#ParsedReport #CompletenessHigh
10-06-2026

SilabRAT, What’s Your Power?

https://www.group-ib.com/blog/silabrat-hijackloader-trojan-malware/

Report completeness: High

Actors/Campaigns:
O1oo1 (motivation: financially_motivated, cyber_criminal)

Threats:
Silabrat
Snappyclient
Hijackloader
Hvnc_tool
Asmcrypt
Clickfix_technique
Uac_bypass_technique
Icmluautil_tool
Lockbit
Blackmatter
Credential_harvesting_technique

Victims:
Finance, Cryptocurrency

Geo:
Russian

TTPs:
Tactics: 3
Technics: 32

IOCs:
File: 1
Hash: 4
IP: 1

Soft:
Chrome, Chromium, MinHook, TightVNC, Electron

Wallets:
ledger_wallet, trezor

Algorithms:
chacha20-poly1305, base58, lzma

Win API:
NtOpenFile, ZwQueryFullAttributesFile, AmsiScanBuffer, AmsiScanString

Win Services:
GoogleChromeElevationService

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SilabRAT, Троянская программа для удалённого доступа, разработанная злоумышленником o1oo1, предназначена для получения финансовой выгоды путём кражи учётных данных и продаётся как ВПО как услуга в Darkweb. Она использует скрытый протокол удалённого рабочего стола (HVNC) для скрытого удалённого управления и применяет такие техники, как перехват сессий, клонирование профилей браузера и обход шифрования, привязанного к приложениям в Chrome, для извлечения конфиденциальных данных. Её архитектура позволяет покупателям запускать собственные серверы управления, повышая операционную безопасность, и она реализует закрепление через ключи реестра Windows Run и запланированные задачи.
-----

SilabRAT, также известный как SnappyClient, — это продвинутая Троянская программа (RAT), ориентированная в первую очередь на финансовую выгоду через кражу учетных данных. Разработанная злоумышленником, известным как o1oo1, она продавалась на форумах Darkweb как ВПО как услуга (MaaS) с конца 2025 года. SilabRAT примечателен использованием скрытого удаленного рабочего стола (HVNC), что позволяет ему сохранять возможности удаленного контроля, избегая обнаружения пользователями и системами безопасности. Методы его развертывания включают спам по электронной почте и кампании ClickFix, где социальная инженерия используется для компрометации жертв.

Возможности SilabRAT обширны. Он может выполнять перехват сессий, клонирование профилей браузера и даже обходить шифрование App-Bound Encryption (ABE) в Chrome с помощью DLL для эксплуатации системных процессов. Это позволяет вредоносному ПО извлекать сохраненные в браузере пароли и файлы cookie без обнаружения. Кроме того, он обладает функциями, адаптированными для криптографических операций, такими как идентификация адресов кошельков и попытка взлома паролей, связанных с криптокошельками. Архитектура вредоносного ПО поддерживает управление и мониторинг зараженных машин в реальном времени, позволяя операторам удаленно выполнять команды, захватывать нажатия клавиш и управлять деятельностью по краже данных.

RAT построен на модели с размещением у оператора, где покупатели настраивают и запускают собственные серверы управления (C2), не разделяя инфраструктуру с другими. Такая конфигурация обеспечивает злоумышленникам более высокий уровень операционной безопасности и контроля над своими кампаниями. Подписка на SilabRAT оценивается примерно в 5 000 долларов в месяц, и она может быть объединена с AsmCrypt, инструментом обфускации, разработанным o1oo1, что способствует повышению скрытности ВПО.

Что касается методов установки и закрепления, SilabRAT может использовать ключи автозагрузки реестра Windows и запланированные задачи для обеспечения запуска при входе пользователя в систему или в заданные интервалы времени, что гарантирует его сохранность на зараженных машинах. Вредоносное ПО также включает простые методы обхода защиты, включая вмешательство в функции Интерфейса сканирования антивирусного программного обеспечения (AMSI). Учитывая эволюционную природу вредоносного ПО, вероятно появление дополнительных функций и улучшений, при этом в планах на будущее — настраиваемая инъекция кода, нацеленная на приложения на базе Electron на платформах, связанных с криптовалютой.

#ParsedReport #CompletenessMedium
09-06-2026

From Phishing Email to Process Injection: Inside a Multi-Stage Agent Tesla Infection Chain

https://www.pointwild.com/threat-intelligence/from-phishing-email-to-process-injection-inside-a-multi-stage-agent-tesla-infection-chain/

Report completeness: Medium

Threats:
Process_injection_technique
Agent_tesla
Process_hollowing_technique
Native_loader
Credential_harvesting_technique
Credential_dumping_technique
Spear-phishing_technique
Amsi_bypass_technique
Lolbin_technique

Victims:
Windows users

Industry:
Financial

TTPs:
Tactics: 11
Technics: 26

IOCs:
File: 23
Hash: 1
Email: 2

Soft:
Chromium, Internet Explorer, Microsoft Edge, Chrome, Opera, Vivaldi, Firefox, Pale Moon, SeaMonkey, Waterfox, have more...

Algorithms:
xor, md5, base64

Functions:
FromBase64String, GetWindowText, Grab, BXX

Win API:
CreateRemoteThread, VirtualAlloc, NET, GetForegroundWindow, GetKeyboardState, OpenProcess, VirtualAllocEx, WriteProcessMemory

Languages:
javascript, python, powershell, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье описывается сложная цепочка заражения вредоносным ПО, связанная со стиллером Agent Tesla, инициируемая фишинговым письмом с зашифрованным Batch-скриптом. Вредоносное ПО достигает компрометации системы через многоэтапное выполнение, используя команды PowerShell и загрузку в память для уклонения от обнаружения, одновременно захватывая конфиденциальные данные из веб-браузеров и системных ресурсов. Ключевые техники включают внедрение в легитимные процессы, применение мер противодействия анализу и использование безфайлового выполнения для поддержания закрепления и уклонения от традиционных средств защиты безопасности.
-----

В статье подробно рассматривается сложная цепочка заражения вредоносным ПО, связанная со стиллером Agent Tesla, которая начинается с看似 безобидного фишингового письма, содержащего сильно запутанный пакетный скрипт. Процесс заражения многоэтапный: от первоначального доступа через вредоносное вложение до полной компрометации системы, при этом используются различные техники уклонения от обнаружения.

При открытии вложения выполняется пакетный скрипт, который запускает команду PowerShell, служащую загрузчиком для скачивания дополнительных вредоносных компонентов непосредственно в память, что минимизирует риск обнаружения за счет отсутствия традиционных артефактов на диске. Включает в себя выполнение загрузчика shellcode в памяти, который декодирует и запускает другой вредоносный код, используя такие техники, как кодирование Base64 и XOR-дешифрование, чтобы скрыть его истинное назначение. ВПО закрепляется на системе жертвы, оставляя остаточные компоненты в временной директории и создавая скрипт автозагрузки, что обеспечивает продолжение выполнения даже после перезагрузки.

Значительным аспектом атаки является использование скрипта на базе AutoIt в качестве загрузчика для внедрения. Этот загрузчик внедряет полезную нагрузку Agent Tesla в легитимный процесс Windows, а именно charmap.exe, используя техники удаленного выделения памяти и создания процесса, часто связанные с Внедрением в пустой процесс. После запуска вредоносное ПО занимается масштабным похищением данных, включая захват учетных данных браузеров, нажатий клавиш и скриншотов, которые затем эксфильтруются через SMTP-коммуникацию, замаскированную под обычный почтовый трафик.

Анализ выявляет сложную структуру вредоносного ПО, предназначенную для скрытого и устойчивого функционирования. Оно выполняет отпечаток системы для сбора подробной информации о скомпрометированной машине. Специфические функции нацелены на различные веб-браузеры для извлечения учетных данных, включая как браузеры на базе Chromium, так и на базе Mozilla, а также собирает конфиденциальные данные из хранилища учетных данных Windows. Компонент кейлоггера дополнительно подчеркивает его возможности для детального мониторинга активности пользователя.

Важно отметить, что вредоносное ПО включает меры противодействия анализу, такие как проверки отладки, песочниц и виртуальных машин, что повышает его способность избегать обнаружения во время анализа. Применение нескольких уровней обфускации и опора на безфайловое выполнение свидетельствуют о современных тактиках стиллера, которые маскируют скрытые операции под легитимные системные процессы.

Стратегии обнаружения, обсуждаемые в статье, подчеркивают необходимость проактивного мониторинга шаблонов выполнения PowerShell, использования AutoIt, безопасности вложений электронной почты и выявления аномалий дочерних процессов. Этот случай подчеркивает эволюцию атак стиллеров в комплексные фреймворки выполнения, предназначенные для максимизации скрытности, закрепления и эффективности при краже учетных данных и эксфильтрации данных, что указывает на растущую сложность киберугроз.

#ParsedReport #CompletenessMedium
08-06-2026

Pythagora-io/gpt-pilot Compromised on GitHub - Shai-Hulud Credential Stealer Blocked by Python Linter

https://www.stepsecurity.io/blog/pythagora-io-gpt-pilot-compromised-on-github-shai-hulud-credential-stealer-blocked-by-python-linter

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Shai-hulud
Credential_stealing_technique
Supply_chain_technique

Victims:
Open source software, Software development, Artificial intelligence development

Geo:
Russian

TTPs:
Tactics: 3
Technics: 8

IOCs:
File: 1
Hash: 2

Soft:
Mistral, Kubernetes, HashiCorp Vault, Claude, Linux, macOS, Node.js

Algorithms:
base64, aes-256-gcm, sha256, md5

Functions:
run, v3MNGJU, HJgj4ju, require, rMq3gu, eval, unref, GetSecretValue

Languages:
javascript, python, typescript

Platforms:
cross-platform, arm, x64

Links:
have more...
https://github.com/Pythagora-io/gpt-pilot/issues/1182
https://github.com/step-security/harden-runner
https://github.com/Pythagora-io/gpt-pilot

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
8 июня 2026 года аккаунт GitHub, связанный с сооснователем открытого ИИ-инструмента Pythagora-io, был скомпрометирован, что привело к развертыванию 758-килобайтного обфусцированного варианта вредоносного ПО для кражи учетных данных на языке JavaScript, являющегося вариантом червя Shai-Hulud. Это ВПО использует сообщения коммитов GitHub в качестве скрытого канала управления, выгружая конфиденциальные учетные данные через вновь созданные репозитории, при этом применяя передовые методы обфускации, кроссплатформенные возможности и стратегии противодействия анализу. Инцидент связан с группой TeamPCP/UNC6780 и подчеркивает уязвимости в механизмах безопасности цепочки поставок программного обеспечения.
-----

8 июня 2026 года аккаунт GitHub одного из сооснователей популярного инструмента для разработчиков на базе ИИ с открытым исходным кодом Pythagora-io/gpt-pilot был скомпрометирован, что привело к принудительному обновлению (force-push) вредоносного кода, крадущего учетные данные. Этот вредоносный код представляет собой вариант червя Shai-Hulud, специально разработанный как 758-килобайтный обфусцированный JavaScript-стиллер, нацеленный на кражу конфиденциальных учетных данных, таких как ключи AWS, секреты GitHub и SSH-ключи. ВПО использует сообщения коммитов GitHub в качестве скрытого канала управления (C2), выгружая украденные данные путем создания и фиксации изменений в новых репозиториях GitHub, что затрудняет обнаружение его операций.

Атака продемонстрировала сложный метод сокрытия, поскольку злоумышленник задним числом установил дату вредоносного коммита на август 2025 года. Это было сделано для того, чтобы скрыть его присутствие в истории проекта. Примечательно, что ВПО использует систему импорта модулей Python для активации, демонстрируя кроссплатформенные возможности для Linux, macOS и Windows. Оно предотвращает дублирование выполнения через файл блокировки и подавляет вывод, что дополнительно способствует его скрытности.

Основой вредоносного ПО является полезная нагрузка _runtime.bin, которая предназначена для работы в среде выполнения Bun и использует несколько уровней обфускации для уклонения от анализа. Вредоносное ПО устанавливает новый канал C2 через API коммитов GitHub, где оно ищет определенную строку-маркер. Команды извлекаются с помощью регулярных выражений, что позволяет атакующему управлять зараженными машинами, просто создавая публичные коммиты, содержащие этот маркер, тем самым маскируя вредоносную активность под рутинные операции разработчика.

Эксфильтрация происходит преимущественно через новые репозитории GitHub с использованием украденных токенов, при этом злоумышленники имитируют обычного автора коммитов для снижения заметности, тогда как вторичный метод включает зашифрованные вызовы DNS. Закрепление достигается за счет файлов настроек для Claude Code и VS Code, которые повторно запускают ВПО во время сеансов работы с кодом. ВПО также демонстрирует продвинутые техники противодействия анализу, включая стратегии уклонения на основе локали и мониторинг новых созданных токенов.

Это событие согласуется с другими инцидентами, приписываемыми кампании Shai-Hulud, которая, как считается, связана с хакерской группировкой TeamPCP/UNC6780. Высокий уровень сложности методов, использованных в атаке, включая значительное сокрытие следов и эксплуатацию Sigstore для публикации вредоносных пакетов с вводящими в заблуждение сигналами подлинности, указывает на тщательно спланированный подход к атакам на цепочку поставок программного обеспечения. В свою очередь, это подчеркивает необходимость усиления мер безопасности, таких как защита веток в основных ветках (main branches), для предотвращения несанкционированных изменений в репозиториях. Инцидент также показывает, что традиционные инструменты контроля качества кода могут непреднамеренно обеспечивать защиту безопасности, отклоняя код, не соответствующий установленным стандартам, что указывает на наличие пробелов в механизмах защиты цепочки поставок.

#ParsedReport #CompletenessHigh
12-06-2026

The Package That Never Shipped: Following a USPS Smishing Kit Through Censys DNS Data

https://censys.com/blog/following-a-usps-smishing-kit-through-censys-dns-data/

Report completeness: High

Actors/Campaigns:
Smishing_triad (motivation: information_theft)

Threats:
Smishing_technique
Regre_ssh_ion_vuln
Lighthouse_tool

Victims:
Postal services, Package delivery, Logistics, United states citizens

Industry:
Financial

Geo:
United states, China, Singapore, Spanish, United kingdom, Chinese, Brazil, California, Asia

CVEs:
CVE-2024-6387 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_6200_firmware (-)


ChatGPT TTPs:
do not use without manual check
T1041, T1056.003, T1071.001, T1090, T1566.002, T1583.001, T1583.003

IOCs:
Url: 2
Domain: 4
File: 4
IP: 7
Hash: 2

Soft:
Caddy, OpenSSH, Linux

Functions:
JSONP

Win API:
LTD, ARC

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ фишинговой кампании, имитирующей USPS, выявил передовые тактики, используемые киберпреступниками, включая генерацию множества поддоменов, связанных с одним доменом, для фишинга. Злоумышленники использовали легитимную инфраструктуру, чтобы обмануть жертв и заставить их предоставить конфиденциальные данные, захватывая нажатия клавиш через соединение WebSocket для извлечения данных в реальном времени. Эта кампания приписывается более широкой экосистеме, часто связанной с контентом на китайском языке, что указывает на системную операционную модель с характерными структурными особенностями.
-----

Недавний анализ смишинговой кампании, имитирующей Почтовую службу США (USPS), выявил сложные технические методы, используемые киберпреступниками. Фишинговый набор работает через SMS-сообщения, которые заманивают жертв поддельным уведомлением о доставке посылки USPS. Злоумышленники использовали легитимные ресурсы USPS, включая HTML, CSS, изображения и теги Google Analytics, которые взаимодействуют с реальной маркетинговой инфраструктурой USPS. Такая архитектура позволяет им захватывать конфиденциальные данные в реальном времени путем открытия WebSocket-соединения обратно на их сервер, что обеспечивает мгновенную потоковую передачу нажатий клавиш с деталями кредитной карты. Кроме того, бэкенд выполняет серверную валидацию Bank Identification Number (BIN) для введенной информации о карте, оптимизируя шансы на захват действительных данных.

Фреймворк, лежащий в основе операции смишинга, включает один домен, который сгенерировал более сотни поддоменов. Пассивные данные DNS из Censys выделили структурный характер этой кампании, при этом основной хост разрешается в 682 уникальных похожих имени хоста. Каждый из этих доменов, как правило, разделяет такие характеристики, как имена файлов cookie, которые включают тему «us_post_ups», что указывает на единый операционный фреймворк за этими несколькими кампаниями. Примечательно, что это исследование также выявило параллельные кампании, нацеленные на UPS с использованием другой технологии бэкенда (Java/Spring Boot), но применяющие ту же базовую схему, демонстрируя последовательную операционную модель от одного злоумышленника.

Процесс фишинга начинается с обманной страницы проверки Cloudflare, представленной на нескольких языках для повышения доверия и вовлечения потенциальных жертв. После того как цель вводит информацию, набор сохраняет историю попыток ввода карт, чтобы побудить жертву ввести дополнительные данные карты под предлогом сообщений об отказе. Это приводит к сложному извлечению данных через постоянное соединение с сервером киберпреступника.

Атрибуция данной активности указывает на более широкую экосистему, которая часто ассоциируется с китайским языковым контентом и стилями операций в кампаниях смишинг, и имеет характеристики, типичные для того, что было названо «Smishing Triad». Хотя прямых доказательств, связывающих этот кластер с конкретными предыдущими инцидентами, нет, такие индикаторы, как двуязычные внутренние конфигурации и инфраструктура, размещенная через Tencent, свидетельствуют о хорошо налаженной и организованной реализации. Кампании демонстрируют стратегию, при которой оперативная инфраструктура быстро выводится из эксплуатации, в то время как структурные особенности, такие как номенклатура файлов cookie и пути к ресурсам, остаются неизменными, что делает их уязвимыми для защиты со стороны защитников.

В данном анализе подчеркивается необходимость улучшения защитных мер против подобных одноразовых фишинговых схем. Рекомендуется применять методы обнаружения, ориентированные на структурные элементы наборов инструментов, а не на конкретные домены или IP-адреса, поскольку эти угрозы предназначены для частого изменения. Непрерывный мониторинг истории DNS явно служит жизненно важным инструментом для отслеживания жизненного цикла таких операций, раскрывая масштаб инфраструктуры, лежащей в основе этой злонамеренной деятельности.

#ParsedReport #CompletenessMedium
10-06-2026

Device Code Lab - Infrastructure Expansion & New Capability Analysis

https://newtonpaul.com/blog/dcl-infrastructure-update/

Report completeness: Medium

Threats:
Device_code_lab_tool
Evilginx_tool
Device_code_phishing_technique
Credential_harvesting_technique

Victims:
Microsoft 365 tenants, Exchange online users, Onedrive users

Industry:
Telco

Geo:
Brazilian, London

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1069.003, T1078.004, T1087.004, T1098, T1098.002, T1114.002, T1114.003, T1136.003, T1213, T1528, have more...

IOCs:
IP: 14
Domain: 28
Url: 1
File: 4

Soft:
MSSQL, nginx, Outlook, Azure AD, Graph API, chrome, Gmail, protonmail, Microsoft Defender for Endpoint, Microsoft Exchange, have more...

Algorithms:
zip

Functions:
Set-Mailbox, Get-MessageTrace, mbBase, Set-InboxRule, Set-TransportRule

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инфраструктура Device Code Lab (DCL) способствует проведению сложных фишинговых атак, предоставляя модули инструментов, которые позволяют операторам похищать электронные письма и манипулировать скомпрометированными учетными записями. Ключевые возможности модуля почтового ящика позволяют выполнять такие операции, как поиск и управление правилами входящих сообщений, а генератор SVG-вложений может внедрять JavaScript для обхода обнаружения. Такой подход не только придает фишинговым письмам легитимность, но и поддерживает гибридные рабочие процессы атак, демонстрируя скоординированные усилия по эксплуатации уязвимостей корпоративной среды.
-----

Инфраструктура Device Code Lab (DCL) заметно расширилась, что выявило несколько открытых модулей инструментов, облегчающих различные вредоносные действия. Ключевые возможности включают модуль почтового ящика, позволяющий операторам выполнять эксфильтрацию электронных писем с использованием захваченных токенов жертв. Этот модуль напоминает Outlook Web App и поддерживает расширенные функции, такие как навигация по папкам, массовые операции, создание правил входящих сообщений и даже перечисление ролей Azure AD. Подобная глубина функциональности указывает на сложную методологию, применяемую операторами для манипуляции скомпрометированными учетными записями.

Среда DCL связана через несколько доменов с использованием общих сертификатов TLS, что указывает на централизованный подход к управлению их операциями. Постоянное обновление индикаторов компрометации (IOCs) подчеркивает изменчивый характер этой инфраструктуры по мере выявления новых уязвимостей и инструментов.

Важно отметить, что открытый пользовательский интерфейс почтового ящика по определенным путям позволяет операторам беспрепятственно взаимодействовать с электронной почтой жертв, выполняя такие действия, как поиск, составление и удаление сообщений. Кроме того, были выявлены инструменты для управления списками адресов электронной почты и их проверки на предмет использования в фишинге, что повышает эффективность их кампаний за счет обеспечения лучшей доставляемости и точности таргетинга. Инфраструктура DCL поддерживает гибридные рабочие процессы атак, использующие фишинг с кодом устройства для первоначального доступа, за которым следует рассылка фишинговых писем непосредственно с скомпрометированных учетных записей, добавляя дополнительный уровень легитимности последующим атакам.

Кроме того, генератор SVG-вложений DCL известен своей способностью обходить механизмы обнаружения Microsoft Defender for Endpoint. Этот инструмент позволяет создавать SVG-файлы, которые могут встраивать JavaScript, что позволяет злоумышленникам эксплуатировать контексты браузера, избегая при этом распространенных методов обнаружения.

Операционный ландшафт DCL также включает различные фишинговые страницы, предназначенные для сбора учетных данных по множеству тем, с использованием скомпрометированной инфраструктуры для обмана жертв. Такое разнообразие тактик и инструментов указывает на скоординированные усилия по эксплуатации уязвимостей в корпоративных средах и уклонению от обнаружения благодаря тщательному проектированию и инструментам с богатым функционалом.

#ParsedReport #CompletenessMedium
11-06-2026

Solana FakeFix: 25 Malicious npm and PyPI Packages Lure Developers With Fake Stable Builds

https://research.jfrog.com/post/solana-fakefix/

Report completeness: Medium

Actors/Campaigns:
Solana_fakefix

Threats:
Typosquatting_technique
Deno_loader

Victims:
Solana developers, Developers, Ci pipelines, Software development, Cryptocurrency

Industry:
Healthcare, Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1033, T1036, T1053.003, T1053.005, T1059.001, T1059.006, T1059.007, T1070.004, T1071.001, have more...

IOCs:
File: 24
Url: 17
IP: 1
Path: 3

Soft:
Telegram, ETHERSCAN, Unix crontab, macOS, Windows scheduled task, Windows Registry

Crypto:
solana

Algorithms:
base58

Functions:
Set-ExecutionPolicy, setTimeout, Set-ItemProperty

Languages:
javascript, typescript, python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Solana FakeFix нацелена на разработчиков Solana посредством распространения 25 вредоносных пакетов npm и PyPI, использующих тайпсквоттинг и поддельное брендинг. Атакующие выполняют JavaScript-код во время установки npm для создания канала C2 в Телеграм, тогда как пакеты Python запускают ВПО при импорте; обе техники предназначены для кражи конфиденциальной информации, такой как ключи кошельков и учетные данные облачных сервисов. Кампания сочетает прямую эксплуатацию уязвимостей пакетов с фишинговыми тактиками, чтобы заманить жертв на раскрытие учетных данных.
-----

Кампания Solana FakeFix, выявленная исследовательской группой JFrog Security, связана с распространением 25 вредоносных пакетов npm и PyPI, нацеленных конкретно на разработчиков Solana. В рамках кампании используются тактики, такие как тайпсквоттинг, поддельное брендинг для SDK Solana и хуки выполнения жизненного цикла, что способствует краже данных. Эти пакеты призваны извлекать конфиденциальную информацию, включая ключи кошельков, учетные данные облачных сервисов, токены систем контроля версий и различные секреты среды.

Основным обманным подходом, использованным в этой кампании, была реклама этих опасных пакетов в качестве исправлений совместимости для проблем сборки Solana. Кампания осуществлялась путем спама в вопросах GitHub от имени пользователя PassWord1337, который выдавал себя за участника сообщества, эффективно нацеливаясь на разработчиков, испытывающих проблемы с зависимостями. Первый этап атаки требовал выполнения JavaScript-кода, контролируемого злоумышленником, во время установки npm-пакета. Этот исполняемый полезный код немедленно настраивал канал управления (C2) через Телеграм и инициировал поиск секретов разработчика.

Для пакетов Python вредоносное ПО активировалось в ходе стандартного процесса импорта, что подчеркивает различия в методах выполнения между npm и PyPI. Каждый тип пакетов имел общие характеристики полезной нагрузки, что указывает на скоординированные усилия по проникновению в системы. Более поздние варианты npm эволюционировали, изменив вектор атаки путем внедрения вредоносного кода в JavaScript-библиотеки Solana, имитирующие функциональность, что позволяло им действовать незамеченными при сканировании конфиденциальной информации, такой как ключевые пары Solana и учетные данные AWS.

В другом аспекте кампании загрузчик с тематикой CMS использовал пакеты npm, загруженные пользователем по имени thermonuclear. Хотя они не были напрямую связаны с Solana, эти пакеты содержали механизмы для выполнения удаленных Windows-загрузчиков с помощью сценариев PowerShell и JavaScript, выполняемых в контексте среды выполнения Deno. Эти методы включали скрытые установки, динамическое получение загрузчиков второго этапа и попытки закрепления с использованием различных функций Windows, таких как запланированные задачи и изменения реестра.

Злоумышленники также использовали концепцию ботов MEV (извлекаемая майнерами ценность) для того, чтобы заманить жертв предоставить конфиденциальные учетные данные под ложным обещанием пассивного дохода. Это представляет собой сочетание эксплуатации технических пакетов и классических тактик фишинга.

Шаги по устранению включают удаление затронутых пакетов, ротацию всех конфиденциальных учетных данных и аудит на наличие потенциальных индикаторов закрепления, которые могут позволить злоумышленникам сохранить доступ. Расследование должно сосредоточиться на признаках трафика Telegram API и других конкретных IoC, связанных с кампанией. Сложность использованных методов, переход от простых бэкдоров к сложным троянизированным библиотекам, подчеркивает быструю эволюцию и растущую сложность таких киберугроз, нацеленных на экосистемы разработчиков.

#ParsedReport #CompletenessLow
13-06-2026

152 Chrome Live Wallpaper Extensions Hid Ad Tracking and Faked Google Search Traffic

https://socket.dev/blog/152-chrome-live-wallpaper-extensions-hid-ad-tracking

Report completeness: Low

Threats:
Bumblebee

Victims:
Advertising, Ad technology, Affiliate marketing, Chrome users

Industry:
Transport, Education, Telco

Geo:
Turkey, Turkish, Tokyo, Ankara

TTPs:
Tactics: 1
Technics: 5

IOCs:
Domain: 4
File: 9
Email: 6
IP: 2
Coin: 11
BrowserExtension: 141

Soft:
Chrome, IndexedDB, Outlook, WordPress, Kitty, Minecraft

Functions:
setUninstallURL, deleteDatabase