#ParsedReport #CompletenessMedium
20-03-2026

Trivy Compromised a Second Time - Malicious v0.69.4 Release, aquasecurity/setup-trivy, aquasecurity/trivy-action GitHub Actions Compromised

https://www.stepsecurity.io/blog/trivy-compromised-a-second-time---malicious-v0-69-4-release

Report completeness: Medium

Actors/Campaigns:
Teampcp
Trivy_compromise

Threats:
Hackerbot-claw_tool
Typosquatting_technique

Victims:
Open source projects, Ci cd pipelines, Software development

Industry:
E-commerce

Geo:
Pacific

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1036, T1041, T1059.006, T1071.001, T1078, T1140, T1195.001, T1485, have more...

IOCs:
File: 2
Domain: 1
IP: 1

Soft:
VSCode, Open VSX, Linux, Docker, curl

Crypto:
solana, bitcoin, ethereum, cardano

Algorithms:
base64, aes-256-cbc, rsa-4096, sha256

Functions:
DeleteEvent, CreateEvent

Languages:
python

Links:
https://github.com/aquasecurity/setup-trivy/commit/8afa9b9f9183b4e00c46e2b82d34047e3c177bd0
have more...
https://github.com/Homebrew/homebrew-core/pull/273304

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 марта 2026 года сканер уязвимостей Trivy с открытым исходным кодом был подвергнут компрометации после более раннего взлома, в результате которого был использован рабочий процесс GitHub для кражи личного токена доступа. Вредоносная версия v0.69.4 включала код, который подключался к домену управления с опечатками (C2), облегчая эксфильтрацию многочисленных учетных данных. Расследование выявило изменения в действиях GitHub, с обширными механизмами кражи данных, включенными в конфигурационный файл, и были обнаружены исходящие подключения к домену C2 из затронутых проектов.
-----

19 марта 2026 года сканер уязвимостей Trivy с открытым исходным кодом, поддерживаемый Aqua Security, подвергся второму нарушению безопасности, ознаменовавшемуся выпуском версии с компрометацией (v0.69.4). Этот инцидент последовал за предыдущим захватом 28 февраля, когда автономный бот использовал рабочий процесс GitHub для кражи личного токена доступа, что привело к таким действиям, как приватизация хранилища и отправка вредоносного артефакта на рынок. Компрометация версии 0.69.4 содержала вредоносный код, который подключался к домену управления с опечатками (C2), предназначенному для эксфильтрации данных.

Расследование выявило значительные изменения в действии aquasecurity/setup-trivy на GitHub. Была обнаружена вредоносная фиксация, содержащая обширный механизм credential stealing в файле конфигурации. Это включало функциональность, которая собирала переменные среды, память из GitHub Actions Runner и различные учетные данные из системы, включая SSH, AWS, Azure, GCP, конфигурации Docker и многое другое. Украденные данные были зашифрованы с использованием RSA-4096 и отправлены в указанный злоумышленником домен C2. В запасном сценарии, если первичное соединение C2 не удалось, похититель загрузил бы информацию в общедоступный репозиторий GitHub, созданный в учетной записи жертвы.

Чтобы усложнить ситуацию, были удалены все теги версии, кроме одного, для действия по настройке компрометации-trivy, что указывает на потенциальную попытку злоумышленника помешать обнаружению и реагированию. Кроме того, учетные записи спам-ботов проникли в обсуждения, касающиеся инцидента, что наводит на мысль о скоординированных усилиях по пресечению обсуждений по борьбе с ущербом.

Инструмент StepSecurity Harden-Runner обнаружил исходящие сообщения из нескольких проектов, использующих действия compromised Trivy, подключающиеся к домену C2. Этому обнаружению способствовал мониторинг сетевых событий, связанных с вредоносными запусками, и документирование подозрительного поведения, связанного с украденным кодом, такого как необычные запросы, отправленные в домен C2, и несанкционированное чтение памяти из Runner.Рабочий процесс.

Чтобы устранить последствия, организациям рекомендуется просканировать свои рабочие процессы на предмет действий по компрометации, изменить все доступные учетные данные и пересмотреть свои интеграции, чтобы убедиться, что никакие дополнительные уязвимости не остались без внимания. Пользователи, использующие двоичные файлы Trivy напрямую, должны проверить журналы на наличие подключений к домену C2, чтобы убедиться, что дальнейшего воздействия не произойдет. Инцидент служит предостерегающим напоминанием о необходимости применения методов безопасного кодирования и регулярного пересмотра разрешений и интеграций в средах CI/CD.

#ParsedReport #CompletenessMedium
20-03-2026

RegPhantom Backdoor Threat Analysis

https://www.nextron-systems.com/2026/03/20/regphantom-backdoor-threat-analysis/

Report completeness: Medium

Threats:
Regphantom
Procmon_tool

Industry:
Software_development

Geo:
Singapore, China, Chinese, Usa, Japan, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027.007, T1027.016, T1112, T1140, T1553.002, T1564, T1620

IOCs:
Hash: 32
File: 3

Soft:
Windows kernel, Windows registry

Algorithms:
exhibit, sha256, xor

Win API:
CmRegisterCallback, PsLoadedModuleList, PsSetCreateThreadNotifyRoutine, CmUnRegisterCallback, RtlFindExportedRoutineByName

YARA: Found

Links:
have more...
https://gist.github.com/pierrehpezier/a37984b91c2054032e856faf2700d278
https://gist.github.com/pierrehpezier/35c90c38b2c579d612d5970b04702df8

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, dump: 1, schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RegPhantom - это сложный руткит ядра Windows, который использует реестр Windows для создания конвейеров выполнения от пользовательского режима к ядру, позволяя выполнять произвольный код в режиме ядра с помощью команд, зашифрованных XOR. Вредоносное ПО использует обфускацию Control Flow Guard для расширенного обхода, усложняя анализ bloated графиками потока управления и методами косвенного обхода. Активный в период с июня по август 2025 года, он, по-видимому, поддерживается злоумышленником, вероятно, из Китая, использующим действительные кодовые подписи и демонстрирующим хорошо организованную операционную структуру.
-----

RegPhantom идентифицируется как сложный руткит ядра Windows, который устанавливает скрытые конвейеры выполнения от пользовательского режима к ядру, используя реестр Windows. Это вредоносное ПО позволяет злоумышленникам выполнять произвольный код в режиме ядра, отправляя зашифрованные XOR команды через запись в реестре, которую вредоносный драйвер перехватывает и обрабатывает. В его конструкции приоритет отдается скрытности и минимальной видимости, что позволяет ему выполнять код с более высокими уровнями привилегий, маскируя свою активность в рамках обычных системных операций.

Технический анализ показывает, что RegPhantom был активен с несколькими образцами, выявленными в период с июня по август 2025 года, что указывает на продолжающуюся разработку и обслуживание злоумышленником, вероятно, базирующимся в Китае. Анализ показывает, что несколько образцов подписаны действительными кодами уважаемых китайских компаний, что повышает вероятность принадлежности к China-nexus. Их характеристики совместного использования кода и согласованный график разработки указывают на хорошо организованную и постоянную угрозу.

В RegPhantom уникальным образом используется обфускация Control Flow Guard (CFG), усложняющая как статические, так и динамические методы анализа. График потока управления вредоносного ПО bloated с непрозрачными предикатами и дублирующимися блоками, препятствующий разрешению путей к коду во время обратного проектирования. Вызовы функций дополнительно запутываются с помощью вычисляемого метода косвенного обращения, что затрудняет способность дизассемблеров отслеживать API и внутренние вызовы.

Во время технической оценки анализ успешно восстановил драйвер ядра, но не обнаружил исходный пользовательский исполняемый файл или последующий модуль ядра, предназначенный для загрузки. Однако исследователи создали триггер для проверки концепции, который демонстрирует, как непривилегированный пользовательский процесс может использовать взаимодействие с реестром для загрузки произвольных модулей в пространство ядра. Вредоносное ПО использует связь с реестром таким образом, что средства мониторинга воспринимают это как недопустимый доступ, таким образом избегая обнаружения.

Обнаружение RegPhantom требует сосредоточения внимания на самом двоичном коде драйвера, а не на типичных артефактах криминалистического анализа, поскольку он намеренно избегает оставлять какие-либо следы в обычных местах расположения артефактов, таких как реестр. Отсутствие постоянных артефактов и удаление загруженного кода из памяти после выполнения еще больше усложняют усилия по обнаружению. Следовательно, идентификация уникальных шаблонов байтов драйвера с помощью таких правил, как анализ YARA, имеет решающее значение для выявления присутствия RegPhantom.

#ParsedReport #CompletenessLow
20-03-2026

Libyan Oil Refinery Among Targets in Long-running Likely Espionage Campaign

https://www.security.com/threat-intelligence/asyncrat-libya-oil-cyberattack

Report completeness: Low

Actors/Campaigns:
Muddywater

Threats:
Asyncrat
Spear-phishing_technique

Victims:
Oil refinery, Telecommunications organization, State institution, Libyan organizations

Industry:
Financial, Telco, Aerospace, Energy, Petroleum

Geo:
Israeli, Libyan, Iran, Middle east, Libya, Iranian

ChatGPT TTPs:
do not use without manual check
T1036.008, T1053.005, T1056.001, T1059.005, T1105, T1113

IOCs:
File: 16
Url: 1
Command: 3
Hash: 27

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибератаки, направленные против ливийских организаций, включая нефтеперерабатывающий завод и телекоммуникационного провайдера, связаны с спонсируемой государством шпионской кампанией с использованием бэкдора AsyncRAT. Атака началась с Целевого фишинга электронных писем, которые содержали приманки, связанные с местными политическими деятелями, что привело к развертыванию дроппера PowerShell и бэкдора, облегчающего длительный доступ к затронутым сетям. Эта кампания отражает более широкую тенденцию использования геополитической нестабильности для киберопераций, подчеркивая необходимость бдительности в энергетическом секторе.
-----

Недавние кибератаки, направленные против ливийских организаций, включая нефтеперерабатывающий завод, телекоммуникационного провайдера и государственное учреждение, свидетельствуют о продолжительной и, вероятно, спонсируемой государством шпионской кампании. В ходе этих атак, произошедших в период с ноября 2025 по февраль 2026 года, был задействован бэкдор AsyncRAT, общедоступная Троянская программа для удаленного доступа, известная своим использованием в шпионских сценариях благодаря возможности регистрации нажатий клавиш, захвата экрана и удаленного выполнения команд.

Начальная фаза этой цепочки атак, вероятно, включала в себя Целевой фишинг электронных писем, предназначенных для того, чтобы заманить получателей поддельными документами, связанными с местными делами, в частности, ссылками на Саифа аль-Каддафи, сына бывшего ливийского лидера Муаммара Каддафи. Одна заметная приманка была озаглавлена "Утечка видеозаписи с камер видеонаблюдения - Саиф аль-Каддафи assassination.gz ." Злоумышленники использовали загрузчик VBS с именем файла, соответствующим цели, для получения дроппера PowerShell из облачной службы обмена файлами, что в конечном итоге облегчило развертывание бэкдора AsyncRAT.

Доказательства указывают на то, что злоумышленники сохраняли длительный доступ к целевым сетям, впервые проникнув в них в ноябре 2025 года и продолжая свои операции в течение нескольких месяцев, что подтверждает наличие постоянной угрозы. Закрепление угрозы, переплетающейся с геополитическим климатом, особенно с потрясениями, возникающими в результате конфликтов в регионе Персидского залива, подчеркивает более широкую тенденцию использования нестабильности в странах для проведения киберопераций.

Эта кампания освещает не только техническое исполнение и используемые векторы, включая Целевой фишинг и использование поддельных документов, но и последствия для организаций в энергетическом секторе и за его пределами. Организации, работающие в сфере нефтедобычи или связанные с ней, должны сохранять бдительность в отношении потенциальных нападений в этот неспокойный период. Кроме того, адаптивность хакерских группировок, которые могут быстро реагировать на текущие события для проведения убедительных кампаний по фишингу, требует повышения осведомленности различных секторов о меняющемся ландшафте угроз. Глобальные экономические последствия и стратегические интересы, связанные с нефтяными и энергетическими сетями, делают это насущной проблемой для специалистов по Кибербезопасности.

#ParsedReport #CompletenessMedium
20-03-2026

Tycoon2FA Phishing-as-a-Service Platform Persists Following Takedown

https://www.crowdstrike.com/en-us/blog/tycoon2fa-phishing-as-a-service-platform-persists-following-takedown/

Report completeness: Medium

Threats:
Tycoon_2fa
Aitm_technique
Raccoono365_tool
Bec_technique
Salty_2fa_tool
Credential_harvesting_technique

Victims:
Personal users, Enterprise users, Email accounts, Cloud environments

Industry:
Telco

Geo:
Romania, United kingdom, Latvia, Lithuania, Spain, Portugal, Poland

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1078.004, T1539, T1557, T1564.008, T1566.002, T1583.001, T1583.006, T1584.001, have more...

IOCs:
Domain: 10

Soft:
Microsoft Exchange, Outlook

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа Tycoon2FA для фишинга как услуги, работа которой была приостановлена в 2023 году по инициативе правоохранительных органов, была важной силой в обходе многофакторной аутентификации, ответственной за более чем 30 миллионов фишингов электронных писем ежемесячно. Несмотря на удаление, активность быстро восстановилась, благодаря постоянной тактике, такой как фишинг с использованием CAPTCHA и методы adversary-in-the-middle для кражи учетных данных. Злоумышленники адаптировали свои методы, применив компрометацию деловой электронной почты и используя законные домены для фишинга, что демонстрирует их устойчивость и способность поддерживать операционную эффективность.
-----

Платформа Tycoon2FA для фишинга как услуги (PhaaS), появившаяся в 2023 году, недавно была нарушена скоординированными усилиями правоохранительных органов во главе с Европолом, в результате чего было конфисковано 330 доменов, которые в основном использовались для ее операций. Эта платформа позволяла киберпреступникам обходить многофакторную аутентификацию, что делало ее важным игроком в фишинге. До сбоя Tycoon2FA был ответственен за большой процент попыток фишинга, по сообщениям, отправляя более 30 миллионов вредоносных электронных писем за один месяц.

После отключения 4 марта 2026 года первоначальные отчеты указывали на кратковременное снижение активности Tycoon2FA примерно до 25% от уровня, существовавшего до сбоя. Однако этот спад был временным; активность быстро восстановилась до прежних объемов, что указывает на то, что основные злоумышленники продолжают действовать и способны адаптировать свою тактику. Примечательно, что их тактика, методы и процедуры (TTP) сохранились без существенных изменений, что свидетельствует об устойчивости к попыткам срыва.

Методология атаки Tycoon2FA включала использование фишингов электронных писем для перенаправления жертв на страницы с капчей, захват сессионных файлов cookie после проверки капчи, а затем извлечение учетных данных электронной почты с помощью специально созданных поддельных страниц входа в такие сервисы, как Microsoft 365 или Google. Платформа использовала методы adversary-in-the-middle (AITM) для прямого перехвата сеансов аутентификации. Жизненный цикл работы Tycoon2FA демонстрирует сложный механизм кражи учетных данных, о чем свидетельствуют их возможности автоматического входа в систему для компрометации учетных записей, часто исходящих с известных IPv6-адресов, привязанных к румынскому провайдеру.

Недавние наблюдения после сбоя выявили множество методов фишинга, которые использовали злоумышленники, включая компрометацию деловой электронной почты (BEC), перехват потоков электронной почты и захват Облачных учетных записей. Усилия по фишингу использовали законные домены и инфраструктуру компрометации для распространения вредоносных перенаправляющих ссылок, ведущих к сервисам Tycoon2FA. Например, акторы использовали Облачные сервисы, чтобы скрыть свои операции с помощью вредоносных перенаправлений, замаскированных под законное программное обеспечение.

Несмотря на достижения правоохранительных органов, активность, связанная с Tycoon2FA, иллюстрирует настойчивую и адаптивную природу киберпреступников в среде PhaaS. Операторы устойчивы, быстро восстанавливают свою инфраструктуру и поддерживают свои методы атаки. Эволюционирующий характер их TTP указывает на то, что они, вероятно, будут продолжать представлять угрозу, требуя от специалистов по безопасности постоянных усилий по обнаружению и смягчению последствий для борьбы с механизмами, используемыми такими гибкими противниками. Подчеркивается важность применения углубленных стратегий защиты, поскольку организации стремятся защититься от изощренной тактики, применяемой акторами PhaaS, такими как Tycoon2FA.

#ParsedReport #CompletenessHigh
19-03-2026

Copyright Lures Mask a Multi‑Stage PureLog Stealer Attack on Key Industries

https://www.trendmicro.com/en_us/research/26/c/copyright-lures-mask-a-multistage-purelog-stealer-attack.html

Report completeness: High

Threats:
Purelogs
Process_injection_technique
Amsi_bypass_technique
Confuserex_tool
Shellcodeloader

Victims:
Healthcare, Government, Hospitality, Education

Industry:
Education, Entertainment, Government, Healthcare

Geo:
Australia, Germany, Canada, German

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.013, T1036.005, T1036.008, T1041, T1047, T1059.003, T1059.006, T1070.004, have more...

IOCs:
File: 36
Command: 3
Url: 4
Path: 3
Domain: 5
IP: 3
Hash: 8

Soft:
ome brow, curl, Chrome, Microsoft Edge, Google Chrome, Windows Defender, Windows GDI

Algorithms:
zip, sha256, xor, sha1, base64, gzip, des

Functions:
Get-WmiObject

Win API:
Decompress, AmsiScanBuffer, GetObject

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 3, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания PureLog Stealer нацелена на такие секторы, как здравоохранение и правительство в Германии и Канаде, используя тактику социальной инженерии, в частности, юридические уведомления для проведения фишинг-атак. Вредоносное ПО использует передовые технологии, включая цепочки заражения без файлов, динамический поиск ключей из инфраструктуры C&C и выполнение загрузчиков .NET в памяти, обходя традиционные методы обнаружения. Функции включают в себя AMSI bypass, закрепление реестра и обширный сбор данных о жертвах, что подчеркивает растущую сложность таких киберугроз.
-----

Проанализированная кампания с участием PureLog Stealer демонстрирует сложную многоэтапную атаку, нацеленную на ключевые отрасли, включая здравоохранение, правительство, гостиничный бизнес и образование, особенно в Германии и Канаде. Злоумышленники используют тактику социальной инженерии, используя юридические уведомления о нарушениях авторских прав в качестве приманки, чтобы повысить успешность исполнения среди намеченных жертв. Этот целенаправленный подход подчеркивает персонализированные стратегии фишинга, при которых вредоносное ПО доставляется с помощью сообщений, подобранных по языку, предназначенных для конкретных лиц или организаций.

После выполнения атака инициирует скрытую цепочку заражения, характеризующуюся методами без файлов. Полезная нагрузка доставляется через зашифрованный замаскированный PDF-файл. Вместо того чтобы содержать статические ключи дешифрования внутри вредоносного ПО, кампания динамически извлекает эти ключи из инфраструктуры управления (C&C), улучшая тактику уклонения. Процесс извлечения включает в себя переименованную утилиту WinRAR, Маскировку под файл изображения, которая после запуска служит для сокрытия вредоносных действий от статического анализа.

Вредоносное ПО использует загрузчик на основе Python, который облегчает выполнение dual .СЕТЕВЫЕ загрузчики, что в конечном итоге приводит к тому, что конечная полезная нагрузка — PureLog Stealer — выполняется полностью в памяти. Этот метод выполнения не позволяет традиционным антивирусам и методам обнаружения конечных точек идентифицировать вредоносное ПО, поскольку файлы не записываются на диск. Ключевые функциональные возможности, встроенные в загрузчик, включают методы AMSI bypass, закрепление реестра, захват скриншотов и снятие отпечатков пальцев жертвы. Приложение собирает обширную системную информацию, включая учетные данные браузера, криптовалютные кошельки и другие конфиденциальные данные.

Основная тактика работы вредоносного ПО включает в себя создание документа-приманки, который отображает безвредный интерфейс, чтобы уменьшить подозрения пользователей, пока заражение продолжается в фоновом режиме. Во время своей работы вредоносное ПО также выполняет антивирусную проверку для идентификации установленных продуктов безопасности, что позволяет ему адаптировать будущие действия на основе потенциальных средств защиты.

Кампания развивалась с течением времени, и наблюдаемые варианты меняли свой подход к доставке полезной нагрузки и механизмам дешифрования. Недавняя активность свидетельствует о переходе к использованию оперативной инфраструктуры C&C для выполнения команд в режиме реального времени, что усложняет работу защитников, пытающихся обнаружить эти атаки и отреагировать на них.

Таким образом, кампания PureLog Stealer является примером перехода к более структурированным и уклончивым формам атак вредоносного ПО, нацеленных на конкретные сектора, использующих передовые методы обмана и полагающихся на выполнение в памяти, чтобы избежать обнаружения. Полученные результаты подчеркивают необходимость надежной стратегии обнаружения поведения в сочетании с бдительным мониторингом сети для противодействия таким продвинутым угрозам.

#ParsedReport #CompletenessLow
21-03-2026

CanisterWorm: npm Publisher Compromise Deploys Backdoor Across 29+ Packages

https://socket.dev/blog/canisterworm-npm-publisher-compromise-deploys-backdoor-across-29-packages

Report completeness: Low

Actors/Campaigns:
Canisterworm

Threats:
Supply_chain_technique
Dead_drop_technique

Victims:
Emil group, Software developers, Build systems, Continuous integration and continuous delivery environments, Npm ecosystem

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1059.007, T1087, T1102.001, T1105, T1140, T1195.001, T1528, T1543.002, have more...

IOCs:
File: 4
Url: 1

Soft:
systemd, Linux

Algorithms:
base64

Languages:
python

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания CanisterWorm - это сложная атака на supply chain, которая компрометация пространств имен издателей npm, в частности, нацеленная на @emilgroup и @teale.пакеты ввода-вывода. Злоумышленники получили доступ к токенам публикации npm, чтобы заменить законное содержимое пакета бэкдором на основе Python, который взаимодействует с ICP-контейнером для управления, облегчая доставку последующих полезных нагрузок. Вредоносное ПО использует перехватчики после установки, поддерживает закрепление с помощью служб пользовательского уровня и имеет deploy.js скрипт для распространения вредоносных пакетов под знакомыми именами, повышающий риск непреднамеренной установки разработчиками.
-----

Кампания CanisterWorm представляет собой сложную атаку supply chain, включающую компрометацию пространств имен издателей npm, в частности, нацеленную на законные пакеты под @emilgroup и @teale.имена ввода-вывода. Злоумышленники получили доступ к токенам публикации npm или эквивалентным учетным данным CI/CD, что позволило им заменить подлинное содержимое пакета вредоносным кодом. Основное поведение вредоносного ПО связано с бэкдором на основе Python, который после установки взаимодействует с контейнером Internet Computer Protocol (ICP). Эта настройка функционирует как канал управления (C2), позволяя злоумышленнику загружать последующие полезные файлы без необходимости обновлять или переиздавать первоначальный пакет компрометации.

На начальных этапах атака использовала перехватчики после установки в безобидных на вид пакетах, чтобы ввести полезную нагрузку на Python, которую актор позже превратил в более стандартизированную структуру. Вредоносное ПО претерпело несколько итераций, причем более поздние формы внедрили дроппер, который активировался как служба systemd --user. Появляющиеся вредоносные версии обеспечили повышенную автоматизацию, включая возможность извлекать токены npm из переменных среды или конфигурационных файлов для дальнейшего распространения в экосистеме npm.

Решающее значение для метода распространения имеет deploy.js скрипт, который выполняется во время установки вредоносного пакета. Он принимает токены npm и использует их для публикации версий пакетов с компрометацией, часто под теми же именами, но помеченных как последние версии, тем самым максимизируя риск непреднамеренной установки непритязательными разработчиками вредоносного ПО, замаскированного под законное программное обеспечение.

Структура CanisterWorm, в частности, позволяет злоумышленникам контролировать и чередовать полезные нагрузки без необходимости повторно публиковать свои зараженные пакеты, поскольку встроенный скрипт Python непрерывно опрашивает C2 canister на наличие новых двоичных файлов каждые несколько секунд. Он поддерживает закрепление с помощью служб пользовательского уровня, которые устраняют необходимость в корневом доступе, тем самым делая его более устойчивым к общей активности пользователей или перезагрузкам.