CTT Report Hub
#ParsedReport #CompletenessMedium 18-06-2026 15 Malicious JetBrains Plugins Stole AI API Keys from 70,000 Developers https://www.stepsecurity.io/blog/jetbrains-malicious-plugins-ai-api-key-theft Report completeness: Medium Threats: Supply_chain_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2026 года скоординированная атака на Цепочку поставок была направлена против JetBrains через 15 вредоносных плагинов, имитировавших инструменты разработки с искусственным интеллектом, которые внедряли код для кражи учетных данных. Эти плагины передавали API-ключи по незашифрованному HTTP на сервер управления, минимизируя обнаружение с помощью проверки дубликатов. Атака продемонстрировала эксплуатацию модели доверия, создавая модель дохода через функцию «стены пожертвований» и позволяя продолжать использование украденных ключей даже после удаления плагинов.
-----
В июне 2026 года скоординированная атака на Цепочка поставок была направлена против JetBrains, в ходе которой были использованы 15 вредоносных плагинов на его маркетплейс, маскировавшихся под инструменты разработки с искусственным интеллектом. Эти плагины, опубликованные под семью различными учетными записями поставщиков, утверждали, что предлагают такие функции, как проверка кода и генерация тестов, одновременно внедряя скрытый код для кражи учетных данных. Атака использовала фундаментальную модель доверия, поскольку разработчики обычно ожидают, что плагины из авторитетных маркетплейсов будут безопасными.
После ввода ключа API провайдера ИИ в плагины ключи незаметно эксфильтровались по незашифрованному HTTP на сервер управления в адресе 39.107.60.51, размещенном на Alibaba Cloud в Пекине, Китай. Каждый плагин был разработан с методом save(), который проверял формат ключа API и сохранял новые ключи для эксфильтрации, демонстрируя тщательный подход к избеганию обнаружения. Используя проверку дубликатов, злоумышленники минимизировали сетевой шум и риск обнаружения. Кроме того, отсутствие шифрования в процессе эксфильтрации данных делало перехват тривиальным для защитников.
Злоумышленники также включили в вредоносные плагины функцию «стены пожертвований», которая требовала от пользователей оплаты в обмен на получение рабочей API-ключа — вероятно, уже украденного у другого жертвы. Это позволяло злоумышленникам создавать самодостаточную модель доходов, одновременно обременяя владельцев оригинальных ключей нежелательными расходами на API.
Согласно отчетам по безопасности, JetBrains удалила все 15 плагинов со своего маркетплейса и навсегда заблокировала связанные учетные записи поставщика, а также внедрила удаленный механизм уничтожения для отключения расширений. Независимое расследование подтвердило, что C2-сервер оставался активным через три дня, что указывает на потенциальную продолжающуюся эксплуатацию украденных API-ключей и возможность перехода на другие платформы.
Меры обнаружения в сети для выявления скомпрометированных систем включают мониторинг исходящих HTTP-соединений от процессов IDE к IP-адресу C2, поиск идентификаторов вредоносных плагинов на диске, проверку сетевых журналов на наличие соединений с сервером C2 и аудит панелей управления провайдеров ИИ на предмет скомпрометированных ключей. Организациям рекомендуется отозвать и заменить затронутые API-ключи, заблокировать сервер C2 и использовать сканеры секретов для обеспечения отсутствия непреднамеренного раскрытия API-ключей в исходном коде.
Для упрощения взаимодействия между командами разработчиков такие инструменты, как Dev Machine Guard, могут проводить инвентаризацию расширений IDE в более широком масштабе, позволяя командам безопасности мгновенно выявлять затронутые машины без необходимости полагаться на самоотчеты разработчиков. Этот подход также обеспечивает видимость в различных IDE, тем самым повышая возможности обнаружения аналогичных угроз Цепочка поставок в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2026 года скоординированная атака на Цепочку поставок была направлена против JetBrains через 15 вредоносных плагинов, имитировавших инструменты разработки с искусственным интеллектом, которые внедряли код для кражи учетных данных. Эти плагины передавали API-ключи по незашифрованному HTTP на сервер управления, минимизируя обнаружение с помощью проверки дубликатов. Атака продемонстрировала эксплуатацию модели доверия, создавая модель дохода через функцию «стены пожертвований» и позволяя продолжать использование украденных ключей даже после удаления плагинов.
-----
В июне 2026 года скоординированная атака на Цепочка поставок была направлена против JetBrains, в ходе которой были использованы 15 вредоносных плагинов на его маркетплейс, маскировавшихся под инструменты разработки с искусственным интеллектом. Эти плагины, опубликованные под семью различными учетными записями поставщиков, утверждали, что предлагают такие функции, как проверка кода и генерация тестов, одновременно внедряя скрытый код для кражи учетных данных. Атака использовала фундаментальную модель доверия, поскольку разработчики обычно ожидают, что плагины из авторитетных маркетплейсов будут безопасными.
После ввода ключа API провайдера ИИ в плагины ключи незаметно эксфильтровались по незашифрованному HTTP на сервер управления в адресе 39.107.60.51, размещенном на Alibaba Cloud в Пекине, Китай. Каждый плагин был разработан с методом save(), который проверял формат ключа API и сохранял новые ключи для эксфильтрации, демонстрируя тщательный подход к избеганию обнаружения. Используя проверку дубликатов, злоумышленники минимизировали сетевой шум и риск обнаружения. Кроме того, отсутствие шифрования в процессе эксфильтрации данных делало перехват тривиальным для защитников.
Злоумышленники также включили в вредоносные плагины функцию «стены пожертвований», которая требовала от пользователей оплаты в обмен на получение рабочей API-ключа — вероятно, уже украденного у другого жертвы. Это позволяло злоумышленникам создавать самодостаточную модель доходов, одновременно обременяя владельцев оригинальных ключей нежелательными расходами на API.
Согласно отчетам по безопасности, JetBrains удалила все 15 плагинов со своего маркетплейса и навсегда заблокировала связанные учетные записи поставщика, а также внедрила удаленный механизм уничтожения для отключения расширений. Независимое расследование подтвердило, что C2-сервер оставался активным через три дня, что указывает на потенциальную продолжающуюся эксплуатацию украденных API-ключей и возможность перехода на другие платформы.
Меры обнаружения в сети для выявления скомпрометированных систем включают мониторинг исходящих HTTP-соединений от процессов IDE к IP-адресу C2, поиск идентификаторов вредоносных плагинов на диске, проверку сетевых журналов на наличие соединений с сервером C2 и аудит панелей управления провайдеров ИИ на предмет скомпрометированных ключей. Организациям рекомендуется отозвать и заменить затронутые API-ключи, заблокировать сервер C2 и использовать сканеры секретов для обеспечения отсутствия непреднамеренного раскрытия API-ключей в исходном коде.
Для упрощения взаимодействия между командами разработчиков такие инструменты, как Dev Machine Guard, могут проводить инвентаризацию расширений IDE в более широком масштабе, позволяя командам безопасности мгновенно выявлять затронутые машины без необходимости полагаться на самоотчеты разработчиков. Этот подход также обеспечивает видимость в различных IDE, тем самым повышая возможности обнаружения аналогичных угроз Цепочка поставок в будущем.
#ParsedReport #CompletenessHigh
20-06-2026
Fortibleed: Anatomy of the FortiBleed campaign based on the server that the attackers themselves left exposed.
https://zenox.ai/en/fortibleed-anatomy-of-the-fortibleed-campaign-based-on-the-server-that-the-attackers-themselves-left-exposed/
Report completeness: High
Actors/Campaigns:
Fortibleed
Threats:
Hashcat_tool
Password_spray_technique
Impacket_tool
Credential_harvesting_technique
Kerberoasting_technique
As-rep_roasting_technique
Cyberstrikeai_tool
Hackbrowserdata_tool
Victims:
Fortinet fortigate organizations, Microsoft sql server hosts, Active directory domains
Industry:
Logistic, E-commerce
Geo:
Japan, Vietnam, Taiwan
CVEs:
CVE-2026-24858 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortianalyzer (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortimanager (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortinac-f (<7.6.6)
- fortinet fortiproxy (le7.0.22, le7.2.15, le7.4.12, le7.6.4)
- fortinet fortiweb (le7.4.11, le7.6.6, le8.0.3)
have more...
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 17
Hash: 1
Soft:
Active Directory, Telegram, Microsoft SQL Server, MSSQL, MySQL, curl, Chromium, Anthropic, OpenAI, Ollama, have more...
Algorithms:
rc4, md5, ed25519, aes-256, pbkdf2, sha256, aes
Languages:
typescript, python
20-06-2026
Fortibleed: Anatomy of the FortiBleed campaign based on the server that the attackers themselves left exposed.
https://zenox.ai/en/fortibleed-anatomy-of-the-fortibleed-campaign-based-on-the-server-that-the-attackers-themselves-left-exposed/
Report completeness: High
Actors/Campaigns:
Fortibleed
Threats:
Hashcat_tool
Password_spray_technique
Impacket_tool
Credential_harvesting_technique
Kerberoasting_technique
As-rep_roasting_technique
Cyberstrikeai_tool
Hackbrowserdata_tool
Victims:
Fortinet fortigate organizations, Microsoft sql server hosts, Active directory domains
Industry:
Logistic, E-commerce
Geo:
Japan, Vietnam, Taiwan
CVEs:
CVE-2026-24858 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortianalyzer (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortimanager (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortinac-f (<7.6.6)
- fortinet fortiproxy (le7.0.22, le7.2.15, le7.4.12, le7.6.4)
- fortinet fortiweb (le7.4.11, le7.6.6, le8.0.3)
have more...
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 17
Hash: 1
Soft:
Active Directory, Telegram, Microsoft SQL Server, MSSQL, MySQL, curl, Chromium, Anthropic, OpenAI, Ollama, have more...
Algorithms:
rc4, md5, ed25519, aes-256, pbkdf2, sha256, aes
Languages:
typescript, python
ZenoX - Artificial Intelligence for Cyber Security
Fortibleed: Anatomy of the FortiBleed campaign based on the server that the attackers themselves left exposed.
Executive Summary: In June 19 2026 we received access to the contents of an internet-exposed directory, left open by the operators themselves of a campaign the press named FortiBleed. It was not a victim leak. It was the attacker command post:...
CTT Report Hub
#ParsedReport #CompletenessHigh 20-06-2026 Fortibleed: Anatomy of the FortiBleed campaign based on the server that the attackers themselves left exposed. https://zenox.ai/en/fortibleed-anatomy-of-the-fortibleed-campaign-based-on-the-server-that-the-attackers…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания FortiBleed, раскрытая в июне 2026 года, включала масштабную операцию по краже учетных данных, нацеленную на межсетевые экраны Fortinet FortiGate, затронувшую 73 932 уникальных URL-адреса в 194 странах. Атакующие использовали структурированный четырехэтапный подход, включающий массовое сканирование, извлечение учетных данных, сложное взламывание хешей с использованием таких инструментов, как Hashtopolis, и перемещение внутри компании в сети, применяя автоматизацию и искусственный интеллект для повышения эффективности. Эта кампания завершилась значительными компрометациями административного доступа в нескольких организациях из-за критического сбоя в операционной безопасности, который привел к разглашению конфиденциальных файлов в интернете.
-----
Кампания FortiBleed включает кражу учётных данных, нацеленную на межсетевые экраны Fortinet FortiGate.
Операция выявила 318 файлов из раскрытого командного пункта, содержащих информацию о методах атак.
Оно охватывало 73 932 уникальных URL-адреса межсетевого экрана в 194 странах, что указывает на деятельность крупного масштаба.
Атакующие использовали четырехэтапный подход: массовое сканирование, извлечение учетных данных, взлом хешей и перемещение внутри компании.
Начальное сканирование включало региональные целевые списки и несколько одновременных потоков доступа, что дало положительный результат.
Сбор учетных записей использовал инструменты веб-автоматизации для захвата данных сеанса.
Был создан конвейер данных для обработки захваченных учетных данных с целью облегчения эксплуатации.
Для взлома хешей использовалась распределённая архитектура с Hashtopolis и арендованными GPU-ресурсами.
Злоумышленники управляли задачами взлома через бота Телеграм, поддерживающего несколько типов хешей, таких как NetNTLMv2 и Kerberos.
Инфраструктура позволяла нацеливаться не только на устройства Fortinet, но и на различные базы данных и сети.
Тактики постэксплуатации использовали Python-скрипты для действий во внутренней сети, таких как распыление пароля против Active Directory.
Расширенная проверка учётных записей пользователей и аудит привилегий продемонстрировали высокий уровень автоматизации в атаках.
Атакующие также использовали инструмент на базе искусственного интеллекта CyberStrike для автоматизации задач тестирования на проникновение.
Сбой в области операционной безопасности (OPSEC) привёл к раскрытию критически важных инструментов и ключей доступа из-за наличия файлов, доступных в интернете.
В результате кампании был получен несанкционированный доступ к тысячам межсетевых экранов и зафиксированы нарушения безопасности в нескольких доменах Active Directory.
Рекомендуемые меры защиты включают предположение о компрометации устройств FortiGate, подвергшихся воздействию, и обеспечение многофакторной аутентификации (MFA).
Дополнительные меры включают ротацию административных учетных данных и мониторинг аномальной активности, указывающей на доступ через бэкдор.
Дело FortiBleed иллюстрирует изменяющийся ландшафт киберугроз, подчеркивая интеграцию ИИ в атаки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания FortiBleed, раскрытая в июне 2026 года, включала масштабную операцию по краже учетных данных, нацеленную на межсетевые экраны Fortinet FortiGate, затронувшую 73 932 уникальных URL-адреса в 194 странах. Атакующие использовали структурированный четырехэтапный подход, включающий массовое сканирование, извлечение учетных данных, сложное взламывание хешей с использованием таких инструментов, как Hashtopolis, и перемещение внутри компании в сети, применяя автоматизацию и искусственный интеллект для повышения эффективности. Эта кампания завершилась значительными компрометациями административного доступа в нескольких организациях из-за критического сбоя в операционной безопасности, который привел к разглашению конфиденциальных файлов в интернете.
-----
Кампания FortiBleed включает кражу учётных данных, нацеленную на межсетевые экраны Fortinet FortiGate.
Операция выявила 318 файлов из раскрытого командного пункта, содержащих информацию о методах атак.
Оно охватывало 73 932 уникальных URL-адреса межсетевого экрана в 194 странах, что указывает на деятельность крупного масштаба.
Атакующие использовали четырехэтапный подход: массовое сканирование, извлечение учетных данных, взлом хешей и перемещение внутри компании.
Начальное сканирование включало региональные целевые списки и несколько одновременных потоков доступа, что дало положительный результат.
Сбор учетных записей использовал инструменты веб-автоматизации для захвата данных сеанса.
Был создан конвейер данных для обработки захваченных учетных данных с целью облегчения эксплуатации.
Для взлома хешей использовалась распределённая архитектура с Hashtopolis и арендованными GPU-ресурсами.
Злоумышленники управляли задачами взлома через бота Телеграм, поддерживающего несколько типов хешей, таких как NetNTLMv2 и Kerberos.
Инфраструктура позволяла нацеливаться не только на устройства Fortinet, но и на различные базы данных и сети.
Тактики постэксплуатации использовали Python-скрипты для действий во внутренней сети, таких как распыление пароля против Active Directory.
Расширенная проверка учётных записей пользователей и аудит привилегий продемонстрировали высокий уровень автоматизации в атаках.
Атакующие также использовали инструмент на базе искусственного интеллекта CyberStrike для автоматизации задач тестирования на проникновение.
Сбой в области операционной безопасности (OPSEC) привёл к раскрытию критически важных инструментов и ключей доступа из-за наличия файлов, доступных в интернете.
В результате кампании был получен несанкционированный доступ к тысячам межсетевых экранов и зафиксированы нарушения безопасности в нескольких доменах Active Directory.
Рекомендуемые меры защиты включают предположение о компрометации устройств FortiGate, подвергшихся воздействию, и обеспечение многофакторной аутентификации (MFA).
Дополнительные меры включают ротацию административных учетных данных и мониторинг аномальной активности, указывающей на доступ через бэкдор.
Дело FortiBleed иллюстрирует изменяющийся ландшафт киберугроз, подчеркивая интеграцию ИИ в атаки.
#ParsedReport #CompletenessMedium
17-06-2026
Five npm Packages That Hide a Windows Binary Dropper
https://safedep.io/procwire-npm-windows-dropper-campaign/
Report completeness: Medium
Threats:
Bitsadmin_tool
Motw_bypass_technique
Lolbin_technique
Victims:
Software supply chain, Windows users
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1036.005, T1059.001, T1059.003, T1059.007, T1082, T1105, T1140, T1195.001, have more...
IOCs:
File: 13
Url: 3
Email: 2
Path: 1
Command: 3
Domain: 1
Soft:
Node.js, curl
Algorithms:
xor
Functions:
createServer
Languages:
powershell
17-06-2026
Five npm Packages That Hide a Windows Binary Dropper
https://safedep.io/procwire-npm-windows-dropper-campaign/
Report completeness: Medium
Threats:
Bitsadmin_tool
Motw_bypass_technique
Lolbin_technique
Victims:
Software supply chain, Windows users
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1036.005, T1059.001, T1059.003, T1059.007, T1082, T1105, T1140, T1195.001, have more...
IOCs:
File: 13
Url: 3
Email: 2
Path: 1
Command: 3
Domain: 1
Soft:
Node.js, curl
Algorithms:
xor
Functions:
createServer
Languages:
powershell
SafeDep - Real-time Open Source Software Supply Chain Security
Five npm Packages That Hide a Windows Binary Dropper
Five npm packages published in a 12-minute burst split a Windows binary dropper across a fake utility toolkit. The loader hides in a preinstall hook, decodes its C2 from a helper package, and fetches a payload from catbox.moe.
CTT Report Hub
#ParsedReport #CompletenessMedium 17-06-2026 Five npm Packages That Hide a Windows Binary Dropper https://safedep.io/procwire-npm-windows-dropper-campaign/ Report completeness: Medium Threats: Bitsadmin_tool Motw_bypass_technique Lolbin_technique Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Выявлена сложная кампания кибератак, нацеленная на системы Windows, в рамках которой задействованы пять вредоносных пакетов npm, среди которых ключевыми являются procwire@1.3.0 (дропер бинарных файлов Windows) и routecraft@4.2.0 (включающий procwire). Атака использует хук preinstall в procwire для выполнения скрытых полезной нагрузки через XOR-кодированные URL-адреса C2 и применяет различные методы загрузки и выполнения для уклонения от обнаружения. Тактики обфускации, используемые в описаниях пакетов и механизмах выполнения, подчеркивают необходимость мониторинга поведения установки, а не полагаться на репутацию пакетов для обнаружения.
-----
Сложная кампания атак с использованием пяти пакетов npm была запущена 16 июня 2026 года, нацеленная на системы Windows. Двумя основными оружием являются пакеты procwire@1.3.0, который является загрузчиком для Windows, и routecraft@4.2.0, маскирующийся под клон Express. Три дополнительных пакета выполняют вспомогательные функции: bytecraft (утилита XOR), endpointmap (кодирует URL-адреса управления (C2)) и staticlayer (компонент серверной части для загрузчика).
Процесс эксплуатации начинается с хука предварительной установки в procwire во время выполнения npm install, который декодирует конечную точку C2, хранящуюся в виде массивов байтов, закодированных с помощью XOR, из endpointmap, что позволяет загружать и выполнять полезную нагрузку без обнаружения. Применяются различные методы произвольного выполнения бинарных файлов в Windows, включая Node.js HTTPS, curl.exe и bitsadmin для загрузки; прямой запуск, cmd.exe и PowerShell для выполнения.
Архитектура вредоносного ПО позволяет ему избегать обнаружения путем обхода защитных механизмов Mark-of-the-Web и маскировки своих полезной нагрузки под легитимные обновления программного обеспечения, такие как msedge_update и chrome_installer. Каждый пакет npm содержит убедительные описания для интеграции в экосистему npm. Конструкция URL-адреса C2 является сложной, использует шифрование XOR и имя пакета в качестве секретного ключа, что затрудняет анализ функциональности статическими методами.
Дроппер инициирует загрузку полезной нагрузки через HTTP GET-запрос, имитирующий механизмы доставки Microsoft, и отключает проверку TLS для предотвращения обнаружения. Методы резервного копирования обеспечивают успешную загрузку независимо от средств защиты. Поддельный альтернативный поток данных Zone.Identifier используется для обхода предупреждений SmartScreen.
Пакет staticlayer работает как сервер для самостоятельного размещения и распределения полезной нагрузки, требуя от клиента совпадения с User-Agent загрузчика для ограничения воздействия. Эта кампания демонстрирует передовые тактики уклонения, распределяя вредоносные функции по незаметным компонентам, что подчеркивает необходимость мониторинга поведения установки, а не полагаться исключительно на репутацию пакетов для обнаружения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Выявлена сложная кампания кибератак, нацеленная на системы Windows, в рамках которой задействованы пять вредоносных пакетов npm, среди которых ключевыми являются procwire@1.3.0 (дропер бинарных файлов Windows) и routecraft@4.2.0 (включающий procwire). Атака использует хук preinstall в procwire для выполнения скрытых полезной нагрузки через XOR-кодированные URL-адреса C2 и применяет различные методы загрузки и выполнения для уклонения от обнаружения. Тактики обфускации, используемые в описаниях пакетов и механизмах выполнения, подчеркивают необходимость мониторинга поведения установки, а не полагаться на репутацию пакетов для обнаружения.
-----
Сложная кампания атак с использованием пяти пакетов npm была запущена 16 июня 2026 года, нацеленная на системы Windows. Двумя основными оружием являются пакеты procwire@1.3.0, который является загрузчиком для Windows, и routecraft@4.2.0, маскирующийся под клон Express. Три дополнительных пакета выполняют вспомогательные функции: bytecraft (утилита XOR), endpointmap (кодирует URL-адреса управления (C2)) и staticlayer (компонент серверной части для загрузчика).
Процесс эксплуатации начинается с хука предварительной установки в procwire во время выполнения npm install, который декодирует конечную точку C2, хранящуюся в виде массивов байтов, закодированных с помощью XOR, из endpointmap, что позволяет загружать и выполнять полезную нагрузку без обнаружения. Применяются различные методы произвольного выполнения бинарных файлов в Windows, включая Node.js HTTPS, curl.exe и bitsadmin для загрузки; прямой запуск, cmd.exe и PowerShell для выполнения.
Архитектура вредоносного ПО позволяет ему избегать обнаружения путем обхода защитных механизмов Mark-of-the-Web и маскировки своих полезной нагрузки под легитимные обновления программного обеспечения, такие как msedge_update и chrome_installer. Каждый пакет npm содержит убедительные описания для интеграции в экосистему npm. Конструкция URL-адреса C2 является сложной, использует шифрование XOR и имя пакета в качестве секретного ключа, что затрудняет анализ функциональности статическими методами.
Дроппер инициирует загрузку полезной нагрузки через HTTP GET-запрос, имитирующий механизмы доставки Microsoft, и отключает проверку TLS для предотвращения обнаружения. Методы резервного копирования обеспечивают успешную загрузку независимо от средств защиты. Поддельный альтернативный поток данных Zone.Identifier используется для обхода предупреждений SmartScreen.
Пакет staticlayer работает как сервер для самостоятельного размещения и распределения полезной нагрузки, требуя от клиента совпадения с User-Agent загрузчика для ограничения воздействия. Эта кампания демонстрирует передовые тактики уклонения, распределяя вредоносные функции по незаметным компонентам, что подчеркивает необходимость мониторинга поведения установки, а не полагаться исключительно на репутацию пакетов для обнаружения.
#ParsedReport #CompletenessHigh
19-06-2026
Mastra Attack Targets Crypto, Password Managers, Authenticators, and Zapier
https://opensourcemalware.com/blog/mastra-npm-malware
Report completeness: High
Actors/Campaigns:
Axios_compromise
Lazarus
Mastra_compromise
Threats:
Supply_chain_technique
Typosquatting_technique
Clickfix_technique
Victims:
Cryptocurrency, Password management, Authentication, Software development, Automation
Industry:
Petroleum
Geo:
Dprk
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1005, T1008, T1012, T1027, T1033, T1036.005, T1057, T1059.001, T1059.007, T1070.004, have more...
IOCs:
File: 10
Email: 2
Url: 2
IP: 2
Path: 2
Command: 1
Registry: 1
Domain: 2
Hash: 2
BrowserExtension: 146
Coin: 20
Soft:
Mastra, LastPass, Bitwarden, 1Password, Dashlane, KeePass, NordPass, macOS, Linux, systemd, have more...
Wallets:
metamask, coinbase, keplr, rabby, coin98, math_wallet, core_wallet, exodus_wallet, solflare_wallet, auro_wallet, have more...
Crypto:
binance, casper, multiversx, aptos, bitcoin, dogecoin, solana, polkadot
Algorithms:
base64, prng, sha256
Functions:
Get-StartApps, Get-AppxPackage, Get-Process, Get-ItemProperty
Languages:
powershell
Platforms:
cross-platform
19-06-2026
Mastra Attack Targets Crypto, Password Managers, Authenticators, and Zapier
https://opensourcemalware.com/blog/mastra-npm-malware
Report completeness: High
Actors/Campaigns:
Axios_compromise
Lazarus
Mastra_compromise
Threats:
Supply_chain_technique
Typosquatting_technique
Clickfix_technique
Victims:
Cryptocurrency, Password management, Authentication, Software development, Automation
Industry:
Petroleum
Geo:
Dprk
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1008, T1012, T1027, T1033, T1036.005, T1057, T1059.001, T1059.007, T1070.004, have more...
IOCs:
File: 10
Email: 2
Url: 2
IP: 2
Path: 2
Command: 1
Registry: 1
Domain: 2
Hash: 2
BrowserExtension: 146
Coin: 20
Soft:
Mastra, LastPass, Bitwarden, 1Password, Dashlane, KeePass, NordPass, macOS, Linux, systemd, have more...
Wallets:
metamask, coinbase, keplr, rabby, coin98, math_wallet, core_wallet, exodus_wallet, solflare_wallet, auro_wallet, have more...
Crypto:
binance, casper, multiversx, aptos, bitcoin, dogecoin, solana, polkadot
Algorithms:
base64, prng, sha256
Functions:
Get-StartApps, Get-AppxPackage, Get-Process, Get-ItemProperty
Languages:
powershell
Platforms:
cross-platform
Opensourcemalware
OpenSourceMalware.com - Community Threat Intelligence
Community-driven threat intelligence. Human-verified supply chain threats from every major open source ecosystem.
CTT Report Hub
#ParsedReport #CompletenessHigh 19-06-2026 Mastra Attack Targets Crypto, Password Managers, Authenticators, and Zapier https://opensourcemalware.com/blog/mastra-npm-malware Report completeness: High Actors/Campaigns: Axios_compromise Lazarus Mastra_compromise…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака Malstra подчеркивает растущий тренд в киберугрозах, особенно в части эксплуатации уязвимостей в Цепочке поставок программного обеспечения. Скомпрометированная учетная запись разработчика в организации Mastro NPM привела к распространению более 140 вредоносных пакетов npm, включая версию библиотеки `dayjs`, зарегистрированную с использованием метода тайпсквоттинга, которая использовала хук postinstall для загрузки сложного кроссплатформенного бэкдора. Этот бэкдор позволял осуществлять эксфильтрацию данных из браузеров и атаковал различные расширения, выходящие за рамки криптовалютных кошельков, что указывает на сдвиг в фокусе атак.
-----
Недавняя атака Malstra подчеркивает значительные тенденции в киберугрозах, особенно направленные на уязвимости в цепочке поставок программного обеспечения. Этот инцидент включал компрометацию организации Mastro NPM, где злоумышленник захватил контроль над неаккаунтом разработчика и опубликовал более 140 вредоносных пакетов npm. Метод имитировал более раннюю атаку, приписываемую группе Lazarus Group, подчеркивая использование аналогичных методов работы.
В основе атаки лежало внедрение пакета с опечаткой в названии (`easy-day-js`), который являлся безобидной копией популярной библиотеки `dayjs`. Вредоносная версия этого пакета содержала хук postinstall, который запускал двухэтапную полезную нагрузку. Первый этап, выполняемый файлом `setup.cjs`, действовал как загрузчик, получая более сложную вторую стадию с сервера управления (C2). Этот имплант второй стадии представляет собой кроссплатформенный бэкдор, способный атаковать системы Windows, macOS и Linux, а также извлекать конфиденциальные данные из браузеров, включая историю и информацию из 166 различных идентификаторов расширений для криптовалютных кошельков и средств безопасности.
Выполнение атаки было облегчено путем обхода проверки доверенных издателей npm с использованием учетных данных старого сопровождающего. Вместо явных модификаций кода пакета злоумышленник добавил одну новую зависимость во множество манифестов. Такой скрытный подход обеспечил то, что при установке или обновлении `easy-day-js` вweaponized версия загружалась незаметно, поскольку разрешение версий по диапазону caret в npm не требовало от разработчиков подтверждения наличия вредоносного номера версии.
Кроме того, функциональность закладки позволяла ей проводить фэнгерпринтинг среды хоста, обеспечивать постоянство в системе, извлекать историю браузеров и выполнять произвольный код под контролем злоумышленника. Особого внимания заслуживает обширный список целевых расширений, который включает различные менеджеры паролей и MFA-аутентификаторы, что отличается от предыдущих кампаний, в основном ориентированных на криптовалютные кошельки.
Критическим фактором этой атаки стало отсутствие проверки происхождения вредоносных пакетов, что в корне позволило злоумышленникам обойти механизмы безопасности npm. Что касается паттернов, атака на Mastra демонстрирует растущую тенденцию расширения угроз за пределы традиционных целей с фокусом на более широкий спектр уязвимостей программного обеспечения, связанных с управлением учетными данными и интеграциями, такими как Zapier.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака Malstra подчеркивает растущий тренд в киберугрозах, особенно в части эксплуатации уязвимостей в Цепочке поставок программного обеспечения. Скомпрометированная учетная запись разработчика в организации Mastro NPM привела к распространению более 140 вредоносных пакетов npm, включая версию библиотеки `dayjs`, зарегистрированную с использованием метода тайпсквоттинга, которая использовала хук postinstall для загрузки сложного кроссплатформенного бэкдора. Этот бэкдор позволял осуществлять эксфильтрацию данных из браузеров и атаковал различные расширения, выходящие за рамки криптовалютных кошельков, что указывает на сдвиг в фокусе атак.
-----
Недавняя атака Malstra подчеркивает значительные тенденции в киберугрозах, особенно направленные на уязвимости в цепочке поставок программного обеспечения. Этот инцидент включал компрометацию организации Mastro NPM, где злоумышленник захватил контроль над неаккаунтом разработчика и опубликовал более 140 вредоносных пакетов npm. Метод имитировал более раннюю атаку, приписываемую группе Lazarus Group, подчеркивая использование аналогичных методов работы.
В основе атаки лежало внедрение пакета с опечаткой в названии (`easy-day-js`), который являлся безобидной копией популярной библиотеки `dayjs`. Вредоносная версия этого пакета содержала хук postinstall, который запускал двухэтапную полезную нагрузку. Первый этап, выполняемый файлом `setup.cjs`, действовал как загрузчик, получая более сложную вторую стадию с сервера управления (C2). Этот имплант второй стадии представляет собой кроссплатформенный бэкдор, способный атаковать системы Windows, macOS и Linux, а также извлекать конфиденциальные данные из браузеров, включая историю и информацию из 166 различных идентификаторов расширений для криптовалютных кошельков и средств безопасности.
Выполнение атаки было облегчено путем обхода проверки доверенных издателей npm с использованием учетных данных старого сопровождающего. Вместо явных модификаций кода пакета злоумышленник добавил одну новую зависимость во множество манифестов. Такой скрытный подход обеспечил то, что при установке или обновлении `easy-day-js` вweaponized версия загружалась незаметно, поскольку разрешение версий по диапазону caret в npm не требовало от разработчиков подтверждения наличия вредоносного номера версии.
Кроме того, функциональность закладки позволяла ей проводить фэнгерпринтинг среды хоста, обеспечивать постоянство в системе, извлекать историю браузеров и выполнять произвольный код под контролем злоумышленника. Особого внимания заслуживает обширный список целевых расширений, который включает различные менеджеры паролей и MFA-аутентификаторы, что отличается от предыдущих кампаний, в основном ориентированных на криптовалютные кошельки.
Критическим фактором этой атаки стало отсутствие проверки происхождения вредоносных пакетов, что в корне позволило злоумышленникам обойти механизмы безопасности npm. Что касается паттернов, атака на Mastra демонстрирует растущую тенденцию расширения угроз за пределы традиционных целей с фокусом на более широкий спектр уязвимостей программного обеспечения, связанных с управлением учетными данными и интеграциями, такими как Zapier.
#ParsedReport #CompletenessMedium
17-06-2026
Mastra npm Supply Chain Attack: 140+ Packages Backdoored via easy-day-js Typosquat
https://www.stepsecurity.io/blog/mastra-npm-packages-compromised-using-easy-day-js
Report completeness: Medium
Threats:
Supply_chain_technique
Typosquatting_technique
Miasma
Victims:
Mastra ecosystem, Software development environments, Artificial intelligence development environments, Cloud infrastructure environments
Industry:
Software_development
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036.005, T1070.004, T1071.001, T1078, T1105, T1195.001
IOCs:
File: 9
IP: 4
Url: 1
Soft:
Mastra, OpenAI, Anthropic, Node.js
Algorithms:
xor, base64
Languages:
javascript, typescript
Links:
17-06-2026
Mastra npm Supply Chain Attack: 140+ Packages Backdoored via easy-day-js Typosquat
https://www.stepsecurity.io/blog/mastra-npm-packages-compromised-using-easy-day-js
Report completeness: Medium
Threats:
Supply_chain_technique
Typosquatting_technique
Miasma
Victims:
Mastra ecosystem, Software development environments, Artificial intelligence development environments, Cloud infrastructure environments
Industry:
Software_development
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036.005, T1070.004, T1071.001, T1078, T1105, T1195.001
IOCs:
File: 9
IP: 4
Url: 1
Soft:
Mastra, OpenAI, Anthropic, Node.js
Algorithms:
xor, base64
Languages:
javascript, typescript
Links:
https://github.com/mastra-ai/mastra/issues/18045www.stepsecurity.io
Mastra npm Supply Chain Attack: 140+ Packages Backdoored via easy-day-js Typosquat - StepSecurity
On June 17, 2026, an attacker compromised the @mastra npm organization and quietly added easy-day-js as a dependency across 140+ packages in the Mastra AI framework ecosystem. easy-day-js is a typosquat of the popular dayjs date library, and its latest version…
CTT Report Hub
#ParsedReport #CompletenessMedium 17-06-2026 Mastra npm Supply Chain Attack: 140+ Packages Backdoored via easy-day-js Typosquat https://www.stepsecurity.io/blog/mastra-npm-packages-compromised-using-easy-day-js Report completeness: Medium Threats: Sup…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
17 июня 2026 года организация @mastra в npm подверглась атаке на Цепочку поставок через вредоносный пакет easy-day-js, являющийся тайпсквотом библиотеки dayjs, что затронуло более 140 зависимостей с совокупным числом загрузок 1,1 миллиона. Обфусцированный дроппер выполнил второй этап полезной нагрузки с сервера C2, эксплуатируя механизм разрешения зависимостей npm для автоматического включения в новые установки, и применял техники уклонения для устранения следов криминалистический анализ. ВПО целенаправленно атаковало конфиденциальные переменные среды, подчеркивая уязвимости в безопасности Цепочка поставок внутри экосистемы npm.
-----
17 июня 2026 года организация @mastra в npm подверглась значительной атаке на цепочку поставок, связанной с внедрением вредоносного пакета easy-day-js в более чем 140 его зависимостей. Этот пакет является тайпсквотом широко используемой библиотеки для работы с датами dayjs, а его последняя версия содержала зашифрованный дроппер, запускаемый после установки. После установки этот дроппер выполнял вторую стадию полезной нагрузки, загружаемой с сервера управления, за которой следовало самоуничтожение для стирания любых следов своего присутствия. Затронутые пакеты имеют совокупную еженедельную загрузку более 1,1 миллиона, что представляет существенный риск для пользователей, установивших любые пакеты @mastra в то время.
Основная работа по подготовке атаки была проведена 16 июня, когда злоумышленник опубликовал пакет easy-day-js@1.11.21 — чистую версию легитимной библиотеки, чтобы придать себе достоверности. Эта версия, которая дублировала метаданные dayjs, затем была указана как зависимость в пакетах @mastra. Впоследствии была загружена вредоносная версия 1.11.22, использующая метод разрешения зависимостей npm для обеспечения того, чтобы любые новые установки автоматически включали скомпрометированную версию.
После того как злоумышленник реализовал свой план в 01:01 UTC, он использовал скомпрометированные учетные данные для повторной публикации затронутых пакетов @mastra, тем самым выполнив массовую инъекцию зависимости с бэкдором во всей экосистеме. Сам дроппер применял сложные техники уклонения, включая обход проверки TLS-сертификатов, что позволяло устанавливать связь с самоподписанными сертификатами. Он передавал карту затронутых установок в контролируемую злоумышленником директорию, отсоединялся от процесса и выполнялся без вывода информации, видимой пользователю. Кроме того, дроппер немедленно удалял свой основной скрипт после выполнения, устраняя первичные доказательства для криминалистический анализ.
Второй этап полезной нагрузки был настроен на загрузку исполняемых файлов с указанного C2-сервера во время выполнения, с целью захвата чувствительных переменных окружения, таких как API-ключи и другие учетные данные, распространенные в развертываниях Mastra. Первоначальные тесты этого ВПО показали, что инструменты анализа во время выполнения, такие как Harden Runner, используемый в GitHub Actions, успешно блокировали ожидаемую полезную нагрузку, запрещая исходящие вызовы к вредоносным IP-адресам C2, тем самым предотвращая любую утечку учетных данных.
Выбор библиотеки dayjs для тайпсквоттинга и обширная обфускация, применённая в коде дроппера, демонстрируют изощрённость атаки, что делает её особенно сложной для обнаружения и снижения рисков разработчиками при анализе зависимостей. Инцидент подчёркивает фундаментальные уязвимости в безопасности Цепочки поставок, расширяя дискуссию о превентивных мерах в экосистеме npm, таких как внедрение инструментов видимости в реальном времени и проактивных проверок для выявления скомпрометированных пакетов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
17 июня 2026 года организация @mastra в npm подверглась атаке на Цепочку поставок через вредоносный пакет easy-day-js, являющийся тайпсквотом библиотеки dayjs, что затронуло более 140 зависимостей с совокупным числом загрузок 1,1 миллиона. Обфусцированный дроппер выполнил второй этап полезной нагрузки с сервера C2, эксплуатируя механизм разрешения зависимостей npm для автоматического включения в новые установки, и применял техники уклонения для устранения следов криминалистический анализ. ВПО целенаправленно атаковало конфиденциальные переменные среды, подчеркивая уязвимости в безопасности Цепочка поставок внутри экосистемы npm.
-----
17 июня 2026 года организация @mastra в npm подверглась значительной атаке на цепочку поставок, связанной с внедрением вредоносного пакета easy-day-js в более чем 140 его зависимостей. Этот пакет является тайпсквотом широко используемой библиотеки для работы с датами dayjs, а его последняя версия содержала зашифрованный дроппер, запускаемый после установки. После установки этот дроппер выполнял вторую стадию полезной нагрузки, загружаемой с сервера управления, за которой следовало самоуничтожение для стирания любых следов своего присутствия. Затронутые пакеты имеют совокупную еженедельную загрузку более 1,1 миллиона, что представляет существенный риск для пользователей, установивших любые пакеты @mastra в то время.
Основная работа по подготовке атаки была проведена 16 июня, когда злоумышленник опубликовал пакет easy-day-js@1.11.21 — чистую версию легитимной библиотеки, чтобы придать себе достоверности. Эта версия, которая дублировала метаданные dayjs, затем была указана как зависимость в пакетах @mastra. Впоследствии была загружена вредоносная версия 1.11.22, использующая метод разрешения зависимостей npm для обеспечения того, чтобы любые новые установки автоматически включали скомпрометированную версию.
После того как злоумышленник реализовал свой план в 01:01 UTC, он использовал скомпрометированные учетные данные для повторной публикации затронутых пакетов @mastra, тем самым выполнив массовую инъекцию зависимости с бэкдором во всей экосистеме. Сам дроппер применял сложные техники уклонения, включая обход проверки TLS-сертификатов, что позволяло устанавливать связь с самоподписанными сертификатами. Он передавал карту затронутых установок в контролируемую злоумышленником директорию, отсоединялся от процесса и выполнялся без вывода информации, видимой пользователю. Кроме того, дроппер немедленно удалял свой основной скрипт после выполнения, устраняя первичные доказательства для криминалистический анализ.
Второй этап полезной нагрузки был настроен на загрузку исполняемых файлов с указанного C2-сервера во время выполнения, с целью захвата чувствительных переменных окружения, таких как API-ключи и другие учетные данные, распространенные в развертываниях Mastra. Первоначальные тесты этого ВПО показали, что инструменты анализа во время выполнения, такие как Harden Runner, используемый в GitHub Actions, успешно блокировали ожидаемую полезную нагрузку, запрещая исходящие вызовы к вредоносным IP-адресам C2, тем самым предотвращая любую утечку учетных данных.
Выбор библиотеки dayjs для тайпсквоттинга и обширная обфускация, применённая в коде дроппера, демонстрируют изощрённость атаки, что делает её особенно сложной для обнаружения и снижения рисков разработчиками при анализе зависимостей. Инцидент подчёркивает фундаментальные уязвимости в безопасности Цепочки поставок, расширяя дискуссию о превентивных мерах в экосистеме npm, таких как внедрение инструментов видимости в реальном времени и проактивных проверок для выявления скомпрометированных пакетов.
#ParsedReport #CompletenessLow
18-06-2026
Cybercrime Breaches Klue: Salesforce Data Impacted for Many Victims, including Huntress
https://www.huntress.com/blog/klue-breach-investigation
Report completeness: Low
Actors/Campaigns:
Klue_compromise
Threats:
Icarus
Supply_chain_technique
Dead_drop_technique
Victims:
Klue, Cybersecurity, Market intelligence, Customer relationship management
Industry:
Telco, Retail
Geo:
Netherlands, Ukraine, France, Australian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1195.002, T1199, T1213, T1528, T1567.002, T1584.004
IOCs:
IP: 4
Soft:
Salesforce, HubSpot, Zoom, Slack
Languages:
swift, python
18-06-2026
Cybercrime Breaches Klue: Salesforce Data Impacted for Many Victims, including Huntress
https://www.huntress.com/blog/klue-breach-investigation
Report completeness: Low
Actors/Campaigns:
Klue_compromise
Threats:
Icarus
Supply_chain_technique
Dead_drop_technique
Victims:
Klue, Cybersecurity, Market intelligence, Customer relationship management
Industry:
Telco, Retail
Geo:
Netherlands, Ukraine, France, Australian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1195.002, T1199, T1213, T1528, T1567.002, T1584.004
IOCs:
IP: 4
Soft:
Salesforce, HubSpot, Zoom, Slack
Languages:
swift, python
Huntress
Cybercrime Breaches Klue: Salesforce Data Impacted for Many Victims, including Huntress | Huntress
Huntress was one of many vendors impacted by a recent incident at Klue. We dug into the incident to figure out what happened.
CTT Report Hub
#ParsedReport #CompletenessLow 18-06-2026 Cybercrime Breaches Klue: Salesforce Data Impacted for Many Victims, including Huntress https://www.huntress.com/blog/klue-breach-investigation Report completeness: Low Actors/Campaigns: Klue_compromise Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Klue стал жертвой атаки на цепочку поставок, приписываемой злоумышленнику Icarus, что привело к несанкционированной эксфильтрации данных из экземпляров Salesforce, принадлежащих его клиентам. Атакующие использовали уязвимость в интеграциях с программным обеспечением сторонних производителей, развернув вредоносный код для захвата OAuth-токенов для доступа к данным. Атака была сложной, с использованием IP-адресов, связанных с предыдущими спам-кампаниями, и эксплуатацией инфраструктуры Global Retail Brands, с фокусом на конкретных конечных точках Salesforce.
-----
Klue, платформа рыночной аналитики, недавно стала жертвой атаки на цепочку поставок, приписываемой злоумышленнику, идентифицированному как Icarus. 11 июня в системах Klue было обнаружено аномальное поведение, что привело к несанкционированной эксфильтрации данных из нескольких экземпляров Salesforce, принадлежащих клиентам Klue, среди которых такие компании в области кибербезопасности, как Huntress. Злоумышленники использовали уязвимость в интеграциях между Klue и сторонним программным обеспечением, развернув вредоносное обновление кода, которое захватило OAuth-токены, используемые клиентами для подключения своих систем к Klue.
Извлеченные данные в основном включали бизнес-контакты, информацию о ценах и коммуникации, связанные с продажами. Важно отметить, что такие конфиденциальные данные, как пароли, платежная информация и инженерные детали, не пострадали. Инцидент не привел к компрометации продуктов или инфраструктуры Huntress, но затронул данные управления взаимоотношениями с клиентами (CRM).
В результате пострадавшим организациям было рекомендовано провести тщательные расследования, которые включали проверку журналов на наличие индикаторов компрометации (IOCs), отмену сеансов для уязвимых служб и анализ почтовых ящиков на предмет сообщений, которые могли исходить от злоумышленника. Журналы Salesforce и других интегрированных приложений предоставили важные сведения о характере вредоносной активности, указав, что почти все вредоносные запросы были направлены на конкретные конечные точки Salesforce. Большинство из них использовали уникальную строку User-Agent, которая вызвала подозрения в ходе расследования.
Инфраструктура угроз, используемая Icarus, включала IP-адреса, связанные с интернет-провайдерами в Нидерландах, Франции и Украине, с заметной связью с предыдущими спам-кампаниями. Huntress также обнаружила, что злоумышленники эксплуатировали почтовую инфраструктуру Global Retail Brands, австралийского ритейлера, владеющего затронутыми компаниями. Углубленный криминалистический анализ заголовков электронной почты подтвердил, что электронные сообщения от противника отправлялись с легитимных серверов, что дополнительно подтверждает сложность атаки.
Группа вымогателей Icarus появилась около 28 апреля 2026 года и связана с другими инцидентами взлома, которые могут включать данные Salesforce. В коммуникациях группы содержались идентификаторы Session Messenger, указывающие на их более ранние угрозы, что устанавливает прямую связь с текущим инцидентом Klue. Сообщения на сайте Icarus выражали уверенность в своих возможностях и намекали на дальнейшие раскрытия, связанные с более крупными корпоративными жертвами.
По мере того как последствия этого инцидента становятся очевидными, они подчеркивают уязвимости, присущие цепочке поставок программного обеспечения, и потенциальные каскадные эффекты для множества организаций, использующих взаимосвязанные системы. Компрометация Klue служит суровым напоминанием для компаний усилить свои позиции в области безопасности и подготовиться к растущей сложности киберугроз, нацеленных на экосистемы цепочки поставок.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Klue стал жертвой атаки на цепочку поставок, приписываемой злоумышленнику Icarus, что привело к несанкционированной эксфильтрации данных из экземпляров Salesforce, принадлежащих его клиентам. Атакующие использовали уязвимость в интеграциях с программным обеспечением сторонних производителей, развернув вредоносный код для захвата OAuth-токенов для доступа к данным. Атака была сложной, с использованием IP-адресов, связанных с предыдущими спам-кампаниями, и эксплуатацией инфраструктуры Global Retail Brands, с фокусом на конкретных конечных точках Salesforce.
-----
Klue, платформа рыночной аналитики, недавно стала жертвой атаки на цепочку поставок, приписываемой злоумышленнику, идентифицированному как Icarus. 11 июня в системах Klue было обнаружено аномальное поведение, что привело к несанкционированной эксфильтрации данных из нескольких экземпляров Salesforce, принадлежащих клиентам Klue, среди которых такие компании в области кибербезопасности, как Huntress. Злоумышленники использовали уязвимость в интеграциях между Klue и сторонним программным обеспечением, развернув вредоносное обновление кода, которое захватило OAuth-токены, используемые клиентами для подключения своих систем к Klue.
Извлеченные данные в основном включали бизнес-контакты, информацию о ценах и коммуникации, связанные с продажами. Важно отметить, что такие конфиденциальные данные, как пароли, платежная информация и инженерные детали, не пострадали. Инцидент не привел к компрометации продуктов или инфраструктуры Huntress, но затронул данные управления взаимоотношениями с клиентами (CRM).
В результате пострадавшим организациям было рекомендовано провести тщательные расследования, которые включали проверку журналов на наличие индикаторов компрометации (IOCs), отмену сеансов для уязвимых служб и анализ почтовых ящиков на предмет сообщений, которые могли исходить от злоумышленника. Журналы Salesforce и других интегрированных приложений предоставили важные сведения о характере вредоносной активности, указав, что почти все вредоносные запросы были направлены на конкретные конечные точки Salesforce. Большинство из них использовали уникальную строку User-Agent, которая вызвала подозрения в ходе расследования.
Инфраструктура угроз, используемая Icarus, включала IP-адреса, связанные с интернет-провайдерами в Нидерландах, Франции и Украине, с заметной связью с предыдущими спам-кампаниями. Huntress также обнаружила, что злоумышленники эксплуатировали почтовую инфраструктуру Global Retail Brands, австралийского ритейлера, владеющего затронутыми компаниями. Углубленный криминалистический анализ заголовков электронной почты подтвердил, что электронные сообщения от противника отправлялись с легитимных серверов, что дополнительно подтверждает сложность атаки.
Группа вымогателей Icarus появилась около 28 апреля 2026 года и связана с другими инцидентами взлома, которые могут включать данные Salesforce. В коммуникациях группы содержались идентификаторы Session Messenger, указывающие на их более ранние угрозы, что устанавливает прямую связь с текущим инцидентом Klue. Сообщения на сайте Icarus выражали уверенность в своих возможностях и намекали на дальнейшие раскрытия, связанные с более крупными корпоративными жертвами.
По мере того как последствия этого инцидента становятся очевидными, они подчеркивают уязвимости, присущие цепочке поставок программного обеспечения, и потенциальные каскадные эффекты для множества организаций, использующих взаимосвязанные системы. Компрометация Klue служит суровым напоминанием для компаний усилить свои позиции в области безопасности и подготовиться к растущей сложности киберугроз, нацеленных на экосистемы цепочки поставок.
#ParsedReport #CompletenessMedium
18-06-2026
Hot Take: Operation Endgame VS SocGholish
https://www.infoblox.com/blog/threat-intelligence/hot-take-operation-endgame-vs-socgholish/
Report completeness: Medium
Actors/Campaigns:
Evil_corp (motivation: cyber_criminal)
Ta569
Silverfish
Ta2726 (motivation: financially_motivated)
Threats:
Socgholish_loader
Icedid
Smokeloader
Pikabot
Bumblebee
Qakbot
Danabot
Trickbot
Rhadamanthys
Venomrat
Elysium_stealer
Doppelpaymer
Wastedlocker
Hades
Lockbit
Ransomhub
Parrot_tds_tool
Junkytds_tool
Victims:
Enterprises, Institutions, Government, Education, Banking, Healthcare, Non it services, Hospitality, Critical infrastructure
Industry:
Critical_infrastructure, Entertainment, Healthcare, Education, Financial, Petroleum, Government
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1059.007, T1105, T1132.001, T1189, T1204.002, T1497.001, T1584.001, T1659
IOCs:
Domain: 12
Soft:
WordPress, Keitaro, Firefox, Outlook
Algorithms:
base64
Languages:
jscript, javascript
Platforms:
intel
18-06-2026
Hot Take: Operation Endgame VS SocGholish
https://www.infoblox.com/blog/threat-intelligence/hot-take-operation-endgame-vs-socgholish/
Report completeness: Medium
Actors/Campaigns:
Evil_corp (motivation: cyber_criminal)
Ta569
Silverfish
Ta2726 (motivation: financially_motivated)
Threats:
Socgholish_loader
Icedid
Smokeloader
Pikabot
Bumblebee
Qakbot
Danabot
Trickbot
Rhadamanthys
Venomrat
Elysium_stealer
Doppelpaymer
Wastedlocker
Hades
Lockbit
Ransomhub
Parrot_tds_tool
Junkytds_tool
Victims:
Enterprises, Institutions, Government, Education, Banking, Healthcare, Non it services, Hospitality, Critical infrastructure
Industry:
Critical_infrastructure, Entertainment, Healthcare, Education, Financial, Petroleum, Government
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1059.007, T1105, T1132.001, T1189, T1204.002, T1497.001, T1584.001, T1659
IOCs:
Domain: 12
Soft:
WordPress, Keitaro, Firefox, Outlook
Algorithms:
base64
Languages:
jscript, javascript
Platforms:
intel
Infoblox Blog
Operation Endgame vs. SocGholish Fake Updates
Nearly 55% of enterprises were exposed to SocGholish through compromised websites before Operation Endgame disrupted the malware actor connected to EvilCorp.