#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания PureLog Stealer нацелена на такие секторы, как здравоохранение и правительство в Германии и Канаде, используя тактику социальной инженерии, в частности, юридические уведомления для проведения фишинг-атак. Вредоносное ПО использует передовые технологии, включая цепочки заражения без файлов, динамический поиск ключей из инфраструктуры C&C и выполнение загрузчиков .NET в памяти, обходя традиционные методы обнаружения. Функции включают в себя AMSI bypass, закрепление реестра и обширный сбор данных о жертвах, что подчеркивает растущую сложность таких киберугроз.
-----

Проанализированная кампания с участием PureLog Stealer демонстрирует сложную многоэтапную атаку, нацеленную на ключевые отрасли, включая здравоохранение, правительство, гостиничный бизнес и образование, особенно в Германии и Канаде. Злоумышленники используют тактику социальной инженерии, используя юридические уведомления о нарушениях авторских прав в качестве приманки, чтобы повысить успешность исполнения среди намеченных жертв. Этот целенаправленный подход подчеркивает персонализированные стратегии фишинга, при которых вредоносное ПО доставляется с помощью сообщений, подобранных по языку, предназначенных для конкретных лиц или организаций.

После выполнения атака инициирует скрытую цепочку заражения, характеризующуюся методами без файлов. Полезная нагрузка доставляется через зашифрованный замаскированный PDF-файл. Вместо того чтобы содержать статические ключи дешифрования внутри вредоносного ПО, кампания динамически извлекает эти ключи из инфраструктуры управления (C&C), улучшая тактику уклонения. Процесс извлечения включает в себя переименованную утилиту WinRAR, Маскировку под файл изображения, которая после запуска служит для сокрытия вредоносных действий от статического анализа.

Вредоносное ПО использует загрузчик на основе Python, который облегчает выполнение dual .СЕТЕВЫЕ загрузчики, что в конечном итоге приводит к тому, что конечная полезная нагрузка — PureLog Stealer — выполняется полностью в памяти. Этот метод выполнения не позволяет традиционным антивирусам и методам обнаружения конечных точек идентифицировать вредоносное ПО, поскольку файлы не записываются на диск. Ключевые функциональные возможности, встроенные в загрузчик, включают методы AMSI bypass, закрепление реестра, захват скриншотов и снятие отпечатков пальцев жертвы. Приложение собирает обширную системную информацию, включая учетные данные браузера, криптовалютные кошельки и другие конфиденциальные данные.

Основная тактика работы вредоносного ПО включает в себя создание документа-приманки, который отображает безвредный интерфейс, чтобы уменьшить подозрения пользователей, пока заражение продолжается в фоновом режиме. Во время своей работы вредоносное ПО также выполняет антивирусную проверку для идентификации установленных продуктов безопасности, что позволяет ему адаптировать будущие действия на основе потенциальных средств защиты.

Кампания развивалась с течением времени, и наблюдаемые варианты меняли свой подход к доставке полезной нагрузки и механизмам дешифрования. Недавняя активность свидетельствует о переходе к использованию оперативной инфраструктуры C&C для выполнения команд в режиме реального времени, что усложняет работу защитников, пытающихся обнаружить эти атаки и отреагировать на них.

Таким образом, кампания PureLog Stealer является примером перехода к более структурированным и уклончивым формам атак вредоносного ПО, нацеленных на конкретные сектора, использующих передовые методы обмана и полагающихся на выполнение в памяти, чтобы избежать обнаружения. Полученные результаты подчеркивают необходимость надежной стратегии обнаружения поведения в сочетании с бдительным мониторингом сети для противодействия таким продвинутым угрозам.

#ParsedReport #CompletenessLow
21-03-2026

CanisterWorm: npm Publisher Compromise Deploys Backdoor Across 29+ Packages

https://socket.dev/blog/canisterworm-npm-publisher-compromise-deploys-backdoor-across-29-packages

Report completeness: Low

Actors/Campaigns:
Canisterworm

Threats:
Supply_chain_technique
Dead_drop_technique

Victims:
Emil group, Software developers, Build systems, Continuous integration and continuous delivery environments, Npm ecosystem

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1059.007, T1087, T1102.001, T1105, T1140, T1195.001, T1528, T1543.002, have more...

IOCs:
File: 4
Url: 1

Soft:
systemd, Linux

Algorithms:
base64

Languages:
python

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания CanisterWorm - это сложная атака на supply chain, которая компрометация пространств имен издателей npm, в частности, нацеленная на @emilgroup и @teale.пакеты ввода-вывода. Злоумышленники получили доступ к токенам публикации npm, чтобы заменить законное содержимое пакета бэкдором на основе Python, который взаимодействует с ICP-контейнером для управления, облегчая доставку последующих полезных нагрузок. Вредоносное ПО использует перехватчики после установки, поддерживает закрепление с помощью служб пользовательского уровня и имеет deploy.js скрипт для распространения вредоносных пакетов под знакомыми именами, повышающий риск непреднамеренной установки разработчиками.
-----

Кампания CanisterWorm представляет собой сложную атаку supply chain, включающую компрометацию пространств имен издателей npm, в частности, нацеленную на законные пакеты под @emilgroup и @teale.имена ввода-вывода. Злоумышленники получили доступ к токенам публикации npm или эквивалентным учетным данным CI/CD, что позволило им заменить подлинное содержимое пакета вредоносным кодом. Основное поведение вредоносного ПО связано с бэкдором на основе Python, который после установки взаимодействует с контейнером Internet Computer Protocol (ICP). Эта настройка функционирует как канал управления (C2), позволяя злоумышленнику загружать последующие полезные файлы без необходимости обновлять или переиздавать первоначальный пакет компрометации.

На начальных этапах атака использовала перехватчики после установки в безобидных на вид пакетах, чтобы ввести полезную нагрузку на Python, которую актор позже превратил в более стандартизированную структуру. Вредоносное ПО претерпело несколько итераций, причем более поздние формы внедрили дроппер, который активировался как служба systemd --user. Появляющиеся вредоносные версии обеспечили повышенную автоматизацию, включая возможность извлекать токены npm из переменных среды или конфигурационных файлов для дальнейшего распространения в экосистеме npm.

Решающее значение для метода распространения имеет deploy.js скрипт, который выполняется во время установки вредоносного пакета. Он принимает токены npm и использует их для публикации версий пакетов с компрометацией, часто под теми же именами, но помеченных как последние версии, тем самым максимизируя риск непреднамеренной установки непритязательными разработчиками вредоносного ПО, замаскированного под законное программное обеспечение.

Структура CanisterWorm, в частности, позволяет злоумышленникам контролировать и чередовать полезные нагрузки без необходимости повторно публиковать свои зараженные пакеты, поскольку встроенный скрипт Python непрерывно опрашивает C2 canister на наличие новых двоичных файлов каждые несколько секунд. Он поддерживает закрепление с помощью служб пользовательского уровня, которые устраняют необходимость в корневом доступе, тем самым делая его более устойчивым к общей активности пользователей или перезагрузкам.

#ParsedReport #CompletenessLow
19-03-2026

Android devices ship with firmware-level malware

https://www.sophos.com/en-us/blog/android-devices-ship-with-firmware-level-malware

Report completeness: Low

Threats:
Keenadu
Supply_chain_technique

Victims:
Android users, Consumer electronics, Electronic commerce, Social media, Online video, Web browser, Advertising

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1071.001, T1105, T1195.001, T1195.002

IOCs:
Domain: 21
IP: 4
Hash: 5

Soft:
Android, Google Chrome

Algorithms:
sha1, md5, sha256

Links:
https://github.com/KswCarProject/ZxwLauncher3QuickStepKsw

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Keenadu представляет серьезную угрозу для устройств Android, действуя как бэкдор прошивки в libandroid_runtime.библиотека so, позволяющая полностью управлять устройством. Он встраивается в процесс Zygote, внедряя вредоносные модули, которые крадут данные и приносят доход от рекламы за счет компрометации популярных приложений. Представленный во время сборки прошивки, Keenadu нацелен на недорогие устройства по всему миру, о чем свидетельствуют специфические троянские APK-файлы, которые усложняют работу по обнаружению.
-----

Вредоносное ПО Keenadu - это серьезная киберугроза, нацеленная на устройства Android, выявленная аналитиками SophosLabs в конце февраля 2026 года. Это вредоносное ПО работает как бэкдор на уровне прошивки, встроенный в libandroid_runtime.библиотека so, позволяющая злоумышленникам получить полный контроль над зараженными устройствами. Внедряясь в процесс Zygote, который служит родительским для всех приложений Android, Keenadu обеспечивает свое присутствие во всех приложениях на устройстве, подвергшемся компрометации. Полезная нагрузка может функционировать как загрузчик различных вредоносных модулей, направленных на извлечение данных из приложений или содействие мошенничеству с рекламой.

Двоичный файл вредоносного ПО Keenadu находится в статической библиотеке libVndxUtils.a и использует вредоносную зависимость, Маскировку под законный код MediaTek. Данные свидетельствуют о том, что Keenadu внедряется на этапе сборки прошивки, что указывает на Компрометацию цепочки поставок, а не на прямое вторжение после установки. Вредоносное ПО специально нацелено на широко используемые приложения, такие как Shein, Temu, Amazon, YouTube и Facebook, использующие кликерные модули, которые генерируют доход с оплатой за клик за обманные операции в фоновом режиме. Примечательно, что один из этих модулей встроен в системный лаунчер Android по умолчанию (com.android.запускатель3).

Что касается обнаружения, Sophos отметила постоянное присутствие двух специфических файлов APK системного уровня (PriLauncher.apk и PriLauncher3QuickStep.apk) на устройствах, подвергшихся компрометации. Эти файлы, по-видимому, были заражены трояном для размещения Keenadu, и приложение не блокирует законные версии QuickStep, что усложняет усилия по обнаружению. На данный момент более 500 уникальных устройств, охватывающих примерно 50 моделей, были обнаружены как зараженные, в основном среди недорогих устройств таких производителей, как BLU, DOOGEE и Ulefone. Распространение инфекции Keenadu было глобальным, случаи выявления были зарегистрированы примерно в 40 странах.

Организациям рекомендуется ограничить доступ устройств, подвергшихся воздействию, к корпоративным сетям до появления обновленной прошивки, которая должна быть немедленно установлена поставщиками после выпуска. Хотя доступны дополнительные технические подробности, такие как уникальные хэши прошивки, зараженной Keenadu, основной проблемой остается способность вредоносного ПО скрытно манипулировать системами получения доходов от рекламы и вторгаться в конфиденциальность данных пользователей с помощью компрометации на уровне прошивки.

#ParsedReport #CompletenessLow
22-03-2026

Ransomware 3.0: The Autonomous Threat That Changed Everything

https://socradar.io/blog/ransomware-3-0-the-autonomous-threat/

Report completeness: Low

Actors/Campaigns:
Bianlian

Threats:
Spear-phishing_technique
Polymorphism_technique
Supply_chain_technique
Wannacry
Petya
Eternal_petya
Maze
Lockbit
Promptlock
Edr-killer
Royal_ransomware
Medusa_ransomware
Qilin_ransomware
Ransomhub
Byovd_technique
Edrkillshifter_tool
Lolbin_technique
Akira_ransomware

Victims:
Manufacturing, Healthcare, Financial services, Critical infrastructure, Software supply chain, All industry sectors, Global

Industry:
Critical_infrastructure, Financial, E-commerce, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1027, T1027.014, T1033, T1041, T1047, T1059, T1059.001, T1071.001, have more...

Crypto:
ethereum

Functions:
LLM, HTTPS

Win API:
Polygon

Languages:
lua, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель эволюционировала в программу-вымогатель 3.0, отличающуюся тройной тактикой вымогательства, сочетающей шифрование данных, кражу и угрозы репутации. Злоумышленники теперь используют Искусственный интеллект для определения приоритетов целей и генерации кода в режиме реального времени, в то время как децентрализованные инфраструктуры, использующие блокчейн, повышают операционную надежность программы-вымогателя как услуги. Примечательно, что Ransomware 3.0 использует инструменты, которые используют уязвимости программного обеспечения для обхода средств защиты, облегчая полностью автоматизированные кампании атак и повышая доступность сложных методов вымогательства для менее квалифицированных акторов.
-----

Программы-вымогатели перешли в новую фазу, известную как Ransomware 3.0, характеризующуюся продвинутой динамикой угроз и инновационными стратегиями атак. На этом этапе используется тактика тройного вымогательства, включающая шифрование данных, кражу и давление с целью публикации конфиденциальной информации на сайтах утечки информации из Dark Web. Злоумышленники используют Искусственный интеллект для определения приоритетности таких целей, как контракты и кадровые записи, расширяя возможности вымогательства.

Программа-вымогатель 3.0 использует расширенную оркестровку с использованием больших языковых моделей (LLM) для генерации уникального и polymorphic вредоносного кода, уклоняющегося от традиционного обнаружения. Атаки основаны на децентрализованной инфраструктуре, использующей технологию блокчейн для противодействия правоохранительным органам и поддержки моделей "программа-вымогатель как услуга" (RaaS).

Примечательно, что программа-вымогатель 3.0 включает в себя средства, уничтожающие EDR, которые используют уязвимости в законном программном обеспечении, ставя под угрозу защиту конечных точек на уровне ядра. Кампании автоматизированных атак проводятся без участия человека, демонстрируя оперативные возможности киберпреступных группировок.

По статистике, число глобальных инцидентов с программами-вымогателями увеличилось на 32%, при этом на производстве наблюдается рост на 56% из-за уязвимостей операционных технологий. Число атак на Supply chain также возросло, что указывает на смещение акцента злоумышленников. Стоимость этих изощренных атак снизилась, что позволило более широкому кругу лиц участвовать в деятельности программ-вымогателей, усложняя стратегии защиты организаций.

#ParsedReport #CompletenessMedium
21-03-2026

Trivy Compromised: Everything You Need to Know about the Latest Supply Chain Attack

https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Credential_stealing_technique
Typosquatting_technique

Victims:
Aqua security, Software development, Cybersecurity, Cloud services, Github actions users, Trivy users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1016, T1027, T1041, T1071.001, T1105, T1195.001, T1195.002, T1543.002, T1550.001, have more...

IOCs:
Domain: 1
IP: 1
File: 3
Url: 1
Hash: 92

Soft:
Trivy, Docker, trycloudflare, Twitter, Slack, systemd

Algorithms:
rsa-4096, aes-256, base64, aes-256-cbc

Languages:
python

Platforms:
intel

Links:
have more...
https://github.com/aquasecurity/trivy/discussions/10425

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 марта 2026 года угроза actor TeamPCP осуществил атаку на цепочку поставок на уязвимостях сканера Trivy компании Aqua Security, внедрив вредоносное ПО для кражи учетных данных через злонамеренные коммиты версии v0.69.4. Это скомпрометировало основной сканер и связанные компоненты, что позволило украсть чувствительные учетные данные, используя сервисную учетную запись aqua-bot, с экстракцией через Cloudflare Tunnel на домен с типографической ошибкой. Вредоносное ПО собирало секреты из памяти и путей файловой системы, передавало их в зашифрованном виде и создавало резервный репозиторий для загрузки данных, нацеливаясь на долгосрочную устойчивость на компьютерах разработчиков.
-----

19 марта 2026 года атака на цепочку поставок нацелилась на сканер уязвимостей Trivy компании Aqua Security, что было приписано угрозе TeamPCP. Атака включала мошеннические коммиты и внедрение вредоносных версий Trivy, специально отмеченных как v0.69.4. Это привело к распространению скомпрометированных бинарных файлов и скриптов через GitHub Releases и Docker Hub. Вредоносное ПО было предназначено для кражи учетных данных, включая ключи GPG и доступ к платформам Docker Hub, Twitter и Slack, путем эксплуатации скомпрометированной учетной записи aqua-bot. Экстракция данных проводилась через сервер C2 Cloudflare Tunnel, отправляя данные на домен с опечаткой, scan.aquasecurtiy.org, связанный с IP 45.148.10.212. Бэкдоорная версия Trivy работала вместе с легитимной службой, собирая данные, получая доступ к памяти процесса Runner.Worker и осуществляя поиск конфиденциальных данных более чем по 50 путям. Украденные данные были зашифрованы с использованием AES-256-CBC и RSA-4096, архивированы и переданы на вредоносный сервер. В качестве резервного варианта, если экстракция не удалась, вредоносное ПО могло создать репозиторий GitHub под названием 'tpcp-docs' для загрузки украденных учетных данных. Для поддержания постоянства оно проверяло условия на рабочей машине разработчика через переменную GITHUB_ACTIONS и могло записать скрипт-вор в формате base64 на `\~/.config/systemd/user/sysmon.py` для выполнения удаленного полезного груза. Организациям, использующим Trivy, была дана рекомендация провести аудит на предмет скомпрометированной версии v0.69.4 и удалить затронутые артефакты. Рекомендации включали привязку GitHub Actions к конкретным хэшам SHA для снижения риска подобных атак.

#ParsedReport #CompletenessMedium
22-03-2026

Government of Iran Cyber Actors Deploy Telegram C2 to Push Malware to Identified Targets

https://www.ic3.gov/CSA/2026/260320.pdf

Report completeness: Medium

Actors/Campaigns:
Handala-hacking-team (motivation: information_theft)
Void_manticore

Victims:
Iranian dissidents, Journalists, Opposition groups, Civil society, Media

Industry:
Government

Geo:
Iran, Iranian, Middle east

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 5
Hash: 12

Soft:
Telegram, KeePass, Zoom, Windows registry

Algorithms:
md5, zip

Functions:
Zoom

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские кибер-акторы, связанные с Министерством разведки и безопасности (MOIS), использовали Телеграм в качестве канала управления для развертывания многоэтапного вредоносного ПО, нацеленного на диссидентов и журналистов, причем операции, оцененные ФБР как преднамеренный сбор разведывательных данных. Вредоносное ПО, разработанное для Windows, использует методы социальной инженерии, Маскировки под законные приложения для запроса загрузки, а затем устанавливает удаленный доступ через ботов Телеграм. Эта кампания включает в себя возможности для эксфильтрации данных и проникновения в систему, включая захват видео и аудио с онлайн-собраний, при этом используются методы, позволяющие избежать обнаружения антивирусом и обеспечить постоянный доступ.
-----

Иранские кибер-акторы, связанные с Министерством разведки и безопасности (MOIS), использовали Телеграм в качестве механизма управления (C2) для развертывания вредоносного ПО, нацеленного на лиц, которых иранское правительство считает представляющими угрозу, включая диссидентов и журналистов. Эта вредоносная деятельность была оценена ФБР как преднамеренный сбор разведывательных данных, приводящий к утечке данных и ущербу репутации пострадавших сторон. Начиная с осени 2023 года, многочисленные версии вредоносного ПО, специально разработанного для операционных систем Windows, использовались против целого ряда жертв, демонстрируя стратегическую адаптацию кибертактики в контексте растущей геополитической напряженности.

Вредоносная кампания включает в себя многоэтапную загрузку, где начальный этап маскируется под обычные приложения, такие как Pictory и KeePass, чтобы обмануть жертв. Тактика социальной инженерии используется для того, чтобы побудить цели невольно загрузить и выполнить этот этап, который затем активирует постоянный имплантат, облегчающий удаленный доступ через ботов Телеграм. Этот двухэтапный подход позволяет акторам получать конфиденциальные данные путем эксфильтрации файлов и записи действий на экране из систем компрометации.

В примечательном случае в июле 2025 года организация, известная как Handala Hack, взяла на себя ответственность за операции, которые включали взлом и утечку информации от лиц, выражающих несогласные взгляды на ситуацию в Иране. Эта группа была связана с различными вредоносными действиями, включая фишинг и внедрение вредоносного ПО wiper, что расширяло оперативные возможности кибер-акторов MOIS.

Образцы вредоносного ПО, проанализированные ФБР, были разделены на отдельные фазы: первоначальная Маскировка вредоносного ПО и последующее постоянное внедрение. Вредоносное ПО-Маскировка предназначено для того, чтобы избежать обнаружения и закрепиться на устройстве жертвы с последующей установкой постоянного вредоносного ПО, которое обеспечивает долгосрочный доступ. Эти возможности позволяют злоумышленникам осуществлять обширную эксфильтрацию данных, включая захват видео и аудио с онлайн-собраний и сжатие конфиденциальных файлов для передачи обратно на сервер C2.

Эффективный первоначальный доступ основан на социальной инженерии, позволяющей убедить пользователей запустить Вредоносные файлы, которые тщательно адаптированы к распорядку дня жертвы, чтобы повысить вероятность принятия. Дополнительные проблемы с безопасностью возникают из-за способности вредоносного ПО выполнять обходные маневры, такие как исключение определенных каталогов, чтобы избежать обнаружения антивирусными системами, и внесение изменений в реестр, чтобы гарантировать его запуск при запуске системы.

#ParsedReport #CompletenessLow
22-03-2026

Hackers Compromise Trivy Scanner to Inject malicious Scripts and Steal Login Credentials

https://cybersecuritynews.com/malicious-script-injection-in-trivy/

Report completeness: Low

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Ci cd pipelines, Software development, Cloud services

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1041, T1059.004, T1059.006, T1083, T1119, T1195.001, T1548.003, T1552.001, have more...

IOCs:
File: 4
Domain: 1

Soft:
Trivy, sudo, Linux, Docker

Algorithms:
rsa-4096, aes-256-cbc

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце марта 2026 года атака supply chain использовала действие Trivy на GitHub с помощью метода отравления тегов, скомпрометировав 75 тегов версий, чтобы внедрить вредоносный стиллер с именем TeamPCP Cloud. Вредоносное ПО использует трехэтапный процесс для целенаправленного сбора, надежного шифрования и скрытой эксфильтрации конфиденциальных данных, используя sudo без пароля в запущенных системах, размещенных на GitHub, и скрипт на Python в автономных средах. Он собирает критически важную информацию с таких платформ, как GitHub, AWS и Azure, выявляя уязвимости в процессах CI/CD.
-----

В конце марта 2026 года была выявлена серьезная атака на supply chain, нацеленная на официальное действие Trivy на GitHub (aquasecurity/trivy-action), которая имеет критические последствия для процессов непрерывной интеграции и непрерывного развертывания (CI/CD) по всему миру. В атаке участвовали злоумышленники, которые использовали сложную стратегию отравления тегов, успешно принудительно внедрив 75 из 76 тегов версий, чтобы внедрить вредоносный стиллер в конвейеры CI/CD. Учитывая, что более 10 000 файлов рабочего процесса GitHub использовали это действие, вероятность кражи учетных данных была велика.

Компрометация включала создание вредоносных коммитов, имитирующих законные метаданные Git, включая имена авторов и сообщения о фиксации, что скрывало вредоносные изменения в журналах репозитория. Примечательно, что единственная нетронутая версия, @0.35.0, остается защищенным тегом. Внедренный скрипт с именем entrypoint.sh , предназначен для выполнения своей вредоносной полезной нагрузки перед запуском законного простого сканирования, что позволяет ему легко сочетаться с типичными операциями.

Этот стиллер информации работает в три ключевых этапа: целенаправленный сбор, надежное шифрование и скрытая эксфильтрация. На этапе сбора он специально ориентирован на пользователей, размещенных на GitHub, и на самостоятельных пользователей. В средах, размещенных на GitHub, вредоносное ПО использует привилегии sudo без пароля для доступа и извлечения секретов из Runner.Память рабочего процесса. И наоборот, в автономных runners используется подробный скрипт на Python, который сканирует файловую систему на наличие конфиденциальной информации в различных каталогах.

Процесс эксфильтрации осуществляется с помощью POST-запроса HTTPS, направленного на домен с typosquatted (scan.aquasecurtiy.org ), что имеет решающее значение для получения злоумышленниками украденных данных. Вредоносное ПО, идентифицированное как TeamPCP Cloud stealer, признано в ландшафте угроз, основанном на облачных технологиях, как злоумышленник, известный тем, что использует неправильно сконфигурированную инфраструктуру, часто внедряя программы-вымогатели и операции по криптомайнингу.

Примечательно, что целевые данные для извлечения включают конфиденциальную информацию с таких платформ, как GitHub, AWS и Azure, охватывающую ключевые файлы, такие как SSH-ключи (id_rsa, authorized_keys), учетные данные Git (.git-учетные данные), файлы конфигурации, относящиеся к конвейерам CI/CD (terraform.tfstate, .docker/config.json) и файлы окружения (варианты .env). Последствия этого инцидента для безопасности подчеркивают уязвимости в экосистемах CI/CD и настоятельную необходимость усиления мер защиты от таких сложных атак по Цепочке поставок.