CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 NetMedved and the Summer Campaign Against Russian Organizations https://habr.com/ru/companies/pt/articles/1050722/ Report completeness: Medium Actors/Campaigns: Netmedved Threats: Netsupportmanager_rat Spear…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка NetMedved запустила новую фишинг-кампанию против российских организаций, используя поддельные документы на бизнес-тематику и инструмент удаленного администрирования NetSupport Manager. Атака в основном использует LNK-файлы, замаскированные под запросы на закупки, для выполнения скриптов PowerShell, которые извлекают зашифрованные AES-пакеты с удаленных серверов. Кроме того, в качестве загрузчика используется ZIP-архив, содержащий вредоносный файл JScript, что повышает скрытность за счет прямого выполнения из скрипта без внешних вызовов, а также обеспечивает закрепление через модификации реестра Windows.
-----
Хакерская группировка NetMedved начала новую фишинг-кампанию, нацеленную на российские организации, используя поддельные документы на бизнес-тематику и инструмент удаленного администрирования NetSupport Manager. Эта кампания опирается на тактики, ранее применяемые группировкой, которые включали различные методы, такие как LNK-файлы, загрузчики PowerShell и скрипты, использующие команду `finger`, среди прочего.
В этой последней атаке LNK-файлы маскируются под запросы на закупку, а их имена файлов оформлены в профессиональном стиле, чтобы обмануть сотрудников, занимающихся управлением документами. После запуска эти LNK-файлы инициируют PowerShell-скрипт, который извлекает зашифрованные с помощью AES полезную нагрузку с удаленного сервера. Злоумышленники применяют сложные методы для сокрытия выполнения, используя `Get-Command` для динамического разрешения cmdlet `Invoke-Expression` и опираясь на COM-объект MSXML2.ServerXMLHTTP для получения полезной нагрузки, что позволяет обходить традиционные сигнатуры PowerShell, которые могут быть обнаружены при статическом анализе.
После выполнения файла LNK он подключается к удалённому серверу для получения встроенного зашифрованного PowerShell-скрипта, который затем расшифровывается с использованием AES-128-CBC. Расшифрованный этап действует как загрузчик, который скачивает ZIP-архив, содержащий NetSupportRAT, извлекает его и запускает из временной директории на машине жертвы. Угроза устанавливает закрепление, создавая запись автозапуска в реестре Windows, чтобы обеспечить запуск при входе пользователя.
Кроме того, был зафиксирован ещё один метод доставки, включающий ZIP-архив, содержащий вредоносный файл JScript. Файл JScript выступает в роли дроппера, выполняя команды Windows COM для декодирования и запуска встроенного документа-приманки, а одновременно с этим инициируя запуск NetSupportRAT на системе жертвы. Данный метод, по всей видимости, повышает скрытность, поскольку все компоненты содержатся внутри скрипта и не требуют внешних вызовов, которые могли бы спровоцировать срабатывание средств обнаружения.
Вариант JScript разделяет ключевые характеристики с предыдущими кампаниями 2024 года, что указывает на последовательный подход к операциям группы NetMedved. Последовательность наблюдается в тактиках социальной инженерии, механизмах доставки и развертывании того же RAT. Инфраструктура, лежащая в основе кампании, демонстрирует кластеризацию, при которой несколько доменов управления регистрируются одновременно, что свидетельствует о преднамеренной стратегии устойчивости и ротации доменов для поддержания вредоносной деятельности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка NetMedved запустила новую фишинг-кампанию против российских организаций, используя поддельные документы на бизнес-тематику и инструмент удаленного администрирования NetSupport Manager. Атака в основном использует LNK-файлы, замаскированные под запросы на закупки, для выполнения скриптов PowerShell, которые извлекают зашифрованные AES-пакеты с удаленных серверов. Кроме того, в качестве загрузчика используется ZIP-архив, содержащий вредоносный файл JScript, что повышает скрытность за счет прямого выполнения из скрипта без внешних вызовов, а также обеспечивает закрепление через модификации реестра Windows.
-----
Хакерская группировка NetMedved начала новую фишинг-кампанию, нацеленную на российские организации, используя поддельные документы на бизнес-тематику и инструмент удаленного администрирования NetSupport Manager. Эта кампания опирается на тактики, ранее применяемые группировкой, которые включали различные методы, такие как LNK-файлы, загрузчики PowerShell и скрипты, использующие команду `finger`, среди прочего.
В этой последней атаке LNK-файлы маскируются под запросы на закупку, а их имена файлов оформлены в профессиональном стиле, чтобы обмануть сотрудников, занимающихся управлением документами. После запуска эти LNK-файлы инициируют PowerShell-скрипт, который извлекает зашифрованные с помощью AES полезную нагрузку с удаленного сервера. Злоумышленники применяют сложные методы для сокрытия выполнения, используя `Get-Command` для динамического разрешения cmdlet `Invoke-Expression` и опираясь на COM-объект MSXML2.ServerXMLHTTP для получения полезной нагрузки, что позволяет обходить традиционные сигнатуры PowerShell, которые могут быть обнаружены при статическом анализе.
После выполнения файла LNK он подключается к удалённому серверу для получения встроенного зашифрованного PowerShell-скрипта, который затем расшифровывается с использованием AES-128-CBC. Расшифрованный этап действует как загрузчик, который скачивает ZIP-архив, содержащий NetSupportRAT, извлекает его и запускает из временной директории на машине жертвы. Угроза устанавливает закрепление, создавая запись автозапуска в реестре Windows, чтобы обеспечить запуск при входе пользователя.
Кроме того, был зафиксирован ещё один метод доставки, включающий ZIP-архив, содержащий вредоносный файл JScript. Файл JScript выступает в роли дроппера, выполняя команды Windows COM для декодирования и запуска встроенного документа-приманки, а одновременно с этим инициируя запуск NetSupportRAT на системе жертвы. Данный метод, по всей видимости, повышает скрытность, поскольку все компоненты содержатся внутри скрипта и не требуют внешних вызовов, которые могли бы спровоцировать срабатывание средств обнаружения.
Вариант JScript разделяет ключевые характеристики с предыдущими кампаниями 2024 года, что указывает на последовательный подход к операциям группы NetMedved. Последовательность наблюдается в тактиках социальной инженерии, механизмах доставки и развертывании того же RAT. Инфраструктура, лежащая в основе кампании, демонстрирует кластеризацию, при которой несколько доменов управления регистрируются одновременно, что свидетельствует о преднамеренной стратегии устойчивости и ротации доменов для поддержания вредоносной деятельности.
#ParsedReport #CompletenessMedium
25-06-2026
Breaking Out of Chrome’s Sandbox: A Native Messaging Backdoor Observed in Italy
https://www.d3lab.net/breaking-out-of-chromes-sandbox-a-native-messaging-backdoor-observed-in-italy/
Report completeness: Medium
Threats:
Dll_sideloading_technique
Victims:
Italy
Geo:
Italy, Italian
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1041, T1059.001, T1059.007, T1071.001, T1083, T1112, T1176, T1564.003, have more...
IOCs:
File: 9
BrowserExtension: 1
Registry: 3
Domain: 2
Hash: 4
IP: 1
Url: 1
Soft:
Chrome, Google Chrome
Algorithms:
md5, sha1, sha256
Languages:
powershell, php, javascript
25-06-2026
Breaking Out of Chrome’s Sandbox: A Native Messaging Backdoor Observed in Italy
https://www.d3lab.net/breaking-out-of-chromes-sandbox-a-native-messaging-backdoor-observed-in-italy/
Report completeness: Medium
Threats:
Dll_sideloading_technique
Victims:
Italy
Geo:
Italy, Italian
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1041, T1059.001, T1059.007, T1071.001, T1083, T1112, T1176, T1564.003, have more...
IOCs:
File: 9
BrowserExtension: 1
Registry: 3
Domain: 2
Hash: 4
IP: 1
Url: 1
Soft:
Chrome, Google Chrome
Algorithms:
md5, sha1, sha256
Languages:
powershell, php, javascript
D3Lab
Breaking Out of Chrome's Sandbox: A Native Messaging Backdoor Observed in Italy
A malicious Chrome extension observed in an Italian malspam campaign used Native Messaging to escape the browser sandbox, steal session data and execute remote PowerShell commands on Windows. This analysis explains the infection chain,
its command-and-control…
its command-and-control…
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 Breaking Out of Chrome’s Sandbox: A Native Messaging Backdoor Observed in Italy https://www.d3lab.net/breaking-out-of-chromes-sandbox-a-native-messaging-backdoor-observed-in-italy/ Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2026 года вредоносная кампания нацелилась на итальянских пользователей через фишинговые письма, замаскированные под счета-фактуры, что привело к выполнению зашифрованного файла JavaScript, создавшего доверенный исполняемый файл и вредоносную DLL с помощью подгрузки DLL. Эта DLL запустила скрытый процесс PowerShell, обеспечив установку вредоносного расширения Chrome, которое использовало ключи политик Chrome для имитации авторизованного и применяло Native Messaging для выполнения команд вне песочницы браузера. Атака обеспечила удаленное выполнение команд, представляя значительные риски за счет использования легитимных технологий.
-----
В июне 2026 года была обнаружена вредоносная кампания, направленная против итальянских пользователей, которая использовала фишинговые письма, замаскированные под счета-фактуры. В письмах использовалась тема «Fattura #2819889242» и содержался документ, который выглядел как PDF-файл. Однако файл, который жертвы скачивали, представлял собой обфусцированный файл Windows JavaScript с именем Fattura-2819889242.pfd.js, а необычное расширение файла, вероятно, было создано для имитации расширения PDF.
После запуска через Windows Script Host файл JavaScript декодировал и создал два значимых файла во временной директории пользователя: легитимный исполняемый файл client_124578.exe от Epic Games и вредоносную библиотеку d3d11.dll. Это представляет собой технику подгрузки DLL (DLL side-loading), при которой доверенный исполняемый файл загружает вредоносную библиотеку из-за особенностей разрешения зависимостей в Windows. Библиотека d3d11.dll впоследствии запустила скрытый процесс PowerShell, который подготовил вредоносное расширение для Google Chrome и изменил настройки политик Chrome для облегчения установки расширения.
Вредоносное ПО использовало ключи политик Chrome, в частности ExtensionInstallAllowlist и ExtensionInstallSources, делая установку похожей на ту, что была авторизована администраторами. Хотя расширение работало в рамках разрешений браузера Chrome и не могло выполнять команды, такие как powershell.exe напрямую, использование Native Messaging предоставило способ обойти эти ограничения. Эта легитимная функция позволяет приложениям взаимодействовать с расширениями браузера, создавая мост, через который расширение могло инструктировать локальный хост выполнять команды PowerShell вне песочницы браузера.
Появились доказательства того, что расширение и хост Native Messaging образовывали бэкдор для удаленного управления: команды приводили к выводу содержимого каталогов, а результаты отправлялись через POST-запросы злоумышленникам. Комбинация компонентов использовала легитимные технологии, включая подписанные приложения, корпоративные расширения Chrome и Native Messaging, что представляет значительные риски при несанкционированном использовании.
Стратегии обнаружения для данного типа атак включают мониторинг необычных записей в ключах корпоративных политик Chrome и корреляцию изменений с процессами, такими как установка расширений Chrome и скрытые выполнения PowerShell. Расследования должны сосредоточиться на записях, ведущих к подключениям к localhost, а реагирование на инциденты должно не только удалять вредоносное расширение, но и устранять его регистрацию в Native Messaging, анализировать активность PowerShell и защищать затронутые сеансы браузера и учетные данные. Этот многогранный подход эффективно устраняет как уязвимости браузера, так и уязвимости базовой системы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2026 года вредоносная кампания нацелилась на итальянских пользователей через фишинговые письма, замаскированные под счета-фактуры, что привело к выполнению зашифрованного файла JavaScript, создавшего доверенный исполняемый файл и вредоносную DLL с помощью подгрузки DLL. Эта DLL запустила скрытый процесс PowerShell, обеспечив установку вредоносного расширения Chrome, которое использовало ключи политик Chrome для имитации авторизованного и применяло Native Messaging для выполнения команд вне песочницы браузера. Атака обеспечила удаленное выполнение команд, представляя значительные риски за счет использования легитимных технологий.
-----
В июне 2026 года была обнаружена вредоносная кампания, направленная против итальянских пользователей, которая использовала фишинговые письма, замаскированные под счета-фактуры. В письмах использовалась тема «Fattura #2819889242» и содержался документ, который выглядел как PDF-файл. Однако файл, который жертвы скачивали, представлял собой обфусцированный файл Windows JavaScript с именем Fattura-2819889242.pfd.js, а необычное расширение файла, вероятно, было создано для имитации расширения PDF.
После запуска через Windows Script Host файл JavaScript декодировал и создал два значимых файла во временной директории пользователя: легитимный исполняемый файл client_124578.exe от Epic Games и вредоносную библиотеку d3d11.dll. Это представляет собой технику подгрузки DLL (DLL side-loading), при которой доверенный исполняемый файл загружает вредоносную библиотеку из-за особенностей разрешения зависимостей в Windows. Библиотека d3d11.dll впоследствии запустила скрытый процесс PowerShell, который подготовил вредоносное расширение для Google Chrome и изменил настройки политик Chrome для облегчения установки расширения.
Вредоносное ПО использовало ключи политик Chrome, в частности ExtensionInstallAllowlist и ExtensionInstallSources, делая установку похожей на ту, что была авторизована администраторами. Хотя расширение работало в рамках разрешений браузера Chrome и не могло выполнять команды, такие как powershell.exe напрямую, использование Native Messaging предоставило способ обойти эти ограничения. Эта легитимная функция позволяет приложениям взаимодействовать с расширениями браузера, создавая мост, через который расширение могло инструктировать локальный хост выполнять команды PowerShell вне песочницы браузера.
Появились доказательства того, что расширение и хост Native Messaging образовывали бэкдор для удаленного управления: команды приводили к выводу содержимого каталогов, а результаты отправлялись через POST-запросы злоумышленникам. Комбинация компонентов использовала легитимные технологии, включая подписанные приложения, корпоративные расширения Chrome и Native Messaging, что представляет значительные риски при несанкционированном использовании.
Стратегии обнаружения для данного типа атак включают мониторинг необычных записей в ключах корпоративных политик Chrome и корреляцию изменений с процессами, такими как установка расширений Chrome и скрытые выполнения PowerShell. Расследования должны сосредоточиться на записях, ведущих к подключениям к localhost, а реагирование на инциденты должно не только удалять вредоносное расширение, но и устранять его регистрацию в Native Messaging, анализировать активность PowerShell и защищать затронутые сеансы браузера и учетные данные. Этот многогранный подход эффективно устраняет как уязвимости браузера, так и уязвимости базовой системы.
#ParsedReport #CompletenessMedium
25-06-2026
ShinyHunters’ 0-day attacks: After patching, find out if you were breached
https://www.intel471.com/blog/shinyhunters-0-day-attacks-after-patching-find-out-if-you-were-breached
Report completeness: Medium
Actors/Campaigns:
Shinyhunters
Fancy_bear
Sandworm
Threats:
Lolbin_technique
Meshcentral_tool
Devman
Meshagent_tool
Victims:
Education, Government, Commercial, European council
Industry:
Government, Education
CVEs:
CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_enterprise_peopletools (8.61, 8.62)
ChatGPT TTPs:
T1021.004, T1036, T1074, T1190, T1219, T1486
IOCs:
IP: 6
File: 3
Hash: 4
Domain: 1
Soft:
Microsoft Defender
Algorithms:
sha256
Platforms:
intel
25-06-2026
ShinyHunters’ 0-day attacks: After patching, find out if you were breached
https://www.intel471.com/blog/shinyhunters-0-day-attacks-after-patching-find-out-if-you-were-breached
Report completeness: Medium
Actors/Campaigns:
Shinyhunters
Fancy_bear
Sandworm
Threats:
Lolbin_technique
Meshcentral_tool
Devman
Meshagent_tool
Victims:
Education, Government, Commercial, European council
Industry:
Government, Education
CVEs:
CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_enterprise_peopletools (8.61, 8.62)
ChatGPT TTPs:
do not use without manual checkT1021.004, T1036, T1074, T1190, T1219, T1486
IOCs:
IP: 6
File: 3
Hash: 4
Domain: 1
Soft:
Microsoft Defender
Algorithms:
sha256
Platforms:
intel
Vulners Database
CVE-2026-35273 - vulnerability database | Vulners.com
CVE-2026-35273 is a remote, unauthenticated RCE in Oracle PeopleSoft Enterprise PeopleTools Updates Environment Management (PSEMHUB) affecting PeopleTools 8.61 and 8.62. Vendor advisories describe the flaw as a high-severity, network-exposed vulne...
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 ShinyHunters’ 0-day attacks: After patching, find out if you were breached https://www.intel471.com/blog/shinyhunters-0-day-attacks-after-patching-find-out-if-you-were-breached Report completeness: Medium A…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ShinyHunters эксплуатировали уязвимость несанкционированного удаленного выполнения кода (RCE) CVE-2026-35273 в системах PeopleSoft, затронувшую более 110 образовательных учреждений США и нацеленную на дополнительные сектора даже после выпуска патча Oracle. Группа использовала техники living-off-the-land, применяя MeshCentral, замаскированный под Microsoft Azure, для операций C2, и маскировала вредоносную активность под легитимный трафик, уклоняясь от обнаружения на этапе начальной эксплуатации. Расследования выявили истории команд, связанные с установками и SSH-перемещениями, подчеркивая важность ретроспективного обнаружения для выявления предыдущих нарушений, связанных с этим злоумышленником.
-----
ShinyHunters эксплуатирует критическую уязвимость удаленного выполнения кода (Удаленное Выполнение Кода) без аутентификации в PeopleSoft Enterprise PeopleTools, отслеживаемую как CVE-2026-35273, с конца мая 2026 года, продолжая свои атаки даже после того, как Oracle устранил уязвимость 10 июня 2026 года. По сообщениям, группа осуществила компрометацию 110 образовательных организаций США и нацелилась на дополнительные жертвы в государственном и коммерческом секторах, включая Европейский совет. Это подчеркивает необходимость для организаций быстро блокировать индикаторы компрометации (IOCs) и проверять исторические журналы на предмет предыдущих взаимодействий с этими IOCs.
Группа применяла тактику living-off-the-land для уклонения от обнаружения, используя такие инструменты, как MeshCentral, инструмент удаленного администрирования, замаскированный под службы Microsoft Azure для операций command-and-control. Их деятельность, вероятно, оставалась незамеченной на начальной фазе эксплуатации, поскольку они маскировали вредоносный трафик под легитимные облачные операции. Расследования, связанные с раскрытыми каталогами, привязанными к ShinyHunters, выявили имена файлов, такие как .bash_history, что указывает на использование предварительно сконфигурированных бинарных файлов агента Windows и истории команд, включавших установку сервера MeshCentral, попытки перемещение внутри компании по SSH и подготовку к возможной эксфильтрация данных.
Для помощи в выявлении любых исторических инцидентов, связанных с ShinyHunters, инструменты ретроспективного обнаружения угроз (Retroactive Threat Detection, RTD) могут автоматизировать создание запросов на основе индикаторов компрометации (IoC) для более чем 20 платформ, фокусируясь на индикаторах критической инфраструктуры. Пример включает проверку сетевых подключений к определенным IP-адресам, связанным с кампанией ShinyHunters, включая IP-адреса в диапазоне 142.11.200.186-190 и домен azurenetfiles.net. Мониторинг этих индикаторов может помочь определить, происходили ли какие-либо взаимодействия с известной инфраструктурой C2.
В ситуациях, когда запросы не выявляют никаких результатов, организации могут сделать вывод, что они, возможно, не пострадали. Однако активные меры обнаружения и реагирования, включая поведенческие охоты, остаются жизненно важными. Такие пакеты, разработанные охотниками за угрозами, позволяют аналитикам распознавать поведение ShinyHunters, несмотря на вариации индикаторов в разных атаках. Например, такие паттерны, как нестандартная SMB-коммуникация, были связаны с несколькими группами злоумышленников, что подчеркивает необходимость комплексного поведенческого подхода к пониманию и смягчению таких угроз.
Устранение уязвимостей решает непосредственные риски, но не проясняет факт предыдущих нарушений. Акцент на ретроспективном обнаружении позволяет организациям установить, подвергались ли они компрометации до устранения уязвимостей, и понять масштаб любого нарушения. Команды CTI и SOC, испытывающие нехватку ресурсов, получают выгоду от инструментов, которые упрощают анализ угроз, обеспечивая более быстрое реагирование на кампании, такие как ShinyHunters.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ShinyHunters эксплуатировали уязвимость несанкционированного удаленного выполнения кода (RCE) CVE-2026-35273 в системах PeopleSoft, затронувшую более 110 образовательных учреждений США и нацеленную на дополнительные сектора даже после выпуска патча Oracle. Группа использовала техники living-off-the-land, применяя MeshCentral, замаскированный под Microsoft Azure, для операций C2, и маскировала вредоносную активность под легитимный трафик, уклоняясь от обнаружения на этапе начальной эксплуатации. Расследования выявили истории команд, связанные с установками и SSH-перемещениями, подчеркивая важность ретроспективного обнаружения для выявления предыдущих нарушений, связанных с этим злоумышленником.
-----
ShinyHunters эксплуатирует критическую уязвимость удаленного выполнения кода (Удаленное Выполнение Кода) без аутентификации в PeopleSoft Enterprise PeopleTools, отслеживаемую как CVE-2026-35273, с конца мая 2026 года, продолжая свои атаки даже после того, как Oracle устранил уязвимость 10 июня 2026 года. По сообщениям, группа осуществила компрометацию 110 образовательных организаций США и нацелилась на дополнительные жертвы в государственном и коммерческом секторах, включая Европейский совет. Это подчеркивает необходимость для организаций быстро блокировать индикаторы компрометации (IOCs) и проверять исторические журналы на предмет предыдущих взаимодействий с этими IOCs.
Группа применяла тактику living-off-the-land для уклонения от обнаружения, используя такие инструменты, как MeshCentral, инструмент удаленного администрирования, замаскированный под службы Microsoft Azure для операций command-and-control. Их деятельность, вероятно, оставалась незамеченной на начальной фазе эксплуатации, поскольку они маскировали вредоносный трафик под легитимные облачные операции. Расследования, связанные с раскрытыми каталогами, привязанными к ShinyHunters, выявили имена файлов, такие как .bash_history, что указывает на использование предварительно сконфигурированных бинарных файлов агента Windows и истории команд, включавших установку сервера MeshCentral, попытки перемещение внутри компании по SSH и подготовку к возможной эксфильтрация данных.
Для помощи в выявлении любых исторических инцидентов, связанных с ShinyHunters, инструменты ретроспективного обнаружения угроз (Retroactive Threat Detection, RTD) могут автоматизировать создание запросов на основе индикаторов компрометации (IoC) для более чем 20 платформ, фокусируясь на индикаторах критической инфраструктуры. Пример включает проверку сетевых подключений к определенным IP-адресам, связанным с кампанией ShinyHunters, включая IP-адреса в диапазоне 142.11.200.186-190 и домен azurenetfiles.net. Мониторинг этих индикаторов может помочь определить, происходили ли какие-либо взаимодействия с известной инфраструктурой C2.
В ситуациях, когда запросы не выявляют никаких результатов, организации могут сделать вывод, что они, возможно, не пострадали. Однако активные меры обнаружения и реагирования, включая поведенческие охоты, остаются жизненно важными. Такие пакеты, разработанные охотниками за угрозами, позволяют аналитикам распознавать поведение ShinyHunters, несмотря на вариации индикаторов в разных атаках. Например, такие паттерны, как нестандартная SMB-коммуникация, были связаны с несколькими группами злоумышленников, что подчеркивает необходимость комплексного поведенческого подхода к пониманию и смягчению таких угроз.
Устранение уязвимостей решает непосредственные риски, но не проясняет факт предыдущих нарушений. Акцент на ретроспективном обнаружении позволяет организациям установить, подвергались ли они компрометации до устранения уязвимостей, и понять масштаб любого нарушения. Команды CTI и SOC, испытывающие нехватку ресурсов, получают выгоду от инструментов, которые упрощают анализ угроз, обеспечивая более быстрое реагирование на кампании, такие как ShinyHunters.
#ParsedReport #CompletenessHigh
25-06-2026
ESET takes part in Operation Endgame to disrupt Amadey and Stealc
https://www.welivesecurity.com/en/eset-research/eset-takes-part-operation-endgame-disrupt-amadey-stealc/
Report completeness: High
Actors/Campaigns:
Plymouth
Threats:
Amadey
Stealc
Lumma_stealer
Danabot
Hvnc_tool
Supply_chain_technique
Process_injection_technique
Industry:
Entertainment, Energy
Geo:
United states, Italy, Poland, Turkey, America, Mexico, Spain, India, Egypt
TTPs:
Tactics: 10
Technics: 43
IOCs:
File: 2
Hash: 9
IP: 10
Domain: 1
Soft:
Telegram, Outlook, WinSCP
Crypto:
bitcoin
Algorithms:
rc4, base64, zip
Win API:
decompress
Links:
25-06-2026
ESET takes part in Operation Endgame to disrupt Amadey and Stealc
https://www.welivesecurity.com/en/eset-research/eset-takes-part-operation-endgame-disrupt-amadey-stealc/
Report completeness: High
Actors/Campaigns:
Plymouth
Threats:
Amadey
Stealc
Lumma_stealer
Danabot
Hvnc_tool
Supply_chain_technique
Process_injection_technique
Industry:
Entertainment, Energy
Geo:
United states, Italy, Poland, Turkey, America, Mexico, Spain, India, Egypt
TTPs:
Tactics: 10
Technics: 43
IOCs:
File: 2
Hash: 9
IP: 10
Domain: 1
Soft:
Telegram, Outlook, WinSCP
Crypto:
bitcoin
Algorithms:
rc4, base64, zip
Win API:
decompress
Links:
https://github.com/eset/malware-ioc/tree/master/amadey\_stealcWelivesecurity
ESET takes part in Operation Endgame to disrupt Amadey and Stealc
ESET researchers assisted in the global disruption of the Amadey botnet and Stealc infostealer, providing technical analysis, infrastructure tracking, and affiliate-level insights.
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 ESET takes part in Operation Endgame to disrupt Amadey and Stealc https://www.welivesecurity.com/en/eset-research/eset-takes-part-operation-endgame-disrupt-amadey-stealc/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи ESET внесли вклад в операцию Operation Endgame, эффективно нарушив работу ботнета Amadey и стиллера Stealc, оба из которых функционируют по модели ВПО как услуга. Amadey действует как модульный загрузчик ВПО для доставки дополнительного вредоносного ПО и поддерживает эксфильтрацию данных, тогда как Stealc нацелен на чувствительную информацию, используя модель подписки для своих аффилиатов. Обе семьи вредоносного ПО используют различные протоколы связи; Amadey полагается на HTTP и трехэтапный жизненный цикл, тогда как Stealc применяет JSON в зашифрованных RC4-передачах, что усложняет усилия по нарушению работы из-за их взаимосвязанной инфраструктуры.
-----
Исследователи ESET сыграли ключевую роль в операции Endgame — глобальной инициативе, направленной на ликвидацию ботнета Amadey и стиллера Stealc, оба из которых используют модель ВПО как услуга (MaaS). Благодаря всестороннему техническому анализу и отслеживанию ESET смогло предоставить жизненно важную информацию, включая данные серверов управления (C&C), ключи шифрования и другие индикаторы угроз. В результате операции было прервано функционирование примерно 50 доменов и почти 200 активных серверов C&C, связанных с этими семействами ВПО, что значительно повлияло на их операционные возможности.
Amadey — это модульный загрузчик ВПО, предназначенный в первую очередь для распространения дополнительного ВПО, и обладающий возможностями эксфильтрации данных и удалённого доступа. Он работает по модели оплаты за пересборку, требуя от аффилированных лиц оплаты лицензий и дополнительных сборов при создании новых сборок, что подчёркивает индивидуальный контроль, которым каждый аффилированный участник обладает над своими методами заражения, которые обычно включают поддельные обновления программного обеспечения и загрузчики ВПО.
С другой стороны, Stealc — это более традиционный стиллер, нацеленный на чувствительные учетные данные и файлы на основе предопределенных шаблонов. Он предлагает своим аффилированным лицам модель подписки, позволяющую создавать неограниченное количество сборок, что снижает операционные затраты и упрощает процесс управления заражениями.
Протоколы связи обеих семей вредоносного ПО также выявляют различные операционные методологии. Amadey использует HTTP для взаимодействия с C&C, опираясь на трехэтапный жизненный цикл, включающий начальные маяки, регистрацию и получение задач, с использованием структурированных командных строк для инструкций. Stealc применяет модель связи на основе JSON, инкапсулированную в RC4-зашифрованные передачи, реагируя на конкретные команды, определяемые его конфигурацией.
Ключевым достижением ESET стала разработка метода кластеризации, позволяющего группировать образцы ВПО для улучшения отслеживания и выявления уязвимых мест для пресечения деятельности. Этот подход выявил различные взаимосвязанные кластеры в деятельности Amadey и Stealc, при этом некоторые кластеры демонстрировали высокий уровень координации между своими инфраструктурами. Важно отметить, что ESET отследила значительное количество кластеров в обеих экосистемах, что усложняет усилия по пресечению, поскольку отсутствует единая точка отказа.
Долгосрочное отслеживание и техническая экспертиза, предоставленные ESET, а также сотрудничество с правоохранительными органами и партнерами, внесли значительный вклад в пресечение операций, обеспечивающих функционирование Amadey и Stealc. Текущее наблюдение в рамках операции Operation Endgame направлено на мониторинг попыток потенциального возрождения этих семейств ВПО и предоставление своевременной разведывательной информации для противодействия будущим угрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи ESET внесли вклад в операцию Operation Endgame, эффективно нарушив работу ботнета Amadey и стиллера Stealc, оба из которых функционируют по модели ВПО как услуга. Amadey действует как модульный загрузчик ВПО для доставки дополнительного вредоносного ПО и поддерживает эксфильтрацию данных, тогда как Stealc нацелен на чувствительную информацию, используя модель подписки для своих аффилиатов. Обе семьи вредоносного ПО используют различные протоколы связи; Amadey полагается на HTTP и трехэтапный жизненный цикл, тогда как Stealc применяет JSON в зашифрованных RC4-передачах, что усложняет усилия по нарушению работы из-за их взаимосвязанной инфраструктуры.
-----
Исследователи ESET сыграли ключевую роль в операции Endgame — глобальной инициативе, направленной на ликвидацию ботнета Amadey и стиллера Stealc, оба из которых используют модель ВПО как услуга (MaaS). Благодаря всестороннему техническому анализу и отслеживанию ESET смогло предоставить жизненно важную информацию, включая данные серверов управления (C&C), ключи шифрования и другие индикаторы угроз. В результате операции было прервано функционирование примерно 50 доменов и почти 200 активных серверов C&C, связанных с этими семействами ВПО, что значительно повлияло на их операционные возможности.
Amadey — это модульный загрузчик ВПО, предназначенный в первую очередь для распространения дополнительного ВПО, и обладающий возможностями эксфильтрации данных и удалённого доступа. Он работает по модели оплаты за пересборку, требуя от аффилированных лиц оплаты лицензий и дополнительных сборов при создании новых сборок, что подчёркивает индивидуальный контроль, которым каждый аффилированный участник обладает над своими методами заражения, которые обычно включают поддельные обновления программного обеспечения и загрузчики ВПО.
С другой стороны, Stealc — это более традиционный стиллер, нацеленный на чувствительные учетные данные и файлы на основе предопределенных шаблонов. Он предлагает своим аффилированным лицам модель подписки, позволяющую создавать неограниченное количество сборок, что снижает операционные затраты и упрощает процесс управления заражениями.
Протоколы связи обеих семей вредоносного ПО также выявляют различные операционные методологии. Amadey использует HTTP для взаимодействия с C&C, опираясь на трехэтапный жизненный цикл, включающий начальные маяки, регистрацию и получение задач, с использованием структурированных командных строк для инструкций. Stealc применяет модель связи на основе JSON, инкапсулированную в RC4-зашифрованные передачи, реагируя на конкретные команды, определяемые его конфигурацией.
Ключевым достижением ESET стала разработка метода кластеризации, позволяющего группировать образцы ВПО для улучшения отслеживания и выявления уязвимых мест для пресечения деятельности. Этот подход выявил различные взаимосвязанные кластеры в деятельности Amadey и Stealc, при этом некоторые кластеры демонстрировали высокий уровень координации между своими инфраструктурами. Важно отметить, что ESET отследила значительное количество кластеров в обеих экосистемах, что усложняет усилия по пресечению, поскольку отсутствует единая точка отказа.
Долгосрочное отслеживание и техническая экспертиза, предоставленные ESET, а также сотрудничество с правоохранительными органами и партнерами, внесли значительный вклад в пресечение операций, обеспечивающих функционирование Amadey и Stealc. Текущее наблюдение в рамках операции Operation Endgame направлено на мониторинг попыток потенциального возрождения этих семейств ВПО и предоставление своевременной разведывательной информации для противодействия будущим угрозам.
#ParsedReport #CompletenessMedium
25-06-2026
KimJongRAT Continues to Evolve by Leveraging LOTS
https://sect.iij.ad.jp/blog/2026/06/continuous-evolution-of-kimjongrat-2026/
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Scarcruft
Threats:
Kimjongrat
Meshagent_tool
Meshcentral_tool
Victims:
Users
Geo:
North korea, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1059.001, T1059.003, T1059.005, T1102.001, T1105, T1140, T1204.002, T1218.005, T1218.011, have more...
IOCs:
File: 8
Command: 7
Url: 4
IP: 2
Hash: 4
Soft:
Windows Defender, curl, Twitter
Algorithms:
aes, rc4, zip, base64
Win Services:
WinDefend
Languages:
powershell, vbscript, javascript
25-06-2026
KimJongRAT Continues to Evolve by Leveraging LOTS
https://sect.iij.ad.jp/blog/2026/06/continuous-evolution-of-kimjongrat-2026/
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Scarcruft
Threats:
Kimjongrat
Meshagent_tool
Meshcentral_tool
Victims:
Users
Geo:
North korea, Japan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1059.001, T1059.003, T1059.005, T1102.001, T1105, T1140, T1204.002, T1218.005, T1218.011, have more...
IOCs:
File: 8
Command: 7
Url: 4
IP: 2
Hash: 4
Soft:
Windows Defender, curl, Twitter
Algorithms:
aes, rc4, zip, base64
Win Services:
WinDefend
Languages:
powershell, vbscript, javascript
IIJ Security Diary
LOTSを活用して進化を続けるKimJongRAT – IIJ Security Diary
2026年5月、我々はGitHub等を悪用してKimJongRATを配布する攻撃キャンペーンを観測しました。KimJongRATはInfoStealer (情報窃取型マルウェア) とRAT ...
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 KimJongRAT Continues to Evolve by Leveraging LOTS https://sect.iij.ad.jp/blog/2026/06/continuous-evolution-of-kimjongrat-2026/ Report completeness: Medium Actors/Campaigns: Kimsuky Scarcruft Threats: Kimjongrat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В мае 2026 года северокорейская хакерская группировка Kimsuky запустила кампанию с использованием ВПО KimJongRAT, которое сочетает в себе функциональность стиллера и Троянской программы. Эта варианта использует GitHub для распространения своей полезной нагрузки через вредоносные URL-адреса, ведущие к ZIP-архивам, содержащим LNK-файлы, которые загружают HTA-файлы для дальнейшего выполнения ВПО. Примечательно, что теперь она динамически извлекает адреса серверов управления из внешних источников и может устанавливать инструмент удаленного мониторинга и управления MeshAgent для поддержания доступа даже в случае удаления основного ВПО, что иллюстрирует устойчивую эволюцию в стратегиях угроз.
-----
В мае 2026 года была выявлена новая кампания атак, в которой использовалась KimJongRAT — вредоносное ПО, связанное с северокорейской хакерской группировкой Kimsuky. Этот новейший вариант использует GitHub и другие платформы для распространения своей полезной нагрузки. KimJongRAT функционирует как гибридное ВПО, сочетающее в себе функции стиллера и Троянской программы (RAT), с момента своего первого появления в 2013 году. Атака характеризовалась многоэтапным потоком выполнения, который инициировался, когда целевой пользователь нажимал на вредоносную сокращенную ссылку в электронном письме, что приводило к загрузке ZIP-архива из GitHub Releases.
ZIP-файл содержит вредоносный LNK-файл, который при запуске использует легитимную команду Windows mshta для загрузки и выполнения HTA-файла с GitHub. HTA-файл затем запускает зашифрованный VBScript, который продолжает процесс заражения, загружая дополнительные компоненты вредоносного ПО с контролируемого аккаунта Google Drive. Если Windows Defender не работает, он загружает скрытые файлы, такие как user.txt и sys.log; в противном случае он извлекает зашифрованный ZIP-файл. Вредоносное ПО использует команды PowerShell для обработки расшифровки и выполнения последующих компонентов, включая полезную нагрузку, известную как KimJongRAT, которая имеет как DLL, так и PowerShell варианты.
Кроме того, вариант мая 2026 года вносит значительные изменения, динамически извлекая адреса серверов управления (управление) из внешних источников вместо их жёсткой привязки в коде, что повышает его устойчивость к блокировкам. Такая динамическая связь позволяет злоумышленникам адаптироваться без необходимости пересборки ВПО каждый раз при изменении адреса управления. Кроме того, обновлённая версия KimJongRAT получила возможность устанавливать инструмент удалённого мониторинга и управления (RMM) под названием MeshAgent, что направлено на обеспечение постоянного доступа к заражённым хостам даже в случае изоляции основного ВПО средствами защиты.
Несмотря на удаление с GitHub репозитория, содержащего эксплойт, 27 мая 2026 года злоумышленники оперативно создали новый репозиторий для продолжения своей деятельности, что указывает на устойчивую угрозу. В целом, эти эволюции демонстрируют стратегический сдвиг в сторону эксплуатации легитимных сервисов для размещения вредоносного программного обеспечения и выполнения атак — техника, которая всё чаще встречается в кампаниях, связанных с различными акторами, представляющими государства, особенно из Северной Кореи. Поскольку эти угрозы остаются актуальными, бдительность и проактивные стратегии защиты необходимы для потенциальных целей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В мае 2026 года северокорейская хакерская группировка Kimsuky запустила кампанию с использованием ВПО KimJongRAT, которое сочетает в себе функциональность стиллера и Троянской программы. Эта варианта использует GitHub для распространения своей полезной нагрузки через вредоносные URL-адреса, ведущие к ZIP-архивам, содержащим LNK-файлы, которые загружают HTA-файлы для дальнейшего выполнения ВПО. Примечательно, что теперь она динамически извлекает адреса серверов управления из внешних источников и может устанавливать инструмент удаленного мониторинга и управления MeshAgent для поддержания доступа даже в случае удаления основного ВПО, что иллюстрирует устойчивую эволюцию в стратегиях угроз.
-----
В мае 2026 года была выявлена новая кампания атак, в которой использовалась KimJongRAT — вредоносное ПО, связанное с северокорейской хакерской группировкой Kimsuky. Этот новейший вариант использует GitHub и другие платформы для распространения своей полезной нагрузки. KimJongRAT функционирует как гибридное ВПО, сочетающее в себе функции стиллера и Троянской программы (RAT), с момента своего первого появления в 2013 году. Атака характеризовалась многоэтапным потоком выполнения, который инициировался, когда целевой пользователь нажимал на вредоносную сокращенную ссылку в электронном письме, что приводило к загрузке ZIP-архива из GitHub Releases.
ZIP-файл содержит вредоносный LNK-файл, который при запуске использует легитимную команду Windows mshta для загрузки и выполнения HTA-файла с GitHub. HTA-файл затем запускает зашифрованный VBScript, который продолжает процесс заражения, загружая дополнительные компоненты вредоносного ПО с контролируемого аккаунта Google Drive. Если Windows Defender не работает, он загружает скрытые файлы, такие как user.txt и sys.log; в противном случае он извлекает зашифрованный ZIP-файл. Вредоносное ПО использует команды PowerShell для обработки расшифровки и выполнения последующих компонентов, включая полезную нагрузку, известную как KimJongRAT, которая имеет как DLL, так и PowerShell варианты.
Кроме того, вариант мая 2026 года вносит значительные изменения, динамически извлекая адреса серверов управления (управление) из внешних источников вместо их жёсткой привязки в коде, что повышает его устойчивость к блокировкам. Такая динамическая связь позволяет злоумышленникам адаптироваться без необходимости пересборки ВПО каждый раз при изменении адреса управления. Кроме того, обновлённая версия KimJongRAT получила возможность устанавливать инструмент удалённого мониторинга и управления (RMM) под названием MeshAgent, что направлено на обеспечение постоянного доступа к заражённым хостам даже в случае изоляции основного ВПО средствами защиты.
Несмотря на удаление с GitHub репозитория, содержащего эксплойт, 27 мая 2026 года злоумышленники оперативно создали новый репозиторий для продолжения своей деятельности, что указывает на устойчивую угрозу. В целом, эти эволюции демонстрируют стратегический сдвиг в сторону эксплуатации легитимных сервисов для размещения вредоносного программного обеспечения и выполнения атак — техника, которая всё чаще встречается в кампаниях, связанных с различными акторами, представляющими государства, особенно из Северной Кореи. Поскольку эти угрозы остаются актуальными, бдительность и проактивные стратегии защиты необходимы для потенциальных целей.
#ParsedReport #CompletenessLow
25-06-2026
Miasma Worm Infects Multiple LeoPlatform npm Packages
https://safedep.io/miasma-worm-hits-leoplatform-20-npm-packages
Report completeness: Low
Threats:
Miasma
Victims:
Leoplatform, Leoinsights, Software development
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1027.002, T1036.005, T1059.007, T1078, T1195.001, T1550.001
IOCs:
File: 6
Hash: 7
Soft:
Dependabot, Kubernetes, HashiCorp Vault, curl, 1Password, OPENSSH
Algorithms:
ed25519, sha256, aes-128-gcm, sha1
Functions:
getBunPath, CreateEvent
Platforms:
intel
25-06-2026
Miasma Worm Infects Multiple LeoPlatform npm Packages
https://safedep.io/miasma-worm-hits-leoplatform-20-npm-packages
Report completeness: Low
Threats:
Miasma
Victims:
Leoplatform, Leoinsights, Software development
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1027.002, T1036.005, T1059.007, T1078, T1195.001, T1550.001
IOCs:
File: 6
Hash: 7
Soft:
Dependabot, Kubernetes, HashiCorp Vault, curl, 1Password, OPENSSH
Algorithms:
ed25519, sha256, aes-128-gcm, sha1
Functions:
getBunPath, CreateEvent
Platforms:
intel
SafeDep - Real-time Open Source Software Supply Chain Security
Miasma Worm Infects Multiple LeoPlatform npm Packages
A Miasma worm variant compromised a single maintainer account and used it to publish infected versions of 20 LeoPlatform npm packages within a 3-second window. The worm also pushed weaponized GitHub Actions workflows to at least three repos. The payload is…
CTT Report Hub
#ParsedReport #CompletenessLow 25-06-2026 Miasma Worm Infects Multiple LeoPlatform npm Packages https://safedep.io/miasma-worm-hits-leoplatform-20-npm-packages Report completeness: Low Threats: Miasma Victims: Leoplatform, Leoinsights, Software development…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
24 июня 2026 года экосистема npm LeoPlatform была скомпрометирована вариантом червя Miasma после того, как злоумышленник получил доступ к токенам npm и GitHub одного из сопровождающих, что привело к выпуску вредоносных версий 20 пакетов. Зараженные пакеты выполняли полезную нагрузку во время установки, используя зашифрованные методы и маскированные рабочие процессы, которые эксплуатировали повышенные права для потенциального кражи учетных данных. Атака выявила уязвимости в управлении пакетами и рабочих процессах GitHub, позволив несанкционированное распространение кода и создав широкую угрозу для различных платформ.
-----
24 июня 2026 года экосистема npm LeoPlatform подверглась атаке с использованием варианта червя Miasma. Инцидент начался с того, что злоумышленник скомпрометировал токены npm и GitHub одного из сопровождающих, что привело к быстрой публикации зараженных версий 20 пакетов npm. Кроме того, в качестве оружия были использованы рабочие процессы GitHub Actions, замаскированные под Dependabot, которые были внедрены как минимум в три репозитория, связанные с скомпрометированной учетной записью.
Вредоносные обновления затронули 20 пакетов организации LeoPlatform / LeoInsights, идентифицированных по файлу binding.gyp, который инициировал загрузку вредоносного кода в процессе установки, тем самым избегая обнаружения сканерами скриптов жизненного цикла. Все зараженные пакеты имели одинаковый хеш SHA256, и хотя их полезная нагрузка была зашифрована с использованием уникальных значений шифра ROT и ключей AES-128-GCM, базовая функциональность оставалась согласованной во всех пакетах. К числу наиболее загружаемых затронутых пакетов относились leo-logger, leo-sdk и leo-aws, которые в совокупности имели около 13 600 загрузок в неделю. Напротив, четыре других пакета, поддерживаемых тем же оператором, остались нетронутыми, вероятно, из-за отсутствия стабильной версии релиза.
Метод заражения опирался на несколько ключевых тактик. Зараженные файлы package.json содержали зависимость от Bun, конкретно версии ^1.3.13, предназначенную для ситуаций, когда первоначальный процесс установки завершался неудачей. Такой подход указывает на стратегию обеспечения выполнения несанкционированного кода независимо от среды установки. В репозиториях GitHub скомпрометированных сопровождающих содержались поддельные рабочие процессы, которые использовали легитимные действия, одновременно извлекая несанкционированный код. Рабочий процесс эксплуатировал широкие разрешения, включая возможность записи id-token, что могло позволить злоумышленнику получить учетные данные для публикации в npm.
При анализе полезная нагрузка червя продемонстрировала возможности, аналогичные тем, что были задокументированы в более ранних исследованиях, что указывает на потенциальную возможность кражи учетных данных и других вредоносных действий. Примечательно, что регулярные выражения в полезной нагрузке предполагали, что она может извлекать конфиденциальную информацию, такую как токены аутентификации и закрытые ключи, усиливая свой самораспространяющийся характер на нескольких платформах, включая GitHub, AWS и различные инструменты конфигурации кода.
Это событие подчеркивает значительные риски, связанные с компрометацией учетных записей разработчиков, и необходимость строгих практик безопасности в управлении пакетами и рабочих процессах GitHub для снижения воздействия таких сложных атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
24 июня 2026 года экосистема npm LeoPlatform была скомпрометирована вариантом червя Miasma после того, как злоумышленник получил доступ к токенам npm и GitHub одного из сопровождающих, что привело к выпуску вредоносных версий 20 пакетов. Зараженные пакеты выполняли полезную нагрузку во время установки, используя зашифрованные методы и маскированные рабочие процессы, которые эксплуатировали повышенные права для потенциального кражи учетных данных. Атака выявила уязвимости в управлении пакетами и рабочих процессах GitHub, позволив несанкционированное распространение кода и создав широкую угрозу для различных платформ.
-----
24 июня 2026 года экосистема npm LeoPlatform подверглась атаке с использованием варианта червя Miasma. Инцидент начался с того, что злоумышленник скомпрометировал токены npm и GitHub одного из сопровождающих, что привело к быстрой публикации зараженных версий 20 пакетов npm. Кроме того, в качестве оружия были использованы рабочие процессы GitHub Actions, замаскированные под Dependabot, которые были внедрены как минимум в три репозитория, связанные с скомпрометированной учетной записью.
Вредоносные обновления затронули 20 пакетов организации LeoPlatform / LeoInsights, идентифицированных по файлу binding.gyp, который инициировал загрузку вредоносного кода в процессе установки, тем самым избегая обнаружения сканерами скриптов жизненного цикла. Все зараженные пакеты имели одинаковый хеш SHA256, и хотя их полезная нагрузка была зашифрована с использованием уникальных значений шифра ROT и ключей AES-128-GCM, базовая функциональность оставалась согласованной во всех пакетах. К числу наиболее загружаемых затронутых пакетов относились leo-logger, leo-sdk и leo-aws, которые в совокупности имели около 13 600 загрузок в неделю. Напротив, четыре других пакета, поддерживаемых тем же оператором, остались нетронутыми, вероятно, из-за отсутствия стабильной версии релиза.
Метод заражения опирался на несколько ключевых тактик. Зараженные файлы package.json содержали зависимость от Bun, конкретно версии ^1.3.13, предназначенную для ситуаций, когда первоначальный процесс установки завершался неудачей. Такой подход указывает на стратегию обеспечения выполнения несанкционированного кода независимо от среды установки. В репозиториях GitHub скомпрометированных сопровождающих содержались поддельные рабочие процессы, которые использовали легитимные действия, одновременно извлекая несанкционированный код. Рабочий процесс эксплуатировал широкие разрешения, включая возможность записи id-token, что могло позволить злоумышленнику получить учетные данные для публикации в npm.
При анализе полезная нагрузка червя продемонстрировала возможности, аналогичные тем, что были задокументированы в более ранних исследованиях, что указывает на потенциальную возможность кражи учетных данных и других вредоносных действий. Примечательно, что регулярные выражения в полезной нагрузке предполагали, что она может извлекать конфиденциальную информацию, такую как токены аутентификации и закрытые ключи, усиливая свой самораспространяющийся характер на нескольких платформах, включая GitHub, AWS и различные инструменты конфигурации кода.
Это событие подчеркивает значительные риски, связанные с компрометацией учетных записей разработчиков, и необходимость строгих практик безопасности в управлении пакетами и рабочих процессах GitHub для снижения воздействия таких сложных атак.
#ParsedReport #CompletenessLow
25-06-2026
AI Security Incident Case: Jetbrains Plugin Supply Chain Attack Stealing AI Key
https://nsfocusglobal.com/ai-security-incident-case-jetbrains-plugin-supply-chain-attack-stealing-ai-key/
Report completeness: Low
Threats:
Supply_chain_technique
Glassworm
Victims:
Software developers, Jetbrains plugin market users, Ai service providers
ChatGPT TTPs:
T1020, T1036, T1071.001, T1195.002, T1528
IOCs:
File: 2
IP: 1
Soft:
Jetbrains, DeepSeek, OpenAI
Functions:
save, FindBugs
25-06-2026
AI Security Incident Case: Jetbrains Plugin Supply Chain Attack Stealing AI Key
https://nsfocusglobal.com/ai-security-incident-case-jetbrains-plugin-supply-chain-attack-stealing-ai-key/
Report completeness: Low
Threats:
Supply_chain_technique
Glassworm
Victims:
Software developers, Jetbrains plugin market users, Ai service providers
ChatGPT TTPs:
do not use without manual checkT1020, T1036, T1071.001, T1195.002, T1528
IOCs:
File: 2
IP: 1
Soft:
Jetbrains, DeepSeek, OpenAI
Functions:
save, FindBugs
NSFOCUS
AI Security Incident Case: Jetbrains Plugin Supply Chain Attack Stealing AI Key - NSFOCUS
Overview In June 2026, the security research team Aikido detected a batch of collaborative malicious plugins in the JetBrains plugin market, totaling 15 plugins with nearly 70,000 cumulative installations. All of them would silently leak the AI service provider’s…