимость мониторинга конфигураций AI-агентов и внедрения строгих мер безопасности для инструментов разработки и цепочек поставок программного обеспечения. Эволюция Mini Shai-Hulud указывает на растущий тренд в стратегическом использовании атак на цепочку поставок, направленных на подрыв доверия и операционной целостности в экосистемах разработчиков.

#ParsedReport #CompletenessMedium
29-05-2026

Typosquatted npm packages used to steal cloud and CI/CD secrets

https://www.microsoft.com/en-us/security/blog/2026/05/28/typosquatted-npm-packages-used-steal-cloud-ci-cd-secrets/

Report completeness: Medium

Actors/Campaigns:
Vpmdhaj

Threats:
Typosquatting_technique
Supply_chain_technique
Shai-hulud

Victims:
Npm package ecosystem, Opensearch ecosystem, Elasticsearch ecosystem, Cloud environments, Ci cd environments

TTPs:
Tactics: 5
Technics: 0

IOCs:
Email: 1
File: 12
Domain: 1
Url: 1
Hash: 3

Soft:
Linux, Microsoft Defender, OpenSearch, HashiCorp Vault, macOS, Microsoft Defender for Endpoint, Node.js

Algorithms:
sha256, zip, base64

Functions:
require, GetCallerIdentity

Languages:
powershell, javascript

Platforms:
arm, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft сообщил о цепочке поставок атаке на экосистему npm со стороны злоумышленника под именем vpmdhaj, который опубликовал 14 пакетов с опечатками, предназначенных для имитации популярных библиотек. Эти пакеты, используя стейджер, который действует как сборщик учетных данных для облачных сред, выполняются скрытно при установке, нацеливаясь на конфиденциальные данные, такие как учетные данные AWS и секреты конвейеров CI/CD. Атака использует хуки жизненного цикла npm для автоматического выполнения, связывается с сервером управления и использует легитимные файлы среды выполнения Bun для сокрытия своей деятельности.
-----

Microsoft сообщил о цепочке поставок атака, нацеленная на экосистему npm-пакетов злоумышленником по имени vpmdhaj. Актор опубликовал 14 поддельных вредоносных пакетов 28 мая 2026 года, предназначенных для имитации популярных библиотек. Эти пакеты собирают конфиденциальные учетные данные, включая учетные данные AWS, токены HashiCorp Vault и секреты из конвейеров CI/CD. Все пакеты используют загрузчик, который выполняет 195 КБ Bun-скомпилированный сборщик учетных данных, нацеленный на облачные среды.

Атака инициируется автоматическим выполнением во время установки npm с использованием хуков жизненного цикла npm. Первое поколение цепочки выполнения подключается к HTTP C2 для загрузки второго этапа полезной нагрузки, тогда как второе поколение использует действительные файлы среды выполнения Bun для сокрытия своих операций. Файл setup.mjs проверяет наличие установки Bun и может загрузить его, если он отсутствует, маскируя первоначальное подключение к C2.

Бинарный файл второго этапа обращается к AWS EC2 Instance Metadata Service (IMDSv2), метаданным Elastic Container Service и AWS Secrets Manager в различных регионах, проверяя токены публикации npm, которые могут позволить манипуляции с репозиторием или процессом CI/CD. Атака в первую очередь нацелена на разработчиков, которые с высокой вероятностью имеют эти учетные данные из-за релевантности пакетов для сред OpenSearch и ElasticSearch.

Скомпрометированные сессии AWS STS и учетные данные Secrets Manager позволяют осуществлять перемещение внутри компании и масштабное хищение данных. Украденные токены GitHub Actions могут способствовать несанкционированному изменению содержимого репозиториев, тогда как токены npm publish могут привести к дальнейшим проникновениям в Цепочку поставок. Microsoft Defender Antivirus способен обнаруживать и блокировать эти вредоносные компоненты, однако последствия атаки требуют мониторинга выполнения скриптов жизненного цикла npm и несанкционированных загрузок из GitHub с целью получения вредоносных загрузок.

#ParsedReport #CompletenessLow
29-05-2026

55+ Football Scam Campaigns Exploit FIFA World Cup 2026 Hype on Meta Platforms

https://www.secureblink.com/cyber-security-news/55-football-scam-campaigns-exploit-fifa-world-cup-2026-hype-on-meta-platforms-1

Report completeness: Low

Victims:
Football fans, England supporters, Scotland supporters, Tartan army, Hearts fc supporters, Parents

Industry:
Retail, E-commerce, Transport

Geo:
Germany, Spain, Portugal, Belgium, Australia, China, Canada, Algeria, Chinese, Mexico, Brazil, England

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1566, T1583.001, T1583.008, T1585.002, T1656

IOCs:
Domain: 3

Soft:
Instagram, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4