#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга PUMA Careers использует сложные тактики социальной инженерии, применяя профессиональные рекрутинговые нарративы и высококачественные дизайны, имитирующие легитимные процессы найма, с акцентом на удаленные старшие позиции для снижения подозрительности среди соискателей. Атакующие использовали OSINT для профилирования жертв в LinkedIn, создали мошеннический домен (pumacareerorbit.com) незадолго до атак и запустили вторичный поддельный карьерный сайт (puma.candidatesessionportal.com) для сбора учетных записей. Эта операция демонстрирует масштабируемую фишинговую инфраструктуру, которая эксплуатирует психологическую манипуляцию, связанную с нестабильностью занятости, применяя передовые методы для быстрого развертывания и убедительного пользовательского опыта.
-----

Кампания фишинга PUMA Careers нацелена на соискателей с использованием сложных техник социальной инженерии.

Злоумышленники имитируют легитимные процессы найма с высококачественными дизайнами, которые напоминают брендинг PUMA.

Кампания использует персонализированные электронные письма, созданные на основе разведки с использованием данных LinkedIn.

Он избегает распространённых признаков фишинга, представляя возможности для удалённых старших должностей, чтобы минимизировать подозрения жертвы.

Несоответствие идентичности в фишинговом письме указывало на использование Разведки с открытыми источниками (OSINT) для профилирования жертвы.

Домен фишинга pumacareerorbit.com был создан незадолго до начала кампании, что подтверждает его мошеннический характер.

Инфраструктура характеризуется коротким сроком действия TLS-сертификата, размещением на платформе Cloudflare и вариациями названия бренда PUMA для уклонения от обнаружения.

Атакующие создали вторичный портал puma.candidatesessionportal.com, предназначенный как поддельный сайт карьеры для сбора учетных записей.

Фальшивый сайт содержал убедительные вакансии и рабочие процессы, которые побуждали жертв предоставлять конфиденциальную информацию.

Операция демонстрирует масштабируемую фишинговую инфраструктуру с повторно используемыми фреймворками для быстрого развертывания.

Методы включали сложные способы сбора данных и легковесную архитектуру, похожую на SaaS.

Кампания опирается на психологическое манипулирование, эксплуатируя тревоги, связанные с нестабильностью на рабочем месте.

Проактивные меры для организаций включают мониторинг недавно зарегистрированных доменов, имитирующих корпоративные бренды.

Установление каналов связи для верификации и повышение уровня безопасности в отношении фишинга, связанного с наймом, является необходимым.

Командам безопасности следует использовать поведенческие индикаторы и корреляции возраста домена в процессах обнаружения.

Ожидается, что достижения в области генеративного искусственного интеллекта улучшат создание убедительного мошеннического контента, смещая фокус на эксплуатацию доверия пользователей.

#ParsedReport #CompletenessMedium
04-06-2026

VerdantBamboo: Just Another BRICKSTORM in the Firewall

https://www.volexity.com/blog/2026/06/04/verdantbamboo-just-another-brickstorm-in-the-firewall/

Report completeness: Medium

Actors/Campaigns:
Unc5221

Threats:
Brickstorm
Grimbolt
Agentpsd
Gobfuscate_tool
Slaystyle

Victims:
Managed services provider, Enterprise environments

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1021.004, T1027, T1053.003, T1059.004, T1070.004, T1071.001, T1071.004, T1078, T1078.001, have more...

IOCs:
File: 4
Hash: 16
Domain: 15
IP: 16

Soft:
NET Core, Linux, PyInstaller, sudo, Volexity Volcano, ESXi, vSphere

Algorithms:
base64, md5, sha256, sha1

Functions:
Volexity

Languages:
golang, rust, python

Platforms:
cross-platform

YARA: Found

Links:
https://github.com/unixpickle/gobfuscate
have more...
https://github.com/dotnet/Nerdbank.Streams
https://github.com/Washi1337/ghidra-nativeaot

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года Volexity расследовала инцидент компрометации, связанный с устройством Egnyte Storage Sync на базе Linux, которое было связано с китайским злоумышленником VerdantBamboo и вредоносным ПО BRICKSTORM. Актор использовал скомпрометированные учетные данные администратора для получения доступа к Microsoft 365 и применил повышение привилегий для развертывания исполняемых файлов бэкдора, включая BRICKSTORM и обратный шелл на Python. В ходе расследования было выявлено, что VerdantBamboo восстановил доступ после первоначального устранения последствий через скомпрометированный межсетевой экран, применяя сложные методы для поддержания скрытности в течение более 18 месяцев.
-----

В сентябре 2025 года Volexity расследовала инцидент компрометации, связанный с устройством Egnyte Storage Sync на базе Linux, которое было обнаружено подключенным к домену, контролируемому злоумышленником, вместо легитимного домена Egnyte. Этот инцидент был связан с китайским злоумышленником, известным как VerdantBamboo, который, как установлено, использует ВПО BRICKSTORM, задокументированное различными агентствами безопасности. Первоначальное проникновение произошло из-за скомпрометированных учетных данных администратора, которые позволили VerdantBamboo получить доступ к среде Microsoft 365 жертвы, маскируя вредоносную активность под легитимный трафик и тем самым избегая обнаружения.

В ходе расследования Volexity обнаружила, что VerdantBamboo взаимодействовала с системой Storage Sync через непривилегированную учетную запись с именем egnyteservice, используя локальную ошибку конфигурации повышения привилегий, которая позволила злоумышленнику записывать исполняемые файлы бэкдора. Среди них были BRICKSTORM на базе Golang и обратный шелл на Python под названием AGENTPSD, который служил резервным каналом в случае отказа основного бэкдора. Кроме того, дополнительный анализ показал, что VerdantBamboo ранее взломала провайдера управляемых услуг (MSP) жертвы, что указывает на то, что атака, вероятно, была организована оттуда.

Анализ продолжил выявлять, что после первоначального устранения уязвимостей VerdantBamboo восстановил доступ к сети жертвы, эксплуатируя скомпрометированный межсетевой экран. Злоумышленник настроил доступ через веб-SSL VPN, что позволило осуществлять непрерывное перемещение внутри сети, что в итоге привело к развертыванию PLENET — сложного кроссплатформенного бэкдора, созданного с использованием функций .NET Native AOT. Инфраструктура, поддерживающая эти атаки, была спроектирована для поддержания низкой заметности, с использованием ограниченного количества доменов и кастомных механизмов закрепления, адаптированных для избежания обнаружения решениями обнаружения и реагирования на конечных точках (EDR).

Криминалистический анализ Volexity скомпрометированных устройств привел к выявлению нескольких вариантов BRICKSTORM, все из которых демонстрировали значительную скрытность за счет развертывания на системах, обычно не имеющих покрытия EDR. К ним относились устаревшие или проприетарные устройства, такие как межсетевые экраны и устройства NAS, что дополнительно усиливало способность VerdantBamboo оставаться незамеченным в течение более 18 месяцев. Функциональность и методы коммуникации каждого варианта ВПО были тщательно разработаны для обеспечения этой низкой заметности, демонстрируя возможности операционной безопасности VerdantBamboo и знание целевых сред.

#ParsedReport #CompletenessHigh
05-06-2026

Seeking Counsel: Ongoing Targeted Campaign Against US Law Firms

https://cloud.google.com/blog/topics/threat-intelligence/targeted-campaign-us-law-firms/

Report completeness: High

Actors/Campaigns:
Luna_moth (motivation: financially_motivated, information_theft)
Unc2686

Threats:
Microsoft_quick_assist_tool
Zoho_assist_tool
Anydesk_tool
Bomgar_tool
Superops_tool
Rclone_tool
Bazarbackdoor
Trickbot
Gozi
Z_loader
Spear-phishing_technique
Credential_dumping_technique

Victims:
Law firms, Legal services, Professional services, Financial services

Industry:
Education

Geo:
Chad

TTPs:
Tactics: 10
Technics: 26

IOCs:
File: 1
Url: 1
IP: 7

Soft:
Zoom, Microsoft Teams, cURL, WinSCP, Windows Defender Application Control, Outlook

Languages:
powershell

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC3753, хакерская группировка, мотивированная финансовой выгодой, также известная как Luna Moth, использует фишинг по телефону и социальную инженерию для атак на юридические фирмы и финансовые организации США с целью кражи данных. Их тактика включает отправку обманных электронных писем для установления доверительных отношений с жертвами, за которыми следуют убедительные телефонные звонки, приводящие к сеансам удаленного доступа с использованием таких инструментов, как Zoom и AnyDesk. Оказавшись внутри систем, они быстро эксфильтруют конфиденциальные данные, часто используя физический доступ, а также применяя методы, позволяющие обойти средства защиты безопасности, что свидетельствует о глубоком понимании своих целей.
-----

UNC3753, также известная как Luna Moth, — это хакерская группировка, проводящая кампании шантажа с целью хищения данных с января по май 2026 года.

Их основными целями являются юридические фирмы США и организации в секторах профессиональных и финансовых услуг.

Они используют голосовой фишинг (vishing) и социальную инженерию для получения несанкционированного доступа.

Кампания начинается с обманных писем на тему счетов-фактур, за которыми следуют телефонные звонки.

Злоумышленники выдают себя за сотрудников службы технической поддержки, чтобы проводить сеансы демонстрации экрана и получать удалённый доступ.

Оказавшись внутри, они ищут проприетарные юридические документы, персональные данные (PII) и финансовые записи.

UNC3753 может завершать атаки от проникновения до эксфильтрации данных в течение одного часа.

Они используют инструменты удалённой поддержки, такие как Zoom и Microsoft Teams, для обхода мер безопасности.

Жертв часто направляют на загрузку таких инструментов, как AnyDesk, Bomgar и Zoho Assist, для обеспечения постоянного доступа.

Группа использует privnote.com для обмена командами выполнения, не оставляя следов на конечных устройствах.

Они также осуществляют физические проникновения, выдавая себя за ИТ-персонал для эксфильтрации данных с помощью USB-накопителей.

Эксфильтрация данных использует такие методы, как портативные версии WinSCP или Rclone и загрузка на контролируемые аккаунты.

Попытки вымогательства осуществляются вскоре после кражи данных, требуя быстрых ответов во избежание публичного раскрытия.

Операции UNC3753 отражают пересечение тактик с предыдущими кампаниями, с фокусом на высокоценные цели.

Постоянный мониторинг и поведенческий анализ имеют решающее значение для выявления аномалий, связанных с несанкционированным доступом.

#ParsedReport #CompletenessHigh
06-06-2026

Operation TaxShadow : Multi-Region Tax Phishing & In-Memory Malware Campaign

https://www.cyfirma.com/research/operation-taxshadow-multi-region-tax-phishing-in-memory-malware-campaign/

Report completeness: High

Actors/Campaigns:
Taxshadow (motivation: cyber_criminal, financially_motivated)

Threats:
Pe_injection_technique
Polymorphism_technique
Astral-pe_tool
Process_injection_technique
Spear-phishing_technique

Victims:
Taxpayers, Government, Enterprise users, India, Japan

Industry:
Government

Geo:
Chinese, Japanese, Indian

TTPs:
Tactics: 8
Technics: 16

IOCs:
Hash: 8
Email: 1
Domain: 11
File: 6
IP: 1

Soft:
Windows DLL loading, SendGrid, 2019, compilation ar, Visual Studio

Algorithms:
md5, xor, ror13, rc4, prng, zip, sha256

Functions:
SbieDll_Hook, CryptServiceMain, __readgsqword

Win API:
AccessCheckByType, CreateFileW, DuplicateHandle, SetThreadToken, GetTokenInformation, CreateThread, LoadLibrary, WinMain, GetVersionExW, GetProcAddress, have more...

Languages:
javascript

Platforms:
amd64

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 22, dump: 1, filemanager: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция TaxShadow использует сложное многоэтапное ВПО, инициируемое через фишинговые письма на тему налогов, имитирующие индийский налоговый орган. ВПО включает техники подмены порядка поиска DLL и перехвата API для избежания обнаружения, применяет технику отражённой загрузки PE для выполнения в памяти и использует механизмы на основе генератора Мерсенна для разнообразия шаблонов выполнения. Связь осуществляется через постоянные WebSocket-соединения, что указывает на связь с китайскоязычными злоумышленниками, при этом инфраструктура переиспользуется для атак на несколько регионов, включая Японию.
-----

Расследование кампании Operation TaxShadow выявило сложную и скрытую многоэтапную фреймворк-систему вредоносного ПО, инициированную через фишинговые письма на тему налогов, имитирующие индийский налоговый орган. Атака использует техники социальной инженерии, включая сообщения, создающие ощущение срочности, и угрозы несоблюдения требований, чтобы направить жертв на вредоносный веб-сайт, имитирующий легитимный налоговый портал. Здесь жертв заманивают загрузить ZIP-архив, содержащий три ключевых компонента полезной нагрузки: कर विवरण.exe (хост-загрузчик), SbieDll.dll (вредоносный загрузчик) и SbieDll.bin (зашифрованный шеллкод).

Эта архитектура вредоносного ПО демонстрирует различные расширенные возможности, направленные на уклонение от обнаружения. Ключевые техники включают подмену порядка поиска DLL, что позволяет вредоносному ПО загружать свои компоненты вместо легитимных системных библиотек, и перехват API, позволяющий ему скрытно манипулировать поведением процессов. Вредоносное ПО использует несколько перехватов для подавления отказов в доступе, манипулирует привилегиями и выполняет код, не вызывая тревог среди традиционных мер безопасности.

Одной из заметных тактик является механизм выполнения на основе генератора Мерсенна Твистера, который вносит вариативность в шаблоны выполнения, тем самым усложняя усилия по реверс-инжинирингу и генерации сигнатур. Вредоносное ПО также использует технику отражённой загрузки PE-файлов для выполнения в памяти без создания идентифицируемых артефактов на диске. В сочетании с уплощением потока управления на основе LLVM это скрывает пути управления, дополнительно затрудняя анализ.

Связь с инфраструктурой управления (C2) осуществляется через постоянные WebSocket-соединения, которые маскируют вредоносный трафик под легитимную сетевую активность, повышая скрытность. Вредоносное ПО также способно работать в корпоративных прокси-средах, используя динамические конфигурации для обхода обнаружения. Наличие артефактов китайского языка указывает на возможную связь с китайскоязычными злоумышленниками, хотя окончательная атрибуция остается неопределенной.

Многорегиональный характер этой кампании расширяет ландшафт угроз, указывая на то, что инфраструктура, используемая для размещения фишинговых сайтов на индийскую тематику, также повторно используется для атак на японских жертв, что демонстрирует централизованную операционную модель. Использование надежных сторонних почтовых сервисов наряду с имперсонацией государственных структур повышает успешность фишинговых атак, позволяя обходить стандартные протоколы безопасности электронной почты.

#ParsedReport #CompletenessLow
03-06-2026

IronWorm Supply Chain Malware Hits npm

https://www.ox.security/blog/ironworm-supply-chain-malware-hits-npm/

Report completeness: Low

Threats:
Supply_chain_technique
Ironworm

Victims:
Software developers, Npm ecosystem

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.009, T1078.004, T1195.001, T1204

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
IronWorm — это атака через Цепочка поставок, нацеленная на экосистему npm, которая компрометирует 36 пакетов через бинарные исполняемые файлы, активируемые скриптом postinstall, и обходит стандартные методы обнаружения. Написанный на Rust, он предназначен для эксфильтрации переменных окружения, учетные данные облачных сервисов и криптовалютных кошельков, а также использует саморепликацию для распространения дополнительных вредоносных пакетов через коммиты в GitHub. Разработчики, использующие затронутые пакеты, сталкиваются со значительными рисками из-за уязвимостей, присущих платформам распространения программного обеспечения.
-----

IronWorm представляет собой заметную атаку через цепочку поставок с использованием ВПО в экосистеме npm, проникнув в 36 различных пакетов. В отличие от типичного ВПО, которое скрывает себя в обфусцированном JavaScript-коде, IronWorm использует бинарные исполняемые файлы, активируемые через скрипт postinstall. Этот подход позволил ему избежать стандартных методов обнаружения. Хотя затронутые пакеты набрали в общей сложности 32 177 загрузок в месяц, угроза была нейтрализована до её расширения на более широко используемые пакеты, что ограничило потенциальное воздействие.

ВПО, созданное на языке Rust, предназначено для целенаправленной атаки на программных разработчиков путем внедрения вредоносных пакетов npm. Его основные задачи включают эксфильтрацию переменных окружения, учетных данных облачных сервисов и криптокошельков. IronWorm обладает возможностями самовоспроизводства, которые он использует, крадя учетные данные пользователей и затем загружая коммиты в GitHub. Эти коммиты способствуют автоматической публикации дополнительных вредоносных пакетов, тем самым распространяя кампанию дальше.

Разработчики, установившие любую из скомпрометированных версий пакетов, находятся под прямой угрозой со стороны IronWorm, что подчеркивает сохраняющиеся уязвимости, связанные с атаками на цепочку поставок на платформах распространения программного обеспечения. Обнаружение и сообщение об этой вредоносной кампании со стороны JFrog подчеркивает важность бдительности и необходимости надежных практик безопасности в сообществе разработчиков программного обеспечения для смягчения подобных угроз.

#ParsedReport #CompletenessHigh
04-06-2026

AI-Powered Cheats & Stolen Secrets: Teardown of the Yuta/Solara Roblox Stealer

https://www.derp.ca/research/yuta-solara-roblox-python-rat/

Report completeness: High

Threats:
Glove_stealer
Uac_bypass_technique
Dead_drop_technique
Silent_loader
Dll_injection_technique
Chromekatz_tool

Victims:
Roblox users, Game cheat users, Software developers, Cryptocurrency users

Industry:
Entertainment

TTPs:
Tactics: 4
Technics: 10

IOCs:
Hash: 2
Url: 3
Path: 2
File: 26

Soft:
Roblox, Windows Defender, DeepSeek, Google Chrome, PyInstaller, Discord, Pastebin, Telegram, Chrome, Authy, have more...

Wallets:
metamask, exodus_wallet

Algorithms:
aes-cbc, aes, xor, sha256, zip, base64, aes-gcm

Functions:
_is_sandbox, Set-MpPreference, DPAPI

Win API:
AmsiOpenSession, CoSetProxyBlanket, SeDebugPrivilege, NtCreateThreadEx, SetWindowsHookExW

Languages:
python, powershell

Platforms:
intel

Links:
https://github.com/Meckazin/ChromeKatz
have more...
https://github.com/zrax/pycdc
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Yuta/Solara нацелена на Roblox с использованием передовых техник уклонения, начиная с легитимного .NET WPF-приложения, которое действует как исполняющий файл для читов Roblox, в то время как вторичный PyInstaller-пакет, являющийся частью семейства ВПО Glove Stealer, работает скрытно. Это ВПО устанавливает канал управления через Discord, использует шестислойную стратегию закрепления и обходит Windows Defender с помощью различных скрытых техник, включая префиксирование команд и эксфильтрацию данных в памяти, конкретно нацеливаясь на конфиденциальные учетные данные и секреты пользователей. Кампания демонстрирует растущую сложность угроз, направленных на платформы онлайн-игр.
-----

Кампания Yuta/Solara нацелена на платформу Roblox, используя сложные техники уклонения и многоэтапную модель выполнения. Она начинается с внешне легитимного .NET WPF-приложения, которое действует как исполняющая среда для читов Roblox. Это приложение предназначено для обмана пользователей, в то время как вторичная полезная нагрузка, созданная с помощью PyInstaller, выполняется скрыто в фоновом режиме. Эта полезная нагрузка представляет собой сложную реализацию семейства ВПО Glove Stealer, которая применяет различные техники для обхода мер безопасности и эксфильтрации конфиденциальных пользовательских данных.

ВПО имеет сложный процесс оркестрации, который включает установление связи управления (C2) через Discord, использование конкретных точек конфигурации для доставки полезной нагрузки и эксфильтрации данных. Оно особенно эффективно в обеспечении закрепления на скомпрометированных системах, реализуя шестислойную стратегию закрепления, которая включает запланированные задачи, модификации реестра и подписки на события WMI, что гарантирует его выживание после перезагрузок.

Для поддержания оперативной скрытности вредоносное ПО использует несколько техник для ослепления Windows Defender, включая добавление префиксов к командам для включения путей в исключения и выполнение административных вызовов для запуска тихих запросов UAC. Это позволяет ему работать незамеченным, выполняя серию задач по сбору конфиденциальной информации. Один из заметных методов заключается в обходе шифрования App-Bound Encryption (ABE) в Chrome, используя пятиуровневый подход, вдохновленный предыдущими версиями вредоносного ПО и публичными исследованиями, что обеспечивает доступ к расшифрованным пользовательским данным, таким как файлы cookie и токены.

Эксфильтрация данных выполняется в памяти без записи на диск с использованием создания ZIP-файла в памяти. Это позволяет избежать срабатывания общих методов обнаружения, связанных с записью файлов. ВПО также реализует бота Discord для удаленного выполнения команд, что позволяет злоумышленникам активно управлять заражением и кражей данных.

Кампания демонстрирует продвинутые возможности в области манипуляции памятью, обхода защиты и сбора данных, конкретно нацеливаясь на высокоценные учетные данные и секреты, связанные с игровой и разработческой деятельностью. Это иллюстрация эволюционирующих тактик, используемых злоумышленниками в сфере онлайн-игровых платформ, отражающая сдвиг в сторону более сложных и целенаправленных подходов киберпреступников.

#ParsedReport #CompletenessMedium
07-06-2026

Shai-Hulud Descends to Hades: Miasma Worm Campaign Spreads with New PyPI Wave

https://socket.dev/blog/shai-hulud-descends-to-hades-miasma-pypi-wave

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Shai-hulud
Hades
Miasma
Supply_chain_technique

Victims:
Bioinformatics, Research community, Software development, Continuous integration and continuous delivery, Cloud services

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1059.007, T1105, T1195.001, T1497.001, T1528, T1546, T1552.001, T1552.004, have more...

IOCs:
File: 5
Hash: 3

Soft:
Node.js, CircleCI, Anthropic, Kubernetes, Docker

Algorithms:
aes-gcm, gzip, aes-256-gcm, sha256, aes, pbkdf2

Languages:
python, javascript, cpython

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания «Miasma Worm» включает 37 вредоносных пакетов PyPI, которые используют хуки запуска Python для доставки вредоносного кода, крадущего учетные данные, связанного с хакерской группировкой Shai-Hulud. Используя вредоносный файл *-setup.pth, кампания обеспечивает выполнение зашифрованного JavaScript-кода _index.js, предназначенного для извлечения высокоценных учетных данных из таких платформ, как GitHub и AWS. Этот подход отражает тревожную тенденцию использования доверенных каналов распространения пакетов для выполнения вредоносного кода, в частности, нацеленного на среды CI/CD.
-----

Кампания «Miasma Worm» была раскрыта благодаря выявлению 37 вредоносных пакетов (wheels) Индекса пакетов Python (PyPI), которые используют хуки запуска Python для развертывания полезной нагрузки по краже учетных данных, связанной с хакерской группировкой Shai-Hulud/Miasma. Эта кампания использует скомпрометированные пакеты PyPI, содержащие вредоносный файл *-setup.pth, предназначенный для автоматического выполнения при запуске Python, что запускает загрузку и выполнение среды выполнения JavaScript Bun. Зашифрованный полезный нагрузкой JavaScript-код, названный _index.js, является основным механизмом кражи учетных данных, нацеленным на получение высокоценных секретов с различных платформ, включая GitHub, AWS, Google Cloud и другие.

Вредоносные пакеты созданы таким образом, что позволяют выполнять код без какого-либо прямого импорта пакета, по сути используя легитимную функцию Python. Использование файла *-setup.pth особенно тревожно, поскольку оно позволяет злоумышленникам выполнять произвольный код во время процесса запуска Python, превращая то, что должно было бы быть пассивной зависимостью, в вектор атаки с отложенным выполнением. Сходства между этой кампанией и предыдущими инцидентами, связанными с Shai-Hulud, подчеркивают тревожную тенденцию, при которой доверенные каналы пакетов используются для выполнения вредоносных действий.

Сам полезная нагрузка предназначена для извлечения широкого спектра учетных данных разработчиков и облачных сервисов, в частности материалов, необходимых для конвейеров непрерывной интеграции и доставки (CI/CD). Атакующий применяет техники уклонения, включая проверки локали и индикаторы среды, чтобы предотвратить обнаружение и обеспечить нацеливание на ценные данные. Кроме того, полезная нагрузка остается гибкой; она может адаптироваться к различным средам, изменяя процедуры выполнения, а также выявляя среды разработки, такие как использующие GitHub Actions и конфигурации Anthropic.

В частности, кампания использует специфическую номенклатуру в стиле GitHub, с названиями, отсылающими к Аиду и мифам о подземном мире, что отмечает адаптацию от предыдущих кампаний, имевших другие тематические элементы. Эта итерация демонстрирует эволюционирующие тактики злоумышленников, с повышенным вниманием к выполнению кода с использованием уникальных возможностей Python для автоматизации вредоносного поведения.

Для снижения рисков организациям, которые могли установить затронутые пакеты, рекомендуется удалить вредоносные выпуски, переоценить и пересобрать свои среды, а также изменить любые раскрытые учетные данные. Постоянная угроза подчеркивает необходимость повышенной бдительности в отношении целостности пакетов во всех экосистемах и укрепляет принцип рассмотрения выполнения кода во время установки и запуска как значительных рисков для Цепочки поставок. Реализация тщательных поисков индикаторов вредоносной активности, особенно в средах CI/CD и организациях GitHub, является обязательной. Последствия таких атак выходят за рамки простого кражи учетных данных, поскольку они могут привести к более глубоким компрометациям в рабочих процессах автоматизации разработчиков и средах программирования с помощью ИИ.