CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2026 An Analysis of ValleyRAT Infection Campaigns from Fake Installers, Japanese Malicious Emails https://www.levelblue.com/blogs/spiderlabs-blog/an-analysis-of-valleyrat-infection-campaigns-from-fake-installers-japanese…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ValleyRAT, Троянская программа удаленного доступа, связанная с хакерской группировкой SilverFox, использует поддельные установщики и вредоносные электронные письма в качестве основных векторов атаки, целенаправленно атакуя пользователей, говорящих на китайском и японском языках. ВПО выполняет полезную нагрузку без использования файлов в памяти, применяя при этом передовые техники уклонения, такие как внедрение кода в процессы и обфускация, для предотвращения обнаружения. Его активность отмечается с 2023 года, при этом известные случаи заражения связаны с транснациональными корпорациями и использованием зашифрованных полезной нагрузки, что усложняет анализ и усилия по реагированию.
-----

ValleyRAT — это Троянская программа (RAT), связанная с различными кампаниями кибератак с 2023 года.

Два основных вектора распространения ValleyRAT — это поддельные установщики и вредоносные электронные письма, нацеленные на пользователей, говорящих на китайском и японском языках, соответственно.

Фальшивые установщики доставляют загрузчик, который извлекает и выполняет ValleyRAT; значительная активность зафиксирована с 2025 года, затрагивающая многонациональные корпорации.

ВПО использует техники противодействия анализу, такие как внедрение вредоносного кода в легитимные процессы, и применяет метод внедрения кода в процессы Pool Party Variant 7.

Злоумышленнические кампании с использованием электронной почты, впервые зафиксированные в 2026 году, используют ZIP-архивы, содержащие исполняемый файл EXE, который запускает DLL для загрузки ValleyRAT.

Одно из примерных писем, связанных с кадровыми изменениями, было написано на традиционном китайском языке; японская версия использовала тот же вредоносный домен, что указывает на скоординированные атаки.

ValleyRAT работает без файлов, выполняя полезную нагрузку в памяти для избежания обнаружения и применяя различные тактики противодействия анализу, такие как проверка системной памяти и процессора.

Используемая DLL содержит техники обфускации, включающие мусор-код, затрудняющий обратную разработку, а полезная нагрузка шифруется с помощью RC4 с ключом, встроенным в код.

Механизмы обнаружения были разработаны на основе имён модулей из утечки исходного кода для выявления активности ValleyRAT.

Рекомендации по предотвращению заражений ValleyRAT включают обучение сотрудников, эффективные меры безопасности электронной почты и развертывание систем обнаружения и реагирования на конечных точках (EDR) для распознавания подгрузки DLL.

В случае заражения организациям следует анализировать журналы на наличие вредоносной активности и разрабатывать стратегии реагирования на инциденты, обеспечивающие сохранение состояний систем.

Необходимы непрерывный мониторинг и обновление стратегий обнаружения для противодействия эволюционирующим тактикам кампаний ValleyRAT.
#ParsedReport #CompletenessMedium
02-07-2026

Analysis of Ongoing Ousaban Attacks Targeting the Iberian Peninsula

https://www.fortinet.com/blog/threat-research/analysis-of-ongoing-ousaban-attacks-targeting-the-iberian-peninsula

Report completeness: Medium

Threats:
Ousaban
Dll_sideloading_technique
Process_injection_technique
Metamorfo
Clipboard_injection_technique
Clickfix_technique

Victims:
Banking users, Banking sector, Iberian peninsula

Industry:
Financial

Geo:
Portugal, Brazil, Spanish, Latin american, Spain

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1027.016, T1036, T1056.001, T1059.005, T1059.007, T1070.004, T1102.001, T1105, have more...

IOCs:
Hash: 20
File: 1
Domain: 5
IP: 4

Soft:
Pastebin

Algorithms:
xor, md5, zip

Languages:
rust, javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2026 Analysis of Ongoing Ousaban Attacks Targeting the Iberian Peninsula https://www.fortinet.com/blog/threat-research/analysis-of-ongoing-ousaban-attacks-targeting-the-iberian-peninsula Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года была зафиксирована киберкампания, направленная против пользователей банков в Испании и Португалии, в которой участвовал банковский троян Ousaban, впервые обнаруженный в Бразилии. Атака инициируется через фишинговый PDF-файл, который перенаправляет жертв на вредоносную веб-страницу, где загружается VBS-скрипт, что в конечном итоге приводит к установке полезной нагрузки Ousaban, отслеживающей учетные данные банков. Вредоносное ПО использует динамическую генерацию доменов для связи с C2 и применяет такие техники, как DLL side-loading, Внедрение кода в процессы и проверки окружения, чтобы избежать обнаружения.
-----

В мае 2026 года лаборатория FortiGuard Labs сообщила о киберкампании, нацеленной на банковских пользователей в Испании и Португалии, с использованием банковского трояна Ousaban. Изначально обнаруженный в Бразилии, этот атака распространяется через загрузчик MSI, который выполняет вредоносную нагрузку, состоящую из файла DLL, посредством подгрузки DLL или Внедрение кода в процессы. Атака начинается с фишинг PDF-файла, предназначенного для того, чтобы заманить жертв на вредоносную веб-страницу, которая выполняет проверку геолокации, чтобы определить, находится ли пользователь в целевых странах. Если это подтверждается, веб-страница затем загружает файл VBS, который облегчает следующие этапы установки ВПО.

Фишинговый PDF-файл маскируется под повреждённый файл и предлагает пользователю обманчивое сообщение для его обновления. Этот PDF-файл содержит JavaScript для сокрытия своих целей и дополнительно перенаправляет жертв на вредоносную страницу. Веб-страница, выглядящая как легитимный ресурс для налоговых документов, применяет строгие средства контроля доступа, включая проверку IP-адресов для блокировки пользователей из Испании и Португалии, а также специальные меры для запрета подключений через VPN.

После прохождения серверных проверок загружается VBS-скрипт, который выглядит безобидно, но в конечном итоге извлекает стеганографическое изображение, замаскированное под иконку PDF, содержащее полезную нагрузку Ousaban, упакованную в ZIP-архив. После выполнения временные файлы немедленно удаляются для снижения следов криминалистический анализ. Сама полезная нагрузка Ousaban записывает запись в реестре для закрепление и расшифровывает учетные данные, связанные с банками, для мониторинга доступа пользователей к определенным банковским сервисам. Эти учетные данные зашифрованы с использованием метода, характерного для латиноамериканских банковских троянов.

Для связи с центром управления (C2) вредоносное ПО Ousaban разрешает доменные имена, которые ежедневно меняются. Оно достигает этого, извлекая текущую дату со страницы Google и генерируя MD5-хэш, используемый для формирования доменного имени, которое указывает на сервер, управляемый через DDNS. Хотя изначально вредоносное ПО ссылается на поддельную запись в Pastebin, чтобы скрыть свой настоящий механизм C2, его фактический командный трафик зашифрован с использованием давно существующего алгоритма.

Получаемые команды включают действия по захвату скриншотов, регистрации нажатий клавиш, манипулированию буфером обмена и симуляции активности пользователя для усиления обмана жертв. Атакующие используют два основных вектора для начального заражения: один предполагает метод ClickFix для обмана жертв с целью выполнения вредоносного кода через VBS, а другой перенаправляет их от PDF-файла на фишинговую веб-страницу, размещающую установщик MSI.

Эта продолжающаяся кампания демонстрирует искусность злоумышленника в эволюции методов доставки ВПО, применяя геофенсинг и проверку окружения для ограничения охвата и повышения уклонения от механизмов обнаружения. По мере развития угроз будут необходимы непрерывный мониторинг и защитные меры для противодействия тактикам Ousaban.
#ParsedReport #CompletenessHigh
02-07-2026

MacSync Stealer: How a Google Ad Turned Install Claude Code into Full Mac Compromise

https://beelzebub.ai/blog/macsync-stealer-fake-claude-code-google-ads/

Report completeness: High

Threats:
Macc_stealer
Clickfix_technique
Installfix_technique
Credential_harvesting_technique

Victims:
Software development, Cryptocurrency

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1027.010, T1036, T1041, T1056.002, T1059.002, T1059.004, T1070.004, T1071.001, have more...

IOCs:
File: 9
Hash: 4

Soft:
Claude, macOS, ger Live and, Electron, Chrome, Anthropic, Ledger Live, Chromium, OS Keyc, Claude macOS, have more...

Wallets:
ledger_wallet, trezor, metamask, coinbase, rabby, bybit, electrum, coinomi, wassabi, bitcoincore, have more...

Crypto:
binance, monero, dogecoin

Algorithms:
base64, zip, sha256, gzip

Functions:
setTimeout

Win API:
Arc, decompress

Languages:
javascript, applescript

Platforms:
apple, arm

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 MacSync Stealer: How a Google Ad Turned Install Claude Code into Full Mac Compromise https://beelzebub.ai/blog/macsync-stealer-fake-claude-code-google-ads/ Report completeness: High Threats: Macc_stealer Clickfix_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MacSync Stealer, классифицируемый как claude1, — это ВПО, нацеленное на разработчиков macOS, использующее многоступенчатый загрузчик, который доставляет payload osascript для сбора конфиденциальных данных. Оно использует поддельный диалог Системных настроек для получения учетных данных входа в Mac, что обеспечивает доступ к Связке ключей. Кроме того, ВПО заменяет файлы app.asar в легитимных приложениях, таких как Ledger Live, внедряя код для незаконного захвата фраз восстановления и эксфильтрации данных в сжатых ZIP-файлах через незашифрованный HTTP.
-----

MacSync Stealer, идентифицированный с тегом сборки claude1, — это ВПО, появившееся в результате рекламной кампании Google, имитирующей CLI Claude Code, и нацеленное на разработчиков macOS. Механизм доставки ВПО включает многоступенчатый дроппер, который сначала загружает payload osascript, предназначенный для сбора широкого спектра конфиденциальных данных с скомпрометированных машин. Начальный этап атаки включает тройной закодированный дроппер, который выполняет команды в терминале пользователя, запрашивая ввод его административного пароля. Затем он собирает учетные данные из различных источников: профилей браузеров, расширений криптокошельков, ключей macOS, паролей iCloud, SSH-ключей и учетных данных AWS.

Вредоносный код osascript отличается особой изощренностью: он использует поддельный диалог «Системные настройки» для запроса у пользователей пароля входа в Mac. Получив этот пароль, злоумышленники могут разблокировать Связку ключей Mac и извлечь хранящиеся там конфиденциальные учетные данные. Даже если пользователи попытаются отказать в дополнительных разрешениях во время работы вредоносного ПО, их исходные учетные данные уже будут захвачены, что сделает попытки блокировки доступа неэффективными.

Это ВПО также включает второй этап, который заменяет файл app.asar в легитимных приложениях, таких как Ledger Live и Ledger Wallet. Внедрённый код, отмеченный отличительным русским комментарием, перенаправляет пользователей на поддельный процесс восстановления, предназначенный для кражи их фраз восстановления. Примечательно, что он спроектирован для обеспечения устойчивости; замена оригинального app.asar означает, что каждый будущий запуск этих приложений будет выполнять код злоумышленника, продолжая процесс эксфильтрации данных.

Извлечение данных выполняется порциями, при этом вредоносное ПО захватывает большой объем пользовательских данных, сжимает их в ZIP-файл для эксфильтрации по незашифрованному HTTP. Однако этот подход несет риск, поскольку ZIP-файл требует, чтобы все порции были целыми для успешной эксфильтрации, и любое прерывание может привести к потере данных.

Анализ данного ВПО, проведенный Caronte, подчеркивает эффективность автоматизированных платформ разведки угроз в построении реконструкций цепочек атак, указывая на тенденцию, при которой злоумышленники все чаще развертывают передовые техники и операции на основе искусственного интеллекта для оптимизации своих кампаний. Специфическая нацеленность на разработчиков и изощренность их механизмов заманивания подчеркивают изменяющийся ландшафт угроз кибербезопасности.
#ParsedReport #CompletenessHigh
02-07-2026

PamStealer: a Rust-based macOS infostealer that validates credentials through PAM

https://www.jamf.com/blog/pamstealer-macos-infostealer-applescript-rust/

Report completeness: High

Threats:
Pamstealer
Homoglyph_technique

Victims:
Information technology, Cryptocurrency, Macos users

Industry:
Financial

Geo:
Belarusian, Russian, Moscow, Minsk, Asia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.007, T1036, T1056.002, T1059.002, T1059.007, T1105, T1115, T1140, T1204.002, have more...

IOCs:
Domain: 3
File: 7
Url: 13
Coin: 1
Hash: 11

Soft:
macOS, curl, Gatekeeper

Crypto:
ethereum

Algorithms:
sha256, chacha20-poly1305

Functions:
chmod

Languages:
objective_c, rust, swift, javascript, applescript

Platforms:
intel, apple, arm
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 PamStealer: a Rust-based macOS infostealer that validates credentials through PAM https://www.jamf.com/blog/pamstealer-macos-infostealer-applescript-rust/ Report completeness: High Threats: Pamstealer Homoglyph_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PamStealer — это macOS стиллер, замаскированный под менеджер буфера обмена Maccy, использующий двухэтапную атаку для сбора конфиденциальной информации. На первом этапе он применяет вредоносный AppleScript для загрузки Payload на базе Rust, избегая обнаружения с помощью техник антианализа и проверок окружения. Второй этап обеспечивает кражу содержимого буфера обмена и сбор учетных данных через PAM API, осуществляет связь с C2-концом с использованием зашифрованных HTTP-запросов и пытается обеспечить закрепление и более широкий доступ посредством тактик социальной инженерии.
-----

PamStealer — это сложный macOS стиллер, выявленный командой Jamf Threat Labs, маскирующийся под легитимный менеджер буфера обмена Maccy. Данное ВПО использует двухэтапный процесс атаки для скрытого сбора конфиденциальной информации, в частности, путем проверки учетных данных через Подключаемые модули аутентификации (PAM) macOS.

Начальный метод доставки включает скомпилированный AppleScript под названием Maccy.scpt, распространяемый в дисковом образе, который маскируется под легитимное приложение Maccy. Этот AppleScript служит дроппером, который выполняет самодостаточный загрузчик на языке JavaScript for Automation (JXA), используя нативные API macOS для загрузки фактического полезного груза на базе Rust без вызова типичных утилит командной строки, тем самым снижая риски обнаружения. Дроппер также использует сложные техники противодействия анализу, проверки окружения и региональные исключения, чтобы избежать выполнения в песочницах или нежелательных регионах, повышая свою скрытность.

После запуска дроппер выводит ключ на основе атрибутов хоста, который используется для разблокировки зашифрованной конфигурации, содержащей URL второго этапа. Вредоносная нагрузка маскируется внутри пакета приложения, имитирующего подлинные компоненты macOS, и запускается в фоновом режиме. Перед запуском дроппер выполняет несколько проверок на антиотладку и подписывает пакет ad-hoc подписью, что дополнительно способствует уклонению от обнаружения.

Второй этап представляет собой Mach-O-файл, написанный на Rust, который реализует различные функции, включая кражу данных из буфера обмена с помощью утилиты pbpaste, сбор учётных данных через обманчивый диалог ввода пароля, стилизованный под системный диалог, и эксфильтрацию конфиденциальных данных. Этот infostealer проверяет пароли напрямую через API PAM, что позволяет ему перехватывать их без создания лишних процессов — тем самым минимизируя возможности для обнаружения.

Для закрепления PamStealer регистрирует себя несколькими способами, включая создание объектов входа через современные и устаревшие API macOS. Кроме того, он пытается получить более широкий доступ, подделывая системные предупреждения, чтобы склонить пользователей к предоставлению полного доступа к диску. Эта тактика социальной инженерии включает отображение поддельных системных диалогов, которые ложно указывают на необходимость разрешений.

PamStealer также включает взаимодействие с узлом управления (управление), используя зашифрованные исходящие HTTP-запросы для эксфильтрации данных. Трафик упаковывается в JSON-обертку и шифруется с помощью ChaCha20-Poly1305, что добавляет еще один уровень защиты от сбоев. Среди конфигурационной информации, полученной из взаимодействий с узлом управления, находятся публичные конечные точки Ethereum JSON-RPC, что указывает на потенциально более широкий интерес к целевым данным криптовалюты.
#ParsedReport #CompletenessLow
30-06-2026

CTI Report: Ninite Pro Remote Agent Leveraged for Persistence

https://barricadecyber.com/cti-report-ninite-pro-remote-agent-leveraged-for-persistence/

Report completeness: Low

Threats:
Typosquatting_technique
Teamviewer_tool
Anydesk_tool
Atera_tool
Screenconnect_tool
Spear-phishing_technique

Victims:
Microsoft windows environments

TTPs:
Tactics: 4
Technics: 5

IOCs:
File: 5
Hash: 6

Soft:
Ninite, Windows Installer, Windows service, Azure AD

Algorithms:
md5, sha256

Win Services:
TeamViewer_Service

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 CTI Report: Ninite Pro Remote Agent Leveraged for Persistence https://barricadecyber.com/cti-report-ninite-pro-remote-agent-leveraged-for-persistence/ Report completeness: Low Threats: Typosquatting_technique Teamviewer_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя операция использует легитимный URL-адрес Microsoft для доставки вредоносного пакета установщика Windows (MSI), который устанавливает агент Ninite Pro Remote на скомпрометированных системах, работая под привилегиями SYSTEM. Этот агент подключает устройство к учетной записи Ninite, контролируемой злоумышленником, обеспечивая удаленное управление. Злоумышленники затем устанавливают TeamViewer и AnyDesk для обеспечения постоянного доступа, используя доверие, связанное с легитимными конечными точками OAuth, для обхода общих мер безопасности.
-----

В недавнем отчете исследовательской команды Barricade Cyber была раскрыта сложная вредоносная операция, использующая легитимный URL-адрес Microsoft для доставки вредоносного пакета установщика Windows (MSI). Применяемая техника включает использование подлинной ссылки для входа в систему Microsoft (login.microsoftonline.com) в качестве открытого перенаправления, которое направляет жертв на загрузку вредоносного MSI-файла, устанавливающего агент Ninite Pro Remote. После установки в качестве службы SYSTEM этот агент подключает скомпрометированную машину к учетной записи Ninite, контролируемой злоумышленником, обеспечивая постоянные возможности удаленного управления и выполнения команд. После этой установки злоумышленники также развертывают TeamViewer и AnyDesk, два хорошо известных ПО для удаленного доступа, чтобы обеспечить избыточный и бесперебойный доступ.

Ключевым аспектом этой атаки является использование легитимного конечного пункта OAuth от Microsoft, что позволяет злоумышленникам обходить стандартные средства защиты. Поскольку MSI-файл доставляется через сертифицированный домен Microsoft, традиционные меры безопасности, такие как почтовые фильтры и проверка URL, не способны обнаружить вредоносное поведение. Фишинговая активность в основном характеризуется misuse OAuth, при котором URL выглядит чистым и доверяется фильтрами внутри сети жертвы, что позволяет доставлять ВПО через предварительно зарегистрированный URI перенаправления.

После запуска MSI-файла используется пользовательская DLL для установки агента Ninite, который работает с привилегиями SYSTEM и автоматически регистрирует затронутое устройство в консоли управления злоумышленников. Это обеспечивает оператору закрепление на зараженной машине и возможность удаленного выполнения команд. Последующая установка TeamViewer и AnyDesk дополнительно усложняет меры защиты, так как создает несколько путей для поддержания доступа злоумышленниками.

Для обнаружения и устранения последствий атаки рекомендуется, чтобы специалисты по безопасности отслеживали конкретные признаки этой атаки. Это включает в себя поиск случаев запуска msiexec.exe программы Ninite.exe, наличие NiniteAgent.exe в качестве службы Windows, а также любые исходящие подключения к доменам Ninite с неподтвержденных машин. Кроме того, появление TeamViewer и AnyDesk вскоре после установки агента Ninite должно стать поводом для дальнейшего расследования, при этом несанкционированные инструменты удаленного управления следует рассматривать как инциденты. Организации должны поддерживать строгие списки разрешенных программ для удаленного управления, чтобы эффективно противодействовать таким угрозам. В целом, этот инцидент подчеркивает эволюцию техник, которые злоумышленники используют для эксплуатации легитимной инфраструктуры в злонамеренных целях, что требует применения продвинутых стратегий обнаружения на сетевом и конечных точках.
#ParsedReport #CompletenessMedium
02-07-2026

Lazarus-Linked npm Malware Masquerades as Rollup Polyfills

https://research.jfrog.com/post/rollup-polyfill-masquerading/

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: information_theft)

Victims:
Software developers, Javascript build ecosystem, Npm users

Geo:
North korean

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1027, T1033, T1036, T1036.005, T1047, T1059, T1059.001, T1059.004, have more...

IOCs:
File: 12
Url: 8
Hash: 1
BrowserExtension: 3
Command: 2
IP: 1

Soft:
Polyfills, polyfill, Node.js polyfill, DOCKER, macOS, Linux, virtualbox, qemu, Chrome, Opera, have more...

Wallets:
metamask

Algorithms:
aes-256-cbc, base64, aes

Functions:
getPlugin, Get-CimInstance, Get-Clipboard

Languages:
javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2026 Lazarus-Linked npm Malware Masquerades as Rollup Polyfills https://research.jfrog.com/post/rollup-polyfill-masquerading/ Report completeness: Medium Actors/Campaigns: Lazarus (motivation: information_theft)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей безопасности JFrog выявила вредоносные пакеты npm, связанные с группировкой Lazarus Group, которые имитируют легитимные полифиллы Rollup. Эти пакеты, такие как `rollup-packages-polyfill-core`, содержат скрытую логику, активируемую при импорте, что раскрывает загрузчик для дополнительных скриптов. Вредоносное ПО включает компонент удаленного доступа для глубокого профилирования хоста, выполнения команд и кражи конфиденциальных данных, в частности информации из браузеров и криптовалютных кошельков на различных операционных системах.
-----

Команда исследователей безопасности JFrog недавно раскрыла кластер вредоносных пакетов npm, связанных с северокорейским злоумышленником Lazarus Group, предназначенных для маскировки под легитимные полифиллы Rollup. В частности, пакеты с именами `rollup-packages-polyfill-core` и `rollup-runtime-polyfill-core` тесно имитируют легитимный `rollup-plugin-polyfill-node`, который является хорошо зарекомендовавшим себя пакетом в экосистеме сборки JavaScript и испытывает значительную активность загрузок.

Эти вредоносные пакеты используют соглашение об именовании и метаданные репозитория, которые тесно соответствуют легитимному аналогу, что делает их правдоподобными при быстром обзоре зависимостей. Хотя некоторые связанные пакеты, такие как `rollup-plugin-polyfill-connect`, были помечены версиями с удержанием безопасности, несколько других вредоносных пакетов остаются активными и могут представлять значительный риск для пользователей.

Обманные тактики, применяемые в этих пакетах, включают скрытую логику внутри того, что выглядит как стандартный код плагина Rollup. Эта скрытая логика активируется через процедуру установки во время импорта, которая использует невинные имена для маскировки своего истинного намерения. Примечательно, что в вредоносном пакете `rollup-packages-polyfill-core` компонент под названием JSONKeeper содержит зашифрованный JavaScript-пакет, который после расшифровки раскрывает загрузчик для нескольких дополнительных скриптов.

Обнаруженный компонент удалённого доступа вызывает особую обеспокоенность, предоставляя широкие возможности для профилирования хоста, включая идентификацию операционной системы, проверку системных ресурсов и возможность выполнения команд скрытно. Этот функционал включает создание интерактивных терминальных сессий и обеспечение SSH-соединений, а также способность захватывать скриншоты и имитировать движения мыши и нажатия клавиш.

Кроме того, вредоносное ПО оснащено полезной нагрузкой, которая нацелена на конфиденциальные данные профилей браузеров и информацию кошельков криптовалют, сканируя общие директории браузеров на нескольких операционных системах. Оно рекурсивно ищет секреты в пользовательских директориях, исключая обычно игнорируемые места, что раскрывает сложный механизм сбора, который конкретно сосредоточен на получении ценной информации без вызова подозрений.

С точки зрения общего риска, эти вредоносные пакеты выходят за рамки простого сбора данных, внедряясь в пользовательские среды и получая полный контроль над системами. Они не только крадут конфиденциальную информацию, но и облегчают дальнейшую эксплуатацию через возможности управления, включая выполнение команд и мониторинг содержимого буфера обмена.

Для снижения рисков пользователям, которые могли установить любой из этих вредоносных пакетов, рекомендуется предпринять немедленные действия. Обманчивая природа этой кампании заключается в её многоуровневом подходе: на каждом уровне она выглядит безобидно, но после полного выполнения приводит к значительной вредоносной активности. Обнаружение этих вредоносных пакетов возможно с помощью таких инструментов, как JFrog Xray и JFrog Curation, что подчеркивает необходимость бдительности в управлении программными пакетами.