#ParsedReport #CompletenessLow
04-06-2026

Magecart skimmer turns Stripe into a malware command server

https://sansec.io/research/stripe-api-skimmer-infrastructure

Report completeness: Low

Actors/Campaigns:
Magecart

Victims:
Online retail stores, Magento stores, Adobe commerce stores

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1074.001, T1102.002, T1102.003, T1105, T1132.002, T1567

Soft:
Shopware

Algorithms:
xor

Functions:
Function, getMetaString, setTimeout

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный Magecart-скиммер нацелен на Stripe, внедряясь в метаданные клиента для захвата и эксфильтрации данных карт в процессе оформления заказа. Скиммер работает с использованием легитимного контейнера Google Tag Manager, что позволяет ему избегать обнаружения правилами Content Security Policy. Он извлекает свой код из метаданных Stripe, захватывает конфиденциальную информацию, которая кодируется с помощью XOR и сохраняется в localStorage, а затем незаметно эксфилтрирует данные, отправляя их на аккаунт злоумышленника в Stripe с использованием скомпрометированного тестового ключа.
-----

Недавние данные показывают, что сложный Magecart-скиммер работает напрямую через Stripe, используя платформу для хранения и эксфильтрации украденных данных карт. В этой атаке скиммер встроен в метаданные клиента Stripe и выполняется на страницах оформления заказа. Этот инновационный метод позволяет вредоносному ПО использовать два широко доверяемых домена — Google Tag Manager (GTM) и Stripe — эффективно обходя правила Content Security Policy (CSP) и сетевые фильтры, которые обычно выявляют вредоносную активность.

Работа вредоносного ПО состоит из трех основных компонентов: доставка кода, сбор данных и эксфильтрация. Механизм доставки использует легитимный контейнер GTM для выполнения скиммера на любой странице оформления заказа, которая его включает. В процессе оформления заказа скиммер извлекает свой код из метаданных конкретного аккаунта клиента Stripe и выполняет его. Процесс сбора данных перехватывает кнопку оформления заказа для захвата информации о карте и реквизитах. После заполнения необходимых полей данные кодируются с помощью XOR и сохраняются в localStorage браузера.

Эксфильтрация выполняется отдельно от сбора данных, происходит вскоре после загрузки страницы, а затем — через регулярные интервалы. Загрузчик обращается к localStorage для извлечения сохранённой информации и отправляет её обратно на аккаунт Stripe злоумышленника, маскируясь под поддельного клиента. Такое разделение позволяет вести скрытую операцию, при которой процесс загрузки украденных данных не связан напрямую с активностью по скиммингу.

Заметной особенностью атаки является наличие секретного ключа Stripe в коде JavaScript на стороне клиента, что является ненормальным и указывает на компрометацию. Ключ, содержащий префикс sk_test_, свидетельствует о том, что злоумышленник использует тестовую среду Stripe в качестве бесплатной инфраструктуры для управления украденной информацией о картах и размещения скрипера, оставаясь при этом незамеченным благодаря доверенному характеру задействованных доменов.

#ParsedReport #CompletenessMedium
04-06-2026

Attack Campaign against Japanese Organizations Using PoisonX Drivers

https://www.lac.co.jp/lacwatch/report/20260604_004759.html

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Poisonx
Byovd_technique
Spear-phishing_technique
Pxdropper
Process_hacker_tool
Procmon_tool
Dll_sideloading_technique
Hvnc_tool

Victims:
Organizations in japan, Organizations in china

Geo:
Chinese, Japan, Japanese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1007, T1010, T1014, T1027, T1027.007, T1033, T1041, T1049, T1055, have more...

IOCs:
File: 69
Command: 2
BrowserExtension: 13
Coin: 2
Hash: 50
IP: 12

Soft:
curl, VirtualBox, Hyper-V, process explorer, Windows Service, Microsoft Defender, Windows kernel, Windows Defender, Windows Security Center, Telegram, have more...

Wallets:
metamask, tronlink, coinbase, terra_station, safepal, yoroi, bitkeep_wallet, bitget_wallet, exodus_wallet, sollet, have more...

Crypto:
binance, kucoin, uniswap, pancakeswap

Algorithms:
base64, aes-256-cbc, zip, sha256, xor

Functions:
DriverEntry

Win API:
MOUSE_EVENT

Win Services:
WinDefend, wscsvc, msmpeng, securityhealthservice, mcshield, savservice, avastsvc, ekrn, mbamservice

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 13, windows: 4, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Преступная хакерская кампания, направленная против японских организаций, использовала передовые техники, включающие вредоносные драйверы ядра и модульное ВПО, известное как 10FXRAT. Атакующие развернули файлы-приманки, связанные с отделом кадров, для компрометации систем, используя PXDropper для загрузки драйвера PoisonX и различных компонентов 10FXRAT. ВПО обладает возможностями антианализа, взаимодействует с сервером C2 и демонстрирует функциональность, включая Регистрация нажатий клавиш, манипуляции с файлами и обход процессов безопасности, что потенциально может быть связано с хакерской группировкой Silver Fox.
-----

Недавняя преступная хакерская кампания, направленная против японских организаций, использовала передовые методы, включая развертывание вредоносных драйверов ядра и модульного ВПО, известного как 10FXRAT. Злоумышленники применяли файлы-приманки, связанные с отделом кадров, для облегчения начальной компрометации, используя вариант ВПО под названием PXDropper для извлечения и выполнения драйвера PoisonX вместе с различными компонентами 10FXRAT.

PXDropper действует как загрузчик через LNK-файл, который извлекает свой полезный груз из Google Cloud Storage с использованием таких инструментов, как `curl.exe`. При запуске он загружает драйвер PoisonX и другие необходимые файлы, включая `usoclient64.exe`, `dnssd.dll`, `runtime.bin` и `vcruntime140.dll`. Примечательно, что вредоносное ПО оснащено механизмами противодействия анализу, которые обнаруживают среды виртуальных машин, тем самым останавливая свою работу в предположительно сценариях анализа.

Драйвер PoisonX, обладающий легитимной подписью Microsoft, эксплуатируется в контексте атаки Bring Your Own Vulnerable Driver (BYOVD), что позволяет злоумышленникам получать привилегии на уровне ядра. Это дает им возможность отключать программное обеспечение безопасности и скрывать вредоносные процессы и сетевые коммуникации. В частности, ВПО может активно завершать 43 целевых процесса безопасности, таких как Microsoft Defender и различные китайские решения безопасности, путем отправки IOCTL-запросов. Кроме того, оно может маскировать свое присутствие в системе, уклоняясь от обнаружения стандартными средствами мониторинга.

10FXRAT — это модульное ВПО, расширяющее свою функциональность за счёт динамически загружаемых плагинов с сервера управления (C2). После первоначального выполнения оно взаимодействует по протоколу TCP с использованием собственного протокола, включающего команды для сбора информации о системе, операций с файлами и даже удалённого управления устройствами ввода. В состав полезной нагрузки входят такие возможности, как регистрация нажатий клавиш, мониторинг буфера обмена и манипуляция кошельками криптовалют.

Связь с сервером C2 включает 12-байтовый заголовок с уникальным магическим числом, что позволяет отличать его трафик от легитимных данных. Идентификаторы команд указывают на широкий спектр вредоносных функций, включая управление процессами, манипуляции с дисплеем и кражу данных из браузеров и мессенджеров, таких как Телеграм.

Атакующие предположительно связаны с китайской группой Silver Fox, хотя убедительные доказательства отсутствуют. Учитывая, что некоторые функции 10FXRAT всё ещё находятся в разработке, это указывает на возможность дальнейших улучшений и более широкого развертывания в будущих кампаниях.

Организациям настоятельно рекомендуется усилить меры безопасности, особенно в области мониторинга и реагирования на конечных точках, чтобы эффективно противостоять этой меняющейся ландшафту угроз. Внедрение строгих возможностей обнаружения и поддержание актуальных знаний об уязвимостях будет иметь решающее значение для снижения рисков, связанных с аналогичными векторами атак.

#ParsedReport #CompletenessMedium
05-06-2026

From Crypto Wallets to a 100M-User VPN: Inside an Active STX RAT Supply Chain Campaign

https://www.cyderes.com/howler-cell/cpuid-hwmonitor-xvpn-dll-sideloading-stx-rat

Report completeness: Medium

Threats:
Stxrat
Supply_chain_technique
Dll_sideloading_technique
Credential_harvesting_technique
Medusalocker

Victims:
Cryptocurrency users, Investors, Traders, Vpn users, Gamers, Software users

CVEs:
CVE-2025-56383 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 9

IOCs:
Email: 1
Domain: 3
Url: 1
File: 9
Hash: 5

Soft:
Steam, HWMonitor, LibreOffice, WireGuard, Google Play, Microsoft Store

Wallets:
bybit, exodus_wallet

Crypto:
binance

Algorithms:
zip, sha256

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Описываемая кампания включает использование RAT STX — троянской программы, развертываемой через троянизированное программное обеспечение, нацеленное на крипто-трейдеров и пользователей X-VPN, с применением техник DLL sideloading, связанных с уязвимостью Windows (CWE-427). Кампания, осуществляемая злоумышленником Leda Elacoate, носит персистентный характер, использует централизованную инфраструктуру управления и применяет скрытую многоэтапную распаковку для избежания создания артефактов. Стратегия нацеливания эволюционировала, чтобы охватить лиц, ориентированных на конфиденциальность, что отражает адаптацию актора для эксплуатации уязвимостей с высокой ценностью в технологической экосистеме.
-----

Описываемая кампания характеризуется распространением троянской программы (RAT) под названием STX RAT, осуществляемым через троянизированную цепочку поставок программного обеспечения, которая преимущественно нацелена на крипто-трейдеров и пользователей приложений, ориентированных на конфиденциальность, в частности X-VPN. Злоумышленник, действующий под псевдонимом Leda Elacoate, создал репозиторий Bitbucket для размещения вредоносных установщиков, которые использовали техники подгрузки DLL для развертывания STX RAT в памяти. Механизм опирался на CRYPTBASE.dll, эксплуатируя уязвимость (CWE-427), связанную с порядком поиска DLL в приложениях Windows.

В течение всей кампании, которая продолжалась даже после первоначальных раскрытий, поддерживался единый механизм доставки, посредством которого серия троянизированных пакетов использовала одну и ту же многоэтапную цепочку распаковки для извлечения RAT STX, не оставляя артефактов файлов на диске. Эта кампания эволюционировала со временем, расширяясь от первоначального фокуса на криптовалютных платформах, таких как Binance и MEXC, до включения X-VPN в свой список приманок, что отражает тактический сдвиг в сторону использования более широкой аудитории, включая лиц, обеспокоенных конфиденциальностью, которые, вероятно, работают с чувствительными учетными данными.

STX RAT способен на удалённый доступ и выполнение команд, целевой кражу учётных данных и сбор данных, всё это обеспечивается через защищённые HTTPS-соединения с его сервером управления (C2), что позволяет скрытно функционировать в потоке обычного веб-трафика. Инфраструктура C2 была централизована и в основном связана через домен supp0v3.com, поддомены которого для обратных вызовов ротировались в ответ на потребности в операционной безопасности.

Уязвимости, присущие клиенту X-VPN, позволяли загрузить CRYPTBASE.dll из установщика, контролируемого злоумышленником, вместо легитимных системных файлов. Эта проблема была решена в X-VPN версии 77.5.3, которая ввела более строгие проверки загрузки DLL, обеспечивая получение системных DLL исключительно из каталога Windows. Обновление также включало проверку хешей во время запуска и усиление политик загрузки на уровне процессов, снижая риск несанкционированного выполнения кода.

Кампания подчеркивает согласованные усилия злоумышленника по постоянной адаптации и поддержанию оперативной динамики, демонстрируя, как атакующие могут настойчиво эволюционировать свои стратегии в ответ на внешнее внимание. Тонкая целевая ориентация как на пользователей криптовалют, так и на клиентов VPN указывает на сложное понимание пересекающихся уязвимостей и высокоценных целей в более широкой технологической экосистеме.

#ParsedReport #CompletenessHigh
08-06-2026

Don't Fear the Repo: UNK_DeadDrop Phishing Campaign Targets Developers to Steal Cryptocurrency

https://www.proofpoint.com/us/blog/threat-insight/dont-fear-repo-unkdeaddrop-phishing-campaign-targets-developers-steal

Report completeness: High

Actors/Campaigns:
Unk_deaddrop (motivation: financially_motivated)
Contagious_interview
Tradertraitor
Applejeus

Threats:
Overlord_tool
Tradertraitor_downloader
Clickfix_technique
Zenity_tool
Credential_stealing_technique
Shadow_copies_delete_technique
Invisibleferret
Ottercookie
Flexibleferret

Victims:
Cryptocurrency, Finance, Education, Technology, Business services, Financial services, United states, Global

Industry:
Financial, Healthcare, Education

Geo:
North-korea, Korean, Korea, Dprk, North korean, North korea

TTPs:
Tactics: 5
Technics: 0

IOCs:
Url: 16
File: 12
IP: 4
Domain: 48
Email: 44
Hash: 16

Soft:
macOS, Linux, Visual Studio Code, Visual Studio, Slack, Telegram, vscode, Node.js, Electron, Chrome, have more...

Wallets:
bybit, metamask, rabby, keplr, electrum

Crypto:
ethereum, solana, monero, bitcoin

Algorithms:
zip, aes-256-gcm, sha256, base64

Functions:
backup

Win API:
Arc

Languages:
javascript, python

Platforms:
apple, cross-platform, amd64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В рамках целевой фишинговой кампании под названием UNK_DeadDrop северокорейский злоумышленник атаковал разработчиков в сферах финансов, криптовалют, образования и технологий в период с апреля по май 2026 года. Более 250 фишинговых писем направляли пользователей на вредоносные репозитории GitHub, что приводило к скрытой установке основанного на Go ВПО Overlord, которое функционировало как RAT на macOS и Linux, а также использовало JavaScript на Windows для эксфильтрации конфиденциальной информации, такой как данные кошельков браузеров и учетные данные. Атака продемонстрировала эволюцию тактик, применяя различные методы кражи учетных данных, специфичные для операционных систем, и переходя от менее репутационных доменов на начальном этапе к более устоявшимся почтовым сервисам для проведения outreach-кампаний.
-----

Злоумышленник из Северной Кореи был выявлен в рамках фишинговой кампании под названием UNK_DeadDrop, направленной на разработчиков в сфере финансов, криптовалют, образования и технологий.

Кампания включала более 250 фишинговых писем, направленных почти на 100 организаций, преимущественно в Соединенных Штатах.

Злоумышленники использовали электронные письма, маскирующиеся под предложения о работе и запросы на рецензирование кода, применяя контролируемые актором репозитории GitHub для распространения вредоносных скриптов.

Цели получали ссылки на эти репозитории, которые выглядели как легитимные технические проекты.

Процесс заражения начался, когда пользователи клонировали и открывали репозитории, что запускало предварительно настроенную задачу, устанавливающую вредоносные расширения Visual Studio (VSIX).

Эта установка требовала минимального взаимодействия с пользователем, позволяя ВПО для macOS, Linux и Windows функционировать незамеченным.

Основным ВПО, использовавшимся в атаке, был фреймворк на базе Go под названием Overlord, предназначенный для удаленного доступа и эксфильтрации конфиденциальной информации.

На Linux и macOS Overlord функционировал как Троянская программа (RAT), устанавливая постоянные WebSocket-соединения с сервером управления.

Фреймворк собирал информацию из кошельков браузера и учетные данные пользователей с помощью скрытых процессов, таких как поддельные диалоговые окна для перехвата паролей.

Вариант для Windows, выполняемый в среде редактора, использующий JavaScript для извлечения данных и избегающий создания бинарных файлов для снижения рисков обнаружения.

Методы кражи учетных данных варьировались: вредоносное ПО для macOS изменяло контроль доступа к Связке ключей, тогда как вредоносное ПО для Linux использовало GNOME Keyring для извлечения паролей.

В рамках кампании использовались домены фиктивных корпораций и различные методы доставки писем, изначально применялись сомнительные веб-сайты, а затем такие устоявшиеся сервисы, как Mailgun.

Хотя UNK_DeadDrop имеет сходство с прошлыми операциями северокорейских хакеров, он знаменует собой эволюцию тактик, демонстрируя повышенную сложность и целенаправленное воздействие на уязвимые рабочие процессы разработчиков.

#ParsedReport #CompletenessLow
08-06-2026

Critical Check Point VPN Zero-Day Exploited in the Wild (CVE-2026-50751)

https://www.rapid7.com/blog/post/etr-critical-check-point-vpn-zero-day-exploited-in-the-wild-cve-2026-50751

Report completeness: Low

Threats:
Qilin_ransomware
Mitm_technique

Victims:
Organizations

CVEs:
CVE-2026-50751 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-50752 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-24919 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1557

IOCs:
IP: 9
Hash: 2

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
8 июня 2026 года была раскрыта критическая уязвимость обхода аутентификации CVE-2026-50751 в продуктах Check Point Remote Access VPN, Mobile Access и Spark Firewall, позволяющая неаутентифицированным злоумышленникам устанавливать сеанс VPN без действительных учетных данных. Уязвимость эксплуатирует недостаток в протоколе обмена ключами IKEv1, что привело к подтвержденной эксплуатации в дикой природе, связанной с киберпреступной деятельностью, включая аффилированное лицо вымогательского ПО Qilin. Связанная уязвимость CVE-2026-50752 представляет потенциальный риск для атак типа «человек посередине», но пока не была использована.
-----

8 июня 2026 года Check Point раскрыла критическую уязвимость обхода аутентификации, CVE-2026-50751, затрагивающую продукты Remote Access VPN, Mobile Access и Spark Firewall. Эта уязвимость, имеющая оценку CVSS 9.3, представляет особую значимость, поскольку связана со старым протоколом обмена ключами IKEv1. Она позволяет неаутентифицированным злоумышленникам устанавливать сеанс VPN без действительных учетных данных из-за ошибки в проверке сертификатов в процессе обмена ключами IKEv1. Организации, использующие конфигурации, которые все еще принимают этих устаревших клиентов Remote Access, находятся в зоне высокого риска. Хотя злоумышленники могут инициировать сеанс VPN, им потребуются дополнительные действия после аутентификации для доступа к внутренним ресурсам или повышения привилегий.

Эксплуатация уязвимости CVE-2026-50751 уже наблюдалась в реальных условиях, при этом сообщения об атаках датируются 7 мая 2026 года, а в начале июня было отмечено увеличение активности. Эта кампания в первую очередь нацелена на десятки организаций, при этом выявлены заметные связи с киберпреступными группировками, включая аффилиата шифровальщика Qilin. Компания Rapid7 подтвердила как минимум один инцидент, связанный с данной уязвимостью, с высоким уровнем достоверности.

В дополнение к CVE-2026-50751, Check Point выявил связанную уязвимость CVE-2026-50752, имеющую оценку CVSS 7.4. Эта уязвимость может позволить атаки «человек посередине» на конфигурациях VPN между сайтами, однако на данный момент случаев эксплуатации этой проблемы не зафиксировано.

В свете этих уязвимостей организациям, использующим продукты Check Point, необходимо оперативно применить исправления, выпущенные для CVE-2026-50751, учитывая активную эксплуатацию. Check Point рекомендует затронутым субъектам устранить поддержку устаревших клиентов удаленного доступа, настроить глобальные свойства для требования аутентификации IKEv2 исключительно, обязать аутентификацию по машинному сертификату и включить функции Системы предотвращения вторжений (IPS), обеспечивая при этом загрузку последних сигнатур. Организации не должны откладывать применение этих обновлений и должны приоритизировать их внедрение для защиты от возникающих угроз.

#ParsedReport #CompletenessMedium
08-06-2026

Mini Shai-Hulud, Miasma, and Hades Worms Target Bioinformatics and MCP Developers via Malicious PyPI Wheels

https://socket.dev/blog/mini-shai-hulud-miasma-and-hades-worms-target-bioinformatics-and-mcp-developers-via-malicious

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Shai-hulud
Miasma
Hades
Supply_chain_technique
Typosquatting_technique
Dead_drop_technique

Victims:
Bioinformatics, Ai developers, Mcp developers, Developer environments, Ci/cd environments, Scientific research

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1036.005, T1059.006, T1059.007, T1102.001, T1105, T1129, T1195.001, T1528, have more...

IOCs:
File: 5
Hash: 2

Soft:
Kubernetes, Docker, Flask, LangChain, OpenAI

Algorithms:
sha256

Functions:
dlopen

Languages:
cpython, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние данные свидетельствуют о появлении вредоносных пакетов PyPI, связанных с атаками на Цепочка поставок Mini Shai-Hulud, Miasma и Hades, при этом выявлено 23 новые версии, нацеленные на среды разработки, особенно в биоинформатике и ИИ. Техники атак включают выполнение встроенного вредоносного JavaScript через скомпилированные нативные расширения и использование механизма поиска загрузчика для уклонения от обнаружения. JavaScript- payload, нацеленный на конфиденциальную информацию в средах CI/CD, использует техники обфускации, напоминающие ВПО Hades, для уклонения от обнаружения.
-----

Ландшафт угроз, связанный с вредоносными пакетами Индекса пакетов Python (PyPI), недавно эволюционировал, о чем свидетельствуют новые данные, представленные исследовательской группой Socket Threat Research. В их число входит волна вредоносных пакетов PyPI, связанных с более масштабными атаками на Цепочка поставок Mini Shai-Hulud, Miasma и Hades. Эта новая волна выявляет 23 новые вредоносные версии пакетов, которые добавляются к ранее упомянутым 37, теперь затрагивая среды разработчиков через целевые темы, такие как биоинформатика, искусственный интеллект и пакеты конфигурации ВПО.

Техники атак существенно различаются среди вновь выявленных пакетов. Некоторые используют скомпилированные нативные расширения (в частности, файлы .abi3.so) для выполнения вредоносного JavaScript в момент импорта, обходя обнаружение, которое обычно проверяет исходный код Python. Заметные вариации включают пакет langchain-core-mcp, который проводит более сложный поиск своего вредоносного payload (_index.js) по пути поиска модулей Python (sys.path), в отличие от простого включения его в состав пакета.

JavaScript-код вредоносного payloads следует специфическому шаблону обфускации, связанному с вредоносным ПО Hades, и добавляет заголовок, содержащий вводящие в заблуждение комментарии, предназначенные для запутывания инструментов автоматического анализа, особенно тех, которые используют модели искусственного интеллекта. Payload нацелен на высокоценные секреты на рабочих станциях разработчиков и в средах непрерывной интеграции и развертывания (CI/CD), стремясь получить чувствительную информацию, такую как учетные данные облачных сервисов, SSH-ключи и токены реестров пакетов. Риск особенно высок в средах сборки и выпуска, где скомпрометированный токен может оказать серьезное воздействие на производственную инфраструктуру.

В рамках этой кампании выявлено три различных механизма доставки. Первый использует вредоносный установочный файл, который запускает JavaScript-код при запуске Python через .pth-хук. Второй метод предполагает выполнение функциональности, скрытой в скомпилированных нативных расширениях, что затрудняет обнаружение. Наконец, вариант langchain-core-mcp применяет подход поиска загрузчика: он ищет свой JavaScript-код, а не встраивает его напрямую, что может лучше обходить традиционные системы обнаружения.

Для снижения рисков, связанных с этими угрозами, организациям следует сосредоточиться на мониторинге своих сред на предмет таких проблем, как неожиданные исполняемые файлы .pth, нераспознанные JavaScript-полезные нагрузки и загрузки сред выполнения, таких как Bun. Кроме того, все открытые токены должны быть немедленно заменены, чтобы предотвратить несанкционированный доступ и атаки, консолидирующие оперативный контроль.

По мере того как кампания продолжает развиваться, поддержание бдительности и тщательной проверки зависимостей пакетов, особенно тех, которые связаны с биоинформатикой и искусственным интеллектом, является необходимым. Регулярные проверки сред CI/CD на предмет подозрительных изменений в рабочих процессах и доступности сокета Docker будут иметь решающее значение для смягчения потенциальных угроз, исходящих от этой продолжающейся атаки на Цепочку поставок.

#ParsedReport #CompletenessHigh
08-06-2026

AI brands as bait: How threat actors are using the AI hype in social engineering

https://www.microsoft.com/en-us/security/blog/2026/06/08/ai-brands-as-bait-how-threat-actors-are-using-the-ai-hype-in-social-engineering/

Report completeness: High

Actors/Campaigns:
Fox_tempest (motivation: financially_motivated)
Storm-3075 (motivation: financially_motivated)

Threats:
Aitm_technique
Credential_harvesting_technique
Vidar_stealer
Lumma_stealer
Hijackloader
Oyster
Fraudgpt_tool
Ghostsocks

Victims:
Higher education, Professional services, Information technology, Business entities, Financial services, Consumer endpoints

Industry:
Education

Geo:
France, United states, United kingdom, Switzerland, Africa, India, South africa, Japan, Austria

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.006, T1105, T1189, T1204.002, T1497.002, T1553.002, T1557, T1566.001, T1566.002, have more...

IOCs:
Domain: 6
File: 12
Hash: 8
Url: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Microsoft Entra, ChatGPT, DeepSeek, Anthropic, Claude, GPT-5, Hugging Face, PT-5.5, have more...

Algorithms:
sha256, exhibit

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 5, code: 1, chats: 1