Продолжающаяся атака с открытым исходным кодом имеет корни, уходящие в 2021 год

security IOC
Опубликовано

Организатор этой кампании был связан с вредоносной деятельностью, начавшейся в 2021 году. С тех пор он постоянно публикует вредоносный код.Последняя порция активности произошла в августе и была опубликована компанией Phylum.

  • В ходе продолжающейся кампании злоумышленники используют пакеты npm для кражи исходного кода и секретов разработчиков.
  • Предполагается, что злоумышленник, стоящий за этой кампанией, имеет отношение к незамеченной вредоносной активности, датированной 2021 годом.

Каждый из официальных пакетов, использованных этим агентом угроз, был предназначен для автоматического выполнения при установке. Каждый пакет содержал три файла - package.json, preinstall.js и index.js. Схема атаки выглядит следующим образом:

  1. При установке вредоносного пакета постинсталляционный хук, определенный в файле package.json, запускает скрипт preinstall.js.
  2. Сценарий preinstall.js использует метод 'spawn' для инициирования другого файла с именем index.js. По сути, он заставляет index.js работать как отдельный процесс, обеспечивая его независимую работу даже после завершения основного процесса установки.
  3. Сценарий index.js собирает текущее имя пользователя ОС и рабочий каталог и отправляет эту информацию в виде HTTP GET-запроса на заданный сервер.
  4. Затем он перебирает каталоги на хостинговой машине, выбирая такие специфические каталоги, как .env, .gitlab и .github, а также файлы с расширениями .asp, .js и .php, уделяя больше внимания уникальному исходному коду или конфигурационным файлам.
  5. Затем выполняется ZIP-архивирование обнаруженных каталогов, намеренно избегая нечитаемых каталогов или существующих .zip-файлов.
  6. На последнем этапе выполняется попытка загрузить эти архивы на заданный FTP-сервер.

Indicators of Compromise

IPv4

  • 178.128.27.205
  • 185.62.56.25
  • 185.62.57.60
  • 198.199.83.132
  • 5.9.104.19
  • 51.250.2.204
  • 65.21.108.160

Domains

  • 1wy3rk316x8qqy4fyxtvcs4kkbq2es2h.oastify.com
  • 288utkkrohmp0nr8znflcp88nztrhg.oastify.com
  • 4or5o5yn5lqzenk4.b.requestbin.net
  • 6wxd3v84nevku06dcgbqcxrmt.canarytokens.com
  • bind9-or-callback-server.com
  • bq5m9lnmalh9ktyi9wydockt9kfb32rr.oastify.com
  • c7kxnys58daceezcxx0jjstn6ec50vok.oastify.com
  • cczk46g2vtc0000k68dgggx31deyyyyyb.oast.fun
  • ck0r1hp2vtc00007c0zggjocy3ryyyyyb.oast.fun
  • cup1qnm56sdo4bdv.b.requestbin.net
  • efrva6.dnslog.cn
  • fhg62xavat9jzyt6euwxi6sro.canarytokens.com
Похожие записи:
  1. Пакеты NPM использовались для распространения фишинговых ссылок
  2. IconBurst IOCs
  3. CuteBoi Company IOCs
  4. Sows Havoc Malware IOCs
  5. Наводнение вредоносными NPM пакетами, приводящее к отказу в обслуживании
Checkmarx Labs npm
SEC-1275-1
Добавить комментарий