CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access https://www.microsoft.com/en-us/security/blog/2026/06/25/photo-zip-campaign-targeting-hospitality-industry-delivers…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С апреля 2026 года сообщается о многоэтапной хакерской кампании, нацеленной на гостиничный сектор, которая использует фишинговые письма с вводящим в заблуждение контентом, связанным с отелями, для доставки вредоносных, запутанных ZIP-файлов. Эти файлы содержат скрипты PowerShell и внедрение Node.js для закрепления, используя ключи реестра Windows для поддержания контроля после попыток обнаружения. Атака развивается через конкретные соглашения об именовании файлов и выполняет динамические .NET DLL, что указывает на наличие злоумышленника, сосредоточенного на уклонении и поддержании возможностей управления.
-----
Microsoft Threat Intelligence сообщила о многоэтапной хакерской кампании, направленной на гостиничный сектор с апреля 2026 года, использующей обманные ZIP-архивы с тематикой фотографий для начала атак. ZIP-архивы содержат зашифрованные скрипты PowerShell и внедрение Node.js, предназначенное для закрепления доступа. Атака использует двойной механизм закрепления через ключи реестра Windows, позволяя злоумышленнику сохранять контроль даже после некоторых обнаружений средствами защиты, такими как Microsoft Defender.
Первоначальный доступ осуществляется через фишинговые письма с вводящим в заблуждение содержанием, связанным с работой отелей, например, жалобами гостей, которые отправляются через легитимные платформы, такие как Calendly, для обхода проверок аутентификации электронной почты. Письма используют общие шаблоны на различных языках, полагаясь на срочность, чтобы побудить пользователей выполнять вредоносные ZIP-файлы. Приманки продолжают эволюционировать, с различными вариациями в именовании файлов (изначально использовались IMG, а затем произошел переход на PHOTO) для оптимизации доставки.
Последующая цепочка атаки остается неизменной в рамках кампании, переходя от выполнения скриптов PowerShell к загрузке динамических библиотек .NET во второй волне, которые генерируются с использованием компилятора C# (csc.exe). Эта адаптация демонстрирует фокус злоумышленника на тактиках уклонения, позволяющих скрытно загружать компоненты непосредственно в систему пользователя. Внедренный модуль Node.js после развертывания изменяет настройки Windows Defender, чтобы снизить уровень контроля за своей деятельностью.
После компрометации кампания активно использует каналы управления (C2) для связи с различными доменами. Это включает сканирование среды для сбора информации о системе, что дополнительно поддерживает оперативные цели оператора. Механизмы закрепления демонстрируют сложный подход, использующий как ключи реестра, так и другие методы, чтобы обеспечить восстановление внедренного компонента даже после частичного прерывания его работы.
Применяемые техники демонстрируют хорошо спланированную стратегию, основанную на социальной инженерии и многоуровневой обфускации, что указывает на продвинутого противника, способного адаптироваться к усилиям по смягчению обнаружения. Microsoft рекомендует комплексную стратегию устранения последствий, направленную как на механизмы закрепления, так и на оповещение об их индикаторах компрометации (IOCs) для эффективной защиты от подобных угроз. Кампания демонстрирует четкую эволюцию тактик и операционной зрелости, вызывая обеспокоенность по поводу ландшафта угроз в гостиничной индустрии, поскольку она становится все более целевой для сложных киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С апреля 2026 года сообщается о многоэтапной хакерской кампании, нацеленной на гостиничный сектор, которая использует фишинговые письма с вводящим в заблуждение контентом, связанным с отелями, для доставки вредоносных, запутанных ZIP-файлов. Эти файлы содержат скрипты PowerShell и внедрение Node.js для закрепления, используя ключи реестра Windows для поддержания контроля после попыток обнаружения. Атака развивается через конкретные соглашения об именовании файлов и выполняет динамические .NET DLL, что указывает на наличие злоумышленника, сосредоточенного на уклонении и поддержании возможностей управления.
-----
Microsoft Threat Intelligence сообщила о многоэтапной хакерской кампании, направленной на гостиничный сектор с апреля 2026 года, использующей обманные ZIP-архивы с тематикой фотографий для начала атак. ZIP-архивы содержат зашифрованные скрипты PowerShell и внедрение Node.js, предназначенное для закрепления доступа. Атака использует двойной механизм закрепления через ключи реестра Windows, позволяя злоумышленнику сохранять контроль даже после некоторых обнаружений средствами защиты, такими как Microsoft Defender.
Первоначальный доступ осуществляется через фишинговые письма с вводящим в заблуждение содержанием, связанным с работой отелей, например, жалобами гостей, которые отправляются через легитимные платформы, такие как Calendly, для обхода проверок аутентификации электронной почты. Письма используют общие шаблоны на различных языках, полагаясь на срочность, чтобы побудить пользователей выполнять вредоносные ZIP-файлы. Приманки продолжают эволюционировать, с различными вариациями в именовании файлов (изначально использовались IMG, а затем произошел переход на PHOTO) для оптимизации доставки.
Последующая цепочка атаки остается неизменной в рамках кампании, переходя от выполнения скриптов PowerShell к загрузке динамических библиотек .NET во второй волне, которые генерируются с использованием компилятора C# (csc.exe). Эта адаптация демонстрирует фокус злоумышленника на тактиках уклонения, позволяющих скрытно загружать компоненты непосредственно в систему пользователя. Внедренный модуль Node.js после развертывания изменяет настройки Windows Defender, чтобы снизить уровень контроля за своей деятельностью.
После компрометации кампания активно использует каналы управления (C2) для связи с различными доменами. Это включает сканирование среды для сбора информации о системе, что дополнительно поддерживает оперативные цели оператора. Механизмы закрепления демонстрируют сложный подход, использующий как ключи реестра, так и другие методы, чтобы обеспечить восстановление внедренного компонента даже после частичного прерывания его работы.
Применяемые техники демонстрируют хорошо спланированную стратегию, основанную на социальной инженерии и многоуровневой обфускации, что указывает на продвинутого противника, способного адаптироваться к усилиям по смягчению обнаружения. Microsoft рекомендует комплексную стратегию устранения последствий, направленную как на механизмы закрепления, так и на оповещение об их индикаторах компрометации (IOCs) для эффективной защиты от подобных угроз. Кампания демонстрирует четкую эволюцию тактик и операционной зрелости, вызывая обеспокоенность по поводу ландшафта угроз в гостиничной индустрии, поскольку она становится все более целевой для сложных киберугроз.
#ParsedReport #CompletenessHigh
25-06-2026
Miasma Mini Shai-Hulud Hits LeoPlatform npm Packages and GitHub Actions, Expands to the Go Ecosystem
https://socket.dev/blog/miasma-mini-shai-hulud-hits-leoplatform-npm-packages-go-ecosystem
Report completeness: High
Actors/Campaigns:
Mini_shai-hulud
Threats:
Miasma
Supply_chain_technique
Hades
Dead_drop_technique
Phantom_gyp_technique
Tanium_tool
Victims:
Leoplatform, Rstreams, Github actions, Verana blockchain
Industry:
Financial
Geo:
Russian
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1059.004, T1059.007, T1083, T1102.001, T1105, T1140, T1195.001, T1204, have more...
IOCs:
File: 7
Hash: 18
Soft:
Claude, Slack, Docker, Kubernetes, Microsoft Defender, Dependabot
Algorithms:
sha256, aes-gcm
Functions:
eval
Win API:
lockfile
Languages:
javascript
Links:
25-06-2026
Miasma Mini Shai-Hulud Hits LeoPlatform npm Packages and GitHub Actions, Expands to the Go Ecosystem
https://socket.dev/blog/miasma-mini-shai-hulud-hits-leoplatform-npm-packages-go-ecosystem
Report completeness: High
Actors/Campaigns:
Mini_shai-hulud
Threats:
Miasma
Supply_chain_technique
Hades
Dead_drop_technique
Phantom_gyp_technique
Tanium_tool
Victims:
Leoplatform, Rstreams, Github actions, Verana blockchain
Industry:
Financial
Geo:
Russian
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059.004, T1059.007, T1083, T1102.001, T1105, T1140, T1195.001, T1204, have more...
IOCs:
File: 7
Hash: 18
Soft:
Claude, Slack, Docker, Kubernetes, Microsoft Defender, Dependabot
Algorithms:
sha256, aes-gcm
Functions:
eval
Win API:
lockfile
Languages:
javascript
Links:
https://socket.dev/go/package/github.com/verana-labs/verana-blockchain?version=v0.10.1-dev.20https://socket.dev/go/package/github.com/verana-labs/verana-blockchain?section=files&version=v0.10.1-dev.20&path=.claude%2Findex.jsSocket
Miasma Mini Shai-Hulud Hits LeoPlatform npm Packages and Git...
Mini Shai-Hulud expands into the Go ecosystem after hitting LeoPlatform npm packages and targeting GitHub Actions workflows.
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 Miasma Mini Shai-Hulud Hits LeoPlatform npm Packages and GitHub Actions, Expands to the Go Ecosystem https://socket.dev/blog/miasma-mini-shai-hulud-hits-leoplatform-npm-packages-go-ecosystem Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Согласно последним данным разведданных, наблюдается волна атак на Цепочку поставок с использованием вредоносного ПО Mini Shai-Hulud, Miasma и Hades, нацеленных на пакеты npm, GitHub Actions и экосистему Go. Ключевые тактики включают отравление реестра npm, где вредоносные файлы binding.gyp выполняются во время установки пакета для запуска зашифрованных JavaScript-полезных нагрузок, использующих дешифровку ROT и AES-GCM. Кампания, в частности, эксплуатирует среды разработки для сбора конфиденциальной информации и расширила свой фокус на экосистему Go, что указывает на сложную эволюцию стратегий атак.
-----
Согласно последним данным разведки, наблюдается новая волна атак на цепочку поставок, связанных с семействами ВПО Mini Shai-Hulud, Miasma и Hades, которые нацелены на пакеты npm, GitHub Actions и экосистему Go. В рамках этой кампании были зафиксированы вредоносные выпуски в нескольких пакетах npm, в частности затронувшие LeoPlatform и RStreams, при этом аккаунт czirker служил основной точкой распространения. Атака также включает несколько дополнительных вредоносных пакетов, опубликованных другим пользователем, llxlr.
Тактики, используемые в этих атаках, включают отравление реестра npm и методы эксплуатации, такие как установка файлов binding.gyp, что позволяет выполнять скрытый код на этапе сборки пакета. При установке затронутого пакета npm автоматически выполняет команды, указанные в файле binding.gyp, обеспечивая скрытый запуск большого зашифрованного полезного груза на JavaScript. Этот полезный груз использует сложные методы дешифровки, начиная с шифрования в стиле ROT и заканчивая дешифровкой AES-GCM, а также применяет стратегии обфускации JavaScript для уклонения от обнаружения.
Злоумышленники используют среды разработки, нацеливаясь на секреты в различных контекстах кода и непрерывной интеграции (CI), включая сбор конфиденциальной информации, такой как токены GitHub, учетные данные облачных сервисов и другие важные конфигурационные данные. ВПО проявляет особую склонность к несанкционированному использованию GitHub Actions, включая тактики злоупотребления рабочими процессами, которые публикуют пакеты или получают секреты от исполнителей CI.
Значимым аспектом этой кампании является её эволюция в сторону использования Bun, более новой среды выполнения JavaScript, что позволяет злоумышленникам обходить некоторые традиционные средства защиты, менее внимательные к среде выполнения Bun. Кроме того, вредоносное ПО связывается с предыдущими атаками через операционные индикаторы, такие как «RevokeAndItGoesKaboom», маркер, связывающий инциденты на нескольких платформах.
Недавние выводы расширяют эту область атак за пределы npm в экосистему Go, выявляя скомпрометированные модули в проекте Verana Blockchain. Паттерн атаки указывает на то, что вредоносные загрузки полагаются на триггеры среды VS Code, а не на обычные процессы сборки Go, что демонстрирует сложную адаптацию в нацеливании на инструменты разработчиков и рабочие процессы, а не на прямые уязвимости пакетного менеджера.
Защитные меры требуют не только удаления затронутых версий этих пакетов, но и проведения обширного криминалистического анализа, включая аудит репозиториев на предмет вредоносных изменений и защиту всех учетных данных, которые могли быть раскрыты. Основной акцент делается на защите практик разработки и мониторинге конфигураций GitHub Actions для сдерживания распространения таких сложных атак на Цепочку поставок. Атака подчеркивает изменяющийся ландшафт угроз, нацеленный на тонкости сред разработки и сопутствующие средства защиты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Согласно последним данным разведданных, наблюдается волна атак на Цепочку поставок с использованием вредоносного ПО Mini Shai-Hulud, Miasma и Hades, нацеленных на пакеты npm, GitHub Actions и экосистему Go. Ключевые тактики включают отравление реестра npm, где вредоносные файлы binding.gyp выполняются во время установки пакета для запуска зашифрованных JavaScript-полезных нагрузок, использующих дешифровку ROT и AES-GCM. Кампания, в частности, эксплуатирует среды разработки для сбора конфиденциальной информации и расширила свой фокус на экосистему Go, что указывает на сложную эволюцию стратегий атак.
-----
Согласно последним данным разведки, наблюдается новая волна атак на цепочку поставок, связанных с семействами ВПО Mini Shai-Hulud, Miasma и Hades, которые нацелены на пакеты npm, GitHub Actions и экосистему Go. В рамках этой кампании были зафиксированы вредоносные выпуски в нескольких пакетах npm, в частности затронувшие LeoPlatform и RStreams, при этом аккаунт czirker служил основной точкой распространения. Атака также включает несколько дополнительных вредоносных пакетов, опубликованных другим пользователем, llxlr.
Тактики, используемые в этих атаках, включают отравление реестра npm и методы эксплуатации, такие как установка файлов binding.gyp, что позволяет выполнять скрытый код на этапе сборки пакета. При установке затронутого пакета npm автоматически выполняет команды, указанные в файле binding.gyp, обеспечивая скрытый запуск большого зашифрованного полезного груза на JavaScript. Этот полезный груз использует сложные методы дешифровки, начиная с шифрования в стиле ROT и заканчивая дешифровкой AES-GCM, а также применяет стратегии обфускации JavaScript для уклонения от обнаружения.
Злоумышленники используют среды разработки, нацеливаясь на секреты в различных контекстах кода и непрерывной интеграции (CI), включая сбор конфиденциальной информации, такой как токены GitHub, учетные данные облачных сервисов и другие важные конфигурационные данные. ВПО проявляет особую склонность к несанкционированному использованию GitHub Actions, включая тактики злоупотребления рабочими процессами, которые публикуют пакеты или получают секреты от исполнителей CI.
Значимым аспектом этой кампании является её эволюция в сторону использования Bun, более новой среды выполнения JavaScript, что позволяет злоумышленникам обходить некоторые традиционные средства защиты, менее внимательные к среде выполнения Bun. Кроме того, вредоносное ПО связывается с предыдущими атаками через операционные индикаторы, такие как «RevokeAndItGoesKaboom», маркер, связывающий инциденты на нескольких платформах.
Недавние выводы расширяют эту область атак за пределы npm в экосистему Go, выявляя скомпрометированные модули в проекте Verana Blockchain. Паттерн атаки указывает на то, что вредоносные загрузки полагаются на триггеры среды VS Code, а не на обычные процессы сборки Go, что демонстрирует сложную адаптацию в нацеливании на инструменты разработчиков и рабочие процессы, а не на прямые уязвимости пакетного менеджера.
Защитные меры требуют не только удаления затронутых версий этих пакетов, но и проведения обширного криминалистического анализа, включая аудит репозиториев на предмет вредоносных изменений и защиту всех учетных данных, которые могли быть раскрыты. Основной акцент делается на защите практик разработки и мониторинге конфигураций GitHub Actions для сдерживания распространения таких сложных атак на Цепочку поставок. Атака подчеркивает изменяющийся ландшафт угроз, нацеленный на тонкости сред разработки и сопутствующие средства защиты.
#ParsedReport #CompletenessMedium
26-06-2026
Anatomy of a WHQL-Signed Windows Filtering Platform (WFP) Kernel-Resident Network Backdoor
https://www.nextron-systems.com/2026/06/26/anatomy-of-a-whql-signed-windows-filtering-platform-wfp-kernel-resident-network-backdoor/
Report completeness: Medium
Threats:
Process_hacker_tool
Process_injection_technique
Industry:
Software_development
Geo:
China
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1001.003, T1040, T1055, T1059.003, T1071.001, T1095, T1553.002, T1573.001
IOCs:
File: 7
Hash: 1
Command: 1
Soft:
Windows kernel-mode driver, Linux
Algorithms:
hmac, xor, sha256
Functions:
WorkerRoutine
Win API:
RtlCreateUserThread, KeStackAttachProcess, ZwCreateFile
Languages:
python
26-06-2026
Anatomy of a WHQL-Signed Windows Filtering Platform (WFP) Kernel-Resident Network Backdoor
https://www.nextron-systems.com/2026/06/26/anatomy-of-a-whql-signed-windows-filtering-platform-wfp-kernel-resident-network-backdoor/
Report completeness: Medium
Threats:
Process_hacker_tool
Process_injection_technique
Industry:
Software_development
Geo:
China
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1001.003, T1040, T1055, T1059.003, T1071.001, T1095, T1553.002, T1573.001
IOCs:
File: 7
Hash: 1
Command: 1
Soft:
Windows kernel-mode driver, Linux
Algorithms:
hmac, xor, sha256
Functions:
WorkerRoutine
Win API:
RtlCreateUserThread, KeStackAttachProcess, ZwCreateFile
Languages:
python
Nextron-Systems
Anatomy of a WHQL-Signed Windows Filtering Platform (WFP) Kernel-Resident Network Backdoor - Nextron Systems
CTT Report Hub
#ParsedReport #CompletenessMedium 26-06-2026 Anatomy of a WHQL-Signed Windows Filtering Platform (WFP) Kernel-Resident Network Backdoor https://www.nextron-systems.com/2026/06/26/anatomy-of-a-whql-signed-windows-filtering-platform-wfp-kernel-resident-network…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
wskmon.sys — это драйвер-бэкдор для Windows, работающий в режиме ядра без компонентов пользовательского режима и интегрирующийся с платформой фильтрации Windows (Windows Filtering Platform) для перехвата TCP-трафика. Он обменивается зашифрованными командами, аутентифицированными с помощью HMAC-SHA256, и выполняет команды на уровне NT AUTHORITY SYSTEM, внедряя их в svchost.exe, что затрудняет обнаружение. Его подписанный характер и опора на низкоуровневые взаимодействия с ядром подчеркивают значительные риски и необходимость улучшения мониторинга поведения драйверов и аномалий сетевого трафика.
-----
wskmon.sys — это сложный 64-битный драйвер режима ядра Windows, функционирующий как бэкдор для удалённого доступа, появившийся 15 июня 2026 года. Это ВПО отличается от традиционных руткитов тем, что устраняет необходимость в интерфейсе IOCTL или агенте пользовательского режима, полагаясь исключительно на один .sys-файл. Оно интегрируется с платформой фильтрации Windows (WFP), регистрируя потоковый вызов для перехвата входящего трафика TCP. Его коммуникация защищена зашифрованными командами, аутентифицированными с помощью HMAC-SHA256, что обеспечивает выполнение полностью на уровне ядра. Примечательно, что его сертификат Authenticode связывает его с компанией Shenzhen Aolian Information Security Technology Co., Ltd., предоставляя ему легитимность в рамках экосистемы подписи драйверов Microsoft.
Драйвер спроектирован для обнаружения команд, встроенных в HTTP POST-запросы, путем идентификации последовательности магических байтов (7F 4E 54 46). Аутентификация команд использует 32-байтовый тег HMAC-SHA256, который вычисляется с использованием жестко закодированного 256-битного секретного ключа, встроенного в драйвер. Этот тщательный метод не только обеспечивает целостность команд, но и защищает от несанкционированного выполнения.
Одна из основных функций драйвера wskmon.sys — выполнение команд от имени NT AUTHORITY SYSTEM на целевых машинах. Он работает путем расшифровки полезной нагрузки команды, поиска запущенного экземпляра svchost.exe и внедрения команд непосредственно в его адресное пространство, создавая потоки без отображения каких-либо окон на рабочем столе пользователя из-за изоляции сеанса Windows 0.
Демонстрации показывают, что типичные сетевые приложения могут использоваться в качестве транспортных каналов, при этом команды отправляются незамеченными, пока WFP не перехватит и не обработает их. Возникающие в результате процессы, хотя и являются исполняемыми, привязываются к svchost.exe, что делает их менее заметными для криминалистический анализ, отслеживающих общую пользовательскую активность.
Возможности для обнаружения этого бэкдора включают мониторинг нерегулярных регистраций вызовов потоков WFP и наблюдение за необычными шаблонами загрузки драйверов, особенно касающимися низко-распространенных подписанных драйверов, взаимодействующих с сетевой или процессной активностью. Выявление трафика, содержащего признаки протокола NTF, особенно магической последовательности, также может помочь в распознавании его операций. Кроме того, аномалии, такие как запуск svchost.exe неожиданных дочерних процессов или выполнение команд, таких как cmd.exe в Сессии 0, могут сигнализировать о наличии бэкдора.
Архитектура wskmon.sys подчеркивает значительные последствия для безопасности в отношении доверия к ядру, акцентируя срочную необходимость более строгой проверки драйверов ядра и улучшения механизмов обнаружения вредоносной активности в пространстве ядра. ВПО инкапсулирует комплексный фреймворк удаленного доступа в подписанный драйвер, тем самым обходя распространенные методы обнаружения в пользовательском режиме и усиливая необходимость бдительного мониторинга ядра в стратегиях киберзащиты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
wskmon.sys — это драйвер-бэкдор для Windows, работающий в режиме ядра без компонентов пользовательского режима и интегрирующийся с платформой фильтрации Windows (Windows Filtering Platform) для перехвата TCP-трафика. Он обменивается зашифрованными командами, аутентифицированными с помощью HMAC-SHA256, и выполняет команды на уровне NT AUTHORITY SYSTEM, внедряя их в svchost.exe, что затрудняет обнаружение. Его подписанный характер и опора на низкоуровневые взаимодействия с ядром подчеркивают значительные риски и необходимость улучшения мониторинга поведения драйверов и аномалий сетевого трафика.
-----
wskmon.sys — это сложный 64-битный драйвер режима ядра Windows, функционирующий как бэкдор для удалённого доступа, появившийся 15 июня 2026 года. Это ВПО отличается от традиционных руткитов тем, что устраняет необходимость в интерфейсе IOCTL или агенте пользовательского режима, полагаясь исключительно на один .sys-файл. Оно интегрируется с платформой фильтрации Windows (WFP), регистрируя потоковый вызов для перехвата входящего трафика TCP. Его коммуникация защищена зашифрованными командами, аутентифицированными с помощью HMAC-SHA256, что обеспечивает выполнение полностью на уровне ядра. Примечательно, что его сертификат Authenticode связывает его с компанией Shenzhen Aolian Information Security Technology Co., Ltd., предоставляя ему легитимность в рамках экосистемы подписи драйверов Microsoft.
Драйвер спроектирован для обнаружения команд, встроенных в HTTP POST-запросы, путем идентификации последовательности магических байтов (7F 4E 54 46). Аутентификация команд использует 32-байтовый тег HMAC-SHA256, который вычисляется с использованием жестко закодированного 256-битного секретного ключа, встроенного в драйвер. Этот тщательный метод не только обеспечивает целостность команд, но и защищает от несанкционированного выполнения.
Одна из основных функций драйвера wskmon.sys — выполнение команд от имени NT AUTHORITY SYSTEM на целевых машинах. Он работает путем расшифровки полезной нагрузки команды, поиска запущенного экземпляра svchost.exe и внедрения команд непосредственно в его адресное пространство, создавая потоки без отображения каких-либо окон на рабочем столе пользователя из-за изоляции сеанса Windows 0.
Демонстрации показывают, что типичные сетевые приложения могут использоваться в качестве транспортных каналов, при этом команды отправляются незамеченными, пока WFP не перехватит и не обработает их. Возникающие в результате процессы, хотя и являются исполняемыми, привязываются к svchost.exe, что делает их менее заметными для криминалистический анализ, отслеживающих общую пользовательскую активность.
Возможности для обнаружения этого бэкдора включают мониторинг нерегулярных регистраций вызовов потоков WFP и наблюдение за необычными шаблонами загрузки драйверов, особенно касающимися низко-распространенных подписанных драйверов, взаимодействующих с сетевой или процессной активностью. Выявление трафика, содержащего признаки протокола NTF, особенно магической последовательности, также может помочь в распознавании его операций. Кроме того, аномалии, такие как запуск svchost.exe неожиданных дочерних процессов или выполнение команд, таких как cmd.exe в Сессии 0, могут сигнализировать о наличии бэкдора.
Архитектура wskmon.sys подчеркивает значительные последствия для безопасности в отношении доверия к ядру, акцентируя срочную необходимость более строгой проверки драйверов ядра и улучшения механизмов обнаружения вредоносной активности в пространстве ядра. ВПО инкапсулирует комплексный фреймворк удаленного доступа в подписанный драйвер, тем самым обходя распространенные методы обнаружения в пользовательском режиме и усиливая необходимость бдительного мониторинга ядра в стратегиях киберзащиты.
#ParsedReport #CompletenessLow
26-06-2026
Malware steals Chrome session cookies to take over your accounts
https://www.malwarebytes.com/blog/news/2026/06/malware-steals-chrome-session-cookies-to-take-over-your-accounts
Report completeness: Low
Victims:
Chrome users
ChatGPT TTPs:
T1005, T1027, T1036.007, T1059.001, T1059.007, T1083, T1176, T1217, T1539, T1559, have more...
IOCs:
File: 4
BrowserExtension: 1
Domain: 1
Soft:
Chrome
Languages:
powershell, javascript
26-06-2026
Malware steals Chrome session cookies to take over your accounts
https://www.malwarebytes.com/blog/news/2026/06/malware-steals-chrome-session-cookies-to-take-over-your-accounts
Report completeness: Low
Victims:
Chrome users
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1036.007, T1059.001, T1059.007, T1083, T1176, T1217, T1539, T1559, have more...
IOCs:
File: 4
BrowserExtension: 1
Domain: 1
Soft:
Chrome
Languages:
powershell, javascript
Malwarebytes
Złośliwe oprogramowanie kradnie pliki cookie Chrome , aby przejąć kontrolę nad kontami użytkowników
W ramach kampanii phishingowej instalowane jest złośliwe Chrome , które przejmuje kontrolę nad sesjami przeglądarki i naraża Windows na atak.
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Malware steals Chrome session cookies to take over your accounts https://www.malwarebytes.com/blog/news/2026/06/malware-steals-chrome-session-cookies-to-take-over-your-accounts Report completeness: Low Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сложная атака с использованием вредоносного программного обеспечения (ВПО) осуществляется через фишинговые письма, доставляющие зашифрованный JavaScript-код, замаскированный под PDF-файл. Этот файл активирует бэкдор на системах Windows и использует скрипт PowerShell для установки вредоносного расширения Chrome, которое обходит разрешения пользователя, собирает конфиденциальные данные и служит удаленным каналом команд для выполнения команд и запуска скриптов. Атака использует механизм Chrome Native Messaging для взаимодействия с хост-системой, что повышает скрытность и позволяет избегать обнаружения.
-----
В недавнем анализе киберугроз подробно описывается сложная атака с использованием ВПО, нацеленная на пользователей через вредоносные расширения Chrome. Атака начинается с фишингового письма, содержащего вложение, которое маскируется под PDF-файл, но на самом деле представляет собой обфусцированный JavaScript-код с вводящим в заблуждение расширением .pfd.js. После выполнения этот JavaScript-файл запускает Windows-бэкдор, размещая дополнительные файлы во временной папке системы.
В основе атаки лежит скрипт PowerShell, который настраивает расширение Chrome и изменяет политики браузера для разрешения установки расширения. Этот метод позволяет вредоносному ПО маскироваться под развертывание, контролируемое администратором, обходя обычные разрешения пользователей. После установки расширение работает внутри браузера, собирая конфиденциальные данные, такие как куки-файлы сессий, открытые вкладки, URL-адреса, языковые настройки и информацию о цифровом отпечатке устройства. Кроме того, злоумышленники используют эту настройку в качестве канала удаленных команд, позволяющего им отправлять команды для выполнения скриптов PowerShell и перечисления файлов на хост-системе, особенно на диске C:.
Ключевой особенностью этого ВПО является использование им Chrome Native Messaging — легитимной функции браузера, которая позволяет расширениям взаимодействовать с нативными приложениями на хост-системе. Используя эту функциональность, злоумышленники обеспечивают возможность расширения выступать в роли контроллера для выполнения локального кода без прямого запуска PowerShell непосредственно из самого расширения. Вместо этого вредоносное расширение отправляет сообщения зарегистрированному нативному хосту, который затем взаимодействует с PowerShell, тем самым эффективно вписывая атаку в ожидаемые рабочие процессы и минимизируя риски обнаружения.
Стратегии смягчения последствий имеют решающее значение для пользователей, чтобы защититься от таких угроз. Пользователям рекомендуется тщательно проверять расширения файлов, использовать актуальные и работающие в реальном времени решения антивирусной защиты от вредоносного ПО, а также контролировать установленные расширения Chrome, удаляя любые подозрительные или неиспользуемые. Дополнительные меры предосторожности включают выход из критически важных учетных записей после использования, чтобы аннулировать любые потенциальные сессионные файлы cookie, которые могли быть скомпрометированы, а также регулярную проверку истории входов в учетную запись для выявления несанкционированного доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сложная атака с использованием вредоносного программного обеспечения (ВПО) осуществляется через фишинговые письма, доставляющие зашифрованный JavaScript-код, замаскированный под PDF-файл. Этот файл активирует бэкдор на системах Windows и использует скрипт PowerShell для установки вредоносного расширения Chrome, которое обходит разрешения пользователя, собирает конфиденциальные данные и служит удаленным каналом команд для выполнения команд и запуска скриптов. Атака использует механизм Chrome Native Messaging для взаимодействия с хост-системой, что повышает скрытность и позволяет избегать обнаружения.
-----
В недавнем анализе киберугроз подробно описывается сложная атака с использованием ВПО, нацеленная на пользователей через вредоносные расширения Chrome. Атака начинается с фишингового письма, содержащего вложение, которое маскируется под PDF-файл, но на самом деле представляет собой обфусцированный JavaScript-код с вводящим в заблуждение расширением .pfd.js. После выполнения этот JavaScript-файл запускает Windows-бэкдор, размещая дополнительные файлы во временной папке системы.
В основе атаки лежит скрипт PowerShell, который настраивает расширение Chrome и изменяет политики браузера для разрешения установки расширения. Этот метод позволяет вредоносному ПО маскироваться под развертывание, контролируемое администратором, обходя обычные разрешения пользователей. После установки расширение работает внутри браузера, собирая конфиденциальные данные, такие как куки-файлы сессий, открытые вкладки, URL-адреса, языковые настройки и информацию о цифровом отпечатке устройства. Кроме того, злоумышленники используют эту настройку в качестве канала удаленных команд, позволяющего им отправлять команды для выполнения скриптов PowerShell и перечисления файлов на хост-системе, особенно на диске C:.
Ключевой особенностью этого ВПО является использование им Chrome Native Messaging — легитимной функции браузера, которая позволяет расширениям взаимодействовать с нативными приложениями на хост-системе. Используя эту функциональность, злоумышленники обеспечивают возможность расширения выступать в роли контроллера для выполнения локального кода без прямого запуска PowerShell непосредственно из самого расширения. Вместо этого вредоносное расширение отправляет сообщения зарегистрированному нативному хосту, который затем взаимодействует с PowerShell, тем самым эффективно вписывая атаку в ожидаемые рабочие процессы и минимизируя риски обнаружения.
Стратегии смягчения последствий имеют решающее значение для пользователей, чтобы защититься от таких угроз. Пользователям рекомендуется тщательно проверять расширения файлов, использовать актуальные и работающие в реальном времени решения антивирусной защиты от вредоносного ПО, а также контролировать установленные расширения Chrome, удаляя любые подозрительные или неиспользуемые. Дополнительные меры предосторожности включают выход из критически важных учетных записей после использования, чтобы аннулировать любые потенциальные сессионные файлы cookie, которые могли быть скомпрометированы, а также регулярную проверку истории входов в учетную запись для выявления несанкционированного доступа.
#ParsedReport #CompletenessHigh
27-06-2026
UAC-0184 Tooling Evolution: OneDrive Sideload to Remcos
https://blog.synapticsystems.de/uac-0184-tooling-evolution-onedrive-sideload-to-remcos/
Report completeness: High
Actors/Campaigns:
Uac-0184
Threats:
Remcos_rat
Hijackloader
Rshell
Dll_sideloading_technique
Process_injection_technique
Victims:
Ukrainian military administration, Ukrainian military personnel
Industry:
Military, Telco
Geo:
Ukrainian
TTPs:
Tactics: 2
Technics: 7
IOCs:
File: 51
Hash: 27
IP: 3
Path: 1
Command: 2
Url: 5
Soft:
Microsoft OneDrive, Sysinternals
Algorithms:
xor, sha256, zip, rc4, lznt1
Functions:
Get-Command
Win API:
Stream, RtlDecompressBuffer
Languages:
powershell, vbscript, cscript
Platforms:
x64, x86
27-06-2026
UAC-0184 Tooling Evolution: OneDrive Sideload to Remcos
https://blog.synapticsystems.de/uac-0184-tooling-evolution-onedrive-sideload-to-remcos/
Report completeness: High
Actors/Campaigns:
Uac-0184
Threats:
Remcos_rat
Hijackloader
Rshell
Dll_sideloading_technique
Process_injection_technique
Victims:
Ukrainian military administration, Ukrainian military personnel
Industry:
Military, Telco
Geo:
Ukrainian
TTPs:
Tactics: 2
Technics: 7
IOCs:
File: 51
Hash: 27
IP: 3
Path: 1
Command: 2
Url: 5
Soft:
Microsoft OneDrive, Sysinternals
Algorithms:
xor, sha256, zip, rc4, lznt1
Functions:
Get-Command
Win API:
Stream, RtlDecompressBuffer
Languages:
powershell, vbscript, cscript
Platforms:
x64, x86
Synaptic Security Blog
UAC-0184 Tooling Evolution: OneDrive Sideload to Remcos - Synaptic Security Blog
by Robin Dost Malware: HijackLoader / IDATLoader -> Remcos Agent 7.1.0 ProActor tracking: UAC-0184 / MB-0005Related analysis: UAC-0184: From HTA to a Signed Network StackA YARA rule for this sample is available on request: contact@robin-dost.de. In my previous…
CTT Report Hub
#ParsedReport #CompletenessHigh 27-06-2026 UAC-0184 Tooling Evolution: OneDrive Sideload to Remcos https://blog.synapticsystems.de/uac-0184-tooling-evolution-onedrive-sideload-to-remcos/ Report completeness: High Actors/Campaigns: Uac-0184 Threats: Remcos_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
UAC-0184 эволюционировал, расширив свою цепочку кибератак за счёт перехода от легитимного программного обеспечения к Microsoft OneDrive для доставки ВПО. Последний метод включает распространение zip-архива с именем "spisokszch.zip", содержащего замаскированные ярлыки и рабочую книгу Excel, которая при выполнении запускает VBScript для загрузки Remcos Agent 7.1.0 Pro с помощью команд PowerShell. Эта многоэтапная атака использует такие техники, как Выполнение с участием пользователя, использование PowerShell и подгрузка DLL, что отражает сложную стратегию для поддержания скрытности и достижения удалённого доступа.
-----
В статье подчеркивается эволюция цепочки кибератак, приписываемой злоумышленнику UAC-0184, демонстрирующая переход от использования легитимного программного обеспечения (Plane9) к Microsoft OneDrive в качестве механизма доставки ВПО. Последняя итерация включает доставку zip-архива с именем "spisokszch.zip", который содержит несколько ярлыков, включая файлы .lnk, замаскированные под файлы изображений, и рабочую книгу Excel. При выполнении эти ярлыки запускают VBScript для скрытого запуска сценариев PowerShell, которые загружают другой архив, содержащий полностью настроенный Remcos Agent 7.1.0 Pro.
Пакет доставки хитро встраивает вредоносный полезный груз в компоненты, связанные с OneDrive, в частности, используя "ClusterHub.exe" в качестве хоста для подгрузки. Начальный архив представляется жертве с поддельными JPG-файлами и файлом Excel, в то время как README.txt инструктирует получателя на украинском языке извлечь и открыть файлы. VBScript организует загрузку, используя серию команд PowerShell, которые напрямую соединяют жертву с сервером управления (управление) (C2), идентифицированным как 144.31.236.240.
В статье делается вывод, что эта многоэтапная атака использует различные техники для обеспечения выполнения без привлечения подозрений. В частности, в арсенал техник входят запуск вредоносных файлов пользователями (T1204.002), использование PowerShell для выполнения (T1059.001) и подгрузка DLL (T1574.002). Сам полезный груз сложен по структуре и состоит из модульных компонентов архитектуры HijackLoader, которые постоянно доставляют инструмент удаленного доступа Remcos (RAT), предназначенный для подключения к той же инфраструктуре C2.
С точки зрения поведения вредоносного ПО, HijackLoader действует как загрузчик, который включает в себя несколько модулей для различных функций, в то время как Remcos Agent служит для обеспечения удаленного доступа для оператора. Эта новая цепочка заменяет предыдущие методики, продемонстрированные UAC-0184, отражая значительную эволюцию в их стратегии использования инструментов через внедрение доверенных программных компонентов для выполнения их злонамеренных намерений. В целом, атака демонстрирует, как эволюционирующие стратегии использования легитимного программного обеспечения могут повысить эффективность развертывания ВПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
UAC-0184 эволюционировал, расширив свою цепочку кибератак за счёт перехода от легитимного программного обеспечения к Microsoft OneDrive для доставки ВПО. Последний метод включает распространение zip-архива с именем "spisokszch.zip", содержащего замаскированные ярлыки и рабочую книгу Excel, которая при выполнении запускает VBScript для загрузки Remcos Agent 7.1.0 Pro с помощью команд PowerShell. Эта многоэтапная атака использует такие техники, как Выполнение с участием пользователя, использование PowerShell и подгрузка DLL, что отражает сложную стратегию для поддержания скрытности и достижения удалённого доступа.
-----
В статье подчеркивается эволюция цепочки кибератак, приписываемой злоумышленнику UAC-0184, демонстрирующая переход от использования легитимного программного обеспечения (Plane9) к Microsoft OneDrive в качестве механизма доставки ВПО. Последняя итерация включает доставку zip-архива с именем "spisokszch.zip", который содержит несколько ярлыков, включая файлы .lnk, замаскированные под файлы изображений, и рабочую книгу Excel. При выполнении эти ярлыки запускают VBScript для скрытого запуска сценариев PowerShell, которые загружают другой архив, содержащий полностью настроенный Remcos Agent 7.1.0 Pro.
Пакет доставки хитро встраивает вредоносный полезный груз в компоненты, связанные с OneDrive, в частности, используя "ClusterHub.exe" в качестве хоста для подгрузки. Начальный архив представляется жертве с поддельными JPG-файлами и файлом Excel, в то время как README.txt инструктирует получателя на украинском языке извлечь и открыть файлы. VBScript организует загрузку, используя серию команд PowerShell, которые напрямую соединяют жертву с сервером управления (управление) (C2), идентифицированным как 144.31.236.240.
В статье делается вывод, что эта многоэтапная атака использует различные техники для обеспечения выполнения без привлечения подозрений. В частности, в арсенал техник входят запуск вредоносных файлов пользователями (T1204.002), использование PowerShell для выполнения (T1059.001) и подгрузка DLL (T1574.002). Сам полезный груз сложен по структуре и состоит из модульных компонентов архитектуры HijackLoader, которые постоянно доставляют инструмент удаленного доступа Remcos (RAT), предназначенный для подключения к той же инфраструктуре C2.
С точки зрения поведения вредоносного ПО, HijackLoader действует как загрузчик, который включает в себя несколько модулей для различных функций, в то время как Remcos Agent служит для обеспечения удаленного доступа для оператора. Эта новая цепочка заменяет предыдущие методики, продемонстрированные UAC-0184, отражая значительную эволюцию в их стратегии использования инструментов через внедрение доверенных программных компонентов для выполнения их злонамеренных намерений. В целом, атака демонстрирует, как эволюционирующие стратегии использования легитимного программного обеспечения могут повысить эффективность развертывания ВПО.
#ParsedReport #CompletenessLow
26-06-2026
Miasma Mini Shai-Hulud Hits ImmobiliareLabs npm Packages
https://socket.dev/blog/miasma-mini-shai-hulud-hits-immobiliarelabs-npm-packages
Report completeness: Low
Actors/Campaigns:
Mini_shai-hulud
Threats:
Miasma
Supply_chain_technique
Phantom_gyp_technique
Dead_drop_technique
Hades
Victims:
Immobiliarelabs, Open source software maintainers, Backstage deployments
Geo:
Italian, Italy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1059.007, T1105, T1127, T1140, T1195.001, T1528, T1552.001, T1552.004, T1567.001, have more...
IOCs:
File: 4
Hash: 45
Soft:
Kubernetes, Docker, Dependabot, Slack, claude, vscode
Algorithms:
aes-128-gcm, sha256
Languages:
javascript
26-06-2026
Miasma Mini Shai-Hulud Hits ImmobiliareLabs npm Packages
https://socket.dev/blog/miasma-mini-shai-hulud-hits-immobiliarelabs-npm-packages
Report completeness: Low
Actors/Campaigns:
Mini_shai-hulud
Threats:
Miasma
Supply_chain_technique
Phantom_gyp_technique
Dead_drop_technique
Hades
Victims:
Immobiliarelabs, Open source software maintainers, Backstage deployments
Geo:
Italian, Italy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1059.007, T1105, T1127, T1140, T1195.001, T1528, T1552.001, T1552.004, T1567.001, have more...
IOCs:
File: 4
Hash: 45
Soft:
Kubernetes, Docker, Dependabot, Slack, claude, vscode
Algorithms:
aes-128-gcm, sha256
Languages:
javascript
Socket
Miasma Mini Shai-Hulud Hits ImmobiliareLabs npm Packages - S...
Miasma Mini Shai-Hulud hits @immobiliarelabs Backstage plugins, targeting GitLab and LDAP auth packages on npm.
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Miasma Mini Shai-Hulud Hits ImmobiliareLabs npm Packages https://socket.dev/blog/miasma-mini-shai-hulud-hits-immobiliarelabs-npm-packages Report completeness: Low Actors/Campaigns: Mini_shai-hulud Threats: Miasma…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Miasma Mini Shai-Hulud скомпрометировала пакеты npm в рамках области @immobiliarelabs, в частности нацеливаясь на плагины Backstage, связанные с GitLab, для развертывания вредоносного JavaScript. Она выполняет ВПО, способное красть учетные данные разработчиков и секреты CI/CD через обфусцированные структуры, используя техники для обхода проверки во время обзора пакетов. Кроме того, кампания эксплуатирует рабочие процессы GitHub Actions в корыстных целях, дополнительно расширяя вектор атаки в средах Цепочка поставок.
-----
Кампания по компрометации цепочки поставок Miasma Mini Shai-Hulud расширилась, недавно скомпрометировав пакеты npm в рамках области @immobiliarelabs, особенно связанные с плагинами Backstage, которые интегрируются с GitLab и поддерживают аутентификацию LDAP. Эта продолжающаяся кампания сосредоточена на эксплуатации доверенных сред разработчиков для публикации вредоносных версий пакетов, предназначенных для развертывания JavaScript ВПО, кражи учетных данных разработчиков и дальнейшего распространения в рабочих процессах CI/CD.
Недавняя активность показывает, что несколько версий пакета @immobiliarelabs/backstage-plugin-gitlab-backend стали целью во время всплеска публикации 26 июня 2026 года, при этом несколько исторических версий были переопубликованы для максимизации их воздействия на пользователей, которые могут полагаться на более старые версии пакета. Применяемый метод включает в себя вводящую в заблуждение структуру пакета; кажущийся безобидный нормальный входной файл скрывает вредоносный index.js на корневом уровне, который выполняет полезную нагрузку, способную расшифровывать и запускать дополнительные скрипты. Этот паттерн продолжает отражать тенденцию Miasma по сокрытию вредоносных путей выполнения внутри систем управления пакетами.
ВПО отлично справляется с эксфильтрацией широкого спектра конфиденциальных данных разработчиков и секретов CI/CD, включая токены API, SSH-ключи и учетные данные облачных сервисов. Оно использует новую технику выполнения, сочетающую Phantom Gyp и Bun, что позволяет обходить традиционные хуки preinstall или postinstall, обычно проверяемые при анализе пакетов. Это дает возможность запускать вредоносные скрипты в рамках легитимных процессов развертывания, особенно связанных с рабочими процессами GitHub Actions, которые могут быть изменены для запуска атак без необходимости прямых модификаций файлов рабочих процессов.
Кроме того, кампания включает скомпрометированный компонент GitHub Actions, происходящий из codfish/semantic-release-action, который был использован для внедрения вредоносных рабочих процессов, способных нанести ущерб проектам, полагающимся на изменяемые теги версий. Это расширяет ландшафт атак, позиционируя развертывания GitHub как средство для запуска выполнения рабочих процессов и потенциальный вектор кражи секретов.
Стратегия кампании Miasma также включает быстрое создание автоматизированных репозиториев GitHub для целей эксфильтрации, используя запутанные и рандомизированные соглашения об именовании для сокрытия вредоносной деятельности. В качестве меры предосторожности организациям рекомендуется выявить все среды разработки, которые могли включить затронутые пакеты, отозвать и ротировать все раскрытые секреты, а также тщательно проверить активность GitHub Actions в период компрометации. Внедрение строгих мер контроля, таких как привязка GitHub Actions к неизменяемым коммитным SHA и ограничение доступа к чувствительным рабочим процессам, может помочь снизить риск дальнейших заражений.
В заключение, Miasma Mini Shai-Hulud демонстрирует тревожную тенденцию в атаках на Цепочку поставок, которые используют кажущиеся безобидными инструменты разработчика для повышения уровня доступа и эксфильтрации критических данных. Командам по безопасности необходимо сохранять бдительность и проактивность в усилении защиты от таких сложных тактик.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Miasma Mini Shai-Hulud скомпрометировала пакеты npm в рамках области @immobiliarelabs, в частности нацеливаясь на плагины Backstage, связанные с GitLab, для развертывания вредоносного JavaScript. Она выполняет ВПО, способное красть учетные данные разработчиков и секреты CI/CD через обфусцированные структуры, используя техники для обхода проверки во время обзора пакетов. Кроме того, кампания эксплуатирует рабочие процессы GitHub Actions в корыстных целях, дополнительно расширяя вектор атаки в средах Цепочка поставок.
-----
Кампания по компрометации цепочки поставок Miasma Mini Shai-Hulud расширилась, недавно скомпрометировав пакеты npm в рамках области @immobiliarelabs, особенно связанные с плагинами Backstage, которые интегрируются с GitLab и поддерживают аутентификацию LDAP. Эта продолжающаяся кампания сосредоточена на эксплуатации доверенных сред разработчиков для публикации вредоносных версий пакетов, предназначенных для развертывания JavaScript ВПО, кражи учетных данных разработчиков и дальнейшего распространения в рабочих процессах CI/CD.
Недавняя активность показывает, что несколько версий пакета @immobiliarelabs/backstage-plugin-gitlab-backend стали целью во время всплеска публикации 26 июня 2026 года, при этом несколько исторических версий были переопубликованы для максимизации их воздействия на пользователей, которые могут полагаться на более старые версии пакета. Применяемый метод включает в себя вводящую в заблуждение структуру пакета; кажущийся безобидный нормальный входной файл скрывает вредоносный index.js на корневом уровне, который выполняет полезную нагрузку, способную расшифровывать и запускать дополнительные скрипты. Этот паттерн продолжает отражать тенденцию Miasma по сокрытию вредоносных путей выполнения внутри систем управления пакетами.
ВПО отлично справляется с эксфильтрацией широкого спектра конфиденциальных данных разработчиков и секретов CI/CD, включая токены API, SSH-ключи и учетные данные облачных сервисов. Оно использует новую технику выполнения, сочетающую Phantom Gyp и Bun, что позволяет обходить традиционные хуки preinstall или postinstall, обычно проверяемые при анализе пакетов. Это дает возможность запускать вредоносные скрипты в рамках легитимных процессов развертывания, особенно связанных с рабочими процессами GitHub Actions, которые могут быть изменены для запуска атак без необходимости прямых модификаций файлов рабочих процессов.
Кроме того, кампания включает скомпрометированный компонент GitHub Actions, происходящий из codfish/semantic-release-action, который был использован для внедрения вредоносных рабочих процессов, способных нанести ущерб проектам, полагающимся на изменяемые теги версий. Это расширяет ландшафт атак, позиционируя развертывания GitHub как средство для запуска выполнения рабочих процессов и потенциальный вектор кражи секретов.
Стратегия кампании Miasma также включает быстрое создание автоматизированных репозиториев GitHub для целей эксфильтрации, используя запутанные и рандомизированные соглашения об именовании для сокрытия вредоносной деятельности. В качестве меры предосторожности организациям рекомендуется выявить все среды разработки, которые могли включить затронутые пакеты, отозвать и ротировать все раскрытые секреты, а также тщательно проверить активность GitHub Actions в период компрометации. Внедрение строгих мер контроля, таких как привязка GitHub Actions к неизменяемым коммитным SHA и ограничение доступа к чувствительным рабочим процессам, может помочь снизить риск дальнейших заражений.
В заключение, Miasma Mini Shai-Hulud демонстрирует тревожную тенденцию в атаках на Цепочку поставок, которые используют кажущиеся безобидными инструменты разработчика для повышения уровня доступа и эксфильтрации критических данных. Командам по безопасности необходимо сохранять бдительность и проактивность в усилении защиты от таких сложных тактик.
#ParsedReport #CompletenessLow
26-06-2026
Multiple @immobiliarelabs Backstage Plugins Compromised on npm
https://www.stepsecurity.io/blog/immobiliarelabs-npm-packages-compromised
Report completeness: Low
Threats:
Miasma
Credential_harvesting_technique
Supply_chain_technique
Victims:
Software development, Platform engineering teams, Technology
Geo:
Italian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1003.007, T1027, T1059.007, T1070.004, T1105, T1140, T1195.001, T1528, T1546, T1552.001, have more...
IOCs:
File: 5
Coin: 1
Soft:
Active Directory, Node.js, Kubernetes, HashiCorp Vault, Bitwarden, 1Password, Claude, OpenAI, curl
Algorithms:
aes-128-gcm, sha512, zip
Languages:
javascript
Links:
26-06-2026
Multiple @immobiliarelabs Backstage Plugins Compromised on npm
https://www.stepsecurity.io/blog/immobiliarelabs-npm-packages-compromised
Report completeness: Low
Threats:
Miasma
Credential_harvesting_technique
Supply_chain_technique
Victims:
Software development, Platform engineering teams, Technology
Geo:
Italian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1003.007, T1027, T1059.007, T1070.004, T1105, T1140, T1195.001, T1528, T1546, T1552.001, have more...
IOCs:
File: 5
Coin: 1
Soft:
Active Directory, Node.js, Kubernetes, HashiCorp Vault, Bitwarden, 1Password, Claude, OpenAI, curl
Algorithms:
aes-128-gcm, sha512, zip
Languages:
javascript
Links:
https://github.com/immobiliare/backstage-plugin-gitlab/issues/1052www.stepsecurity.io
Multiple @immobiliarelabs Backstage Plugins Compromised on npm - StepSecurity
Compromised versions run a malicious payload at npm install time through a binding.gyp node-gyp hook, harvesting credentials from sources like GitHub Actions secrets, cloud provider keys, and package registry tokens, while trying to persist in AI coding assistant…