Организатор этой кампании был связан с вредоносной деятельностью, начавшейся в 2021 году. С тех пор он постоянно публикует вредоносный код.Последняя порция активности произошла в августе и была опубликована компанией Phylum.
- В ходе продолжающейся кампании злоумышленники используют пакеты npm для кражи исходного кода и секретов разработчиков.
- Предполагается, что злоумышленник, стоящий за этой кампанией, имеет отношение к незамеченной вредоносной активности, датированной 2021 годом.
Каждый из официальных пакетов, использованных этим агентом угроз, был предназначен для автоматического выполнения при установке. Каждый пакет содержал три файла - package.json, preinstall.js и index.js. Схема атаки выглядит следующим образом:
- При установке вредоносного пакета постинсталляционный хук, определенный в файле package.json, запускает скрипт preinstall.js.
- Сценарий preinstall.js использует метод 'spawn' для инициирования другого файла с именем index.js. По сути, он заставляет index.js работать как отдельный процесс, обеспечивая его независимую работу даже после завершения основного процесса установки.
- Сценарий index.js собирает текущее имя пользователя ОС и рабочий каталог и отправляет эту информацию в виде HTTP GET-запроса на заданный сервер.
- Затем он перебирает каталоги на хостинговой машине, выбирая такие специфические каталоги, как .env, .gitlab и .github, а также файлы с расширениями .asp, .js и .php, уделяя больше внимания уникальному исходному коду или конфигурационным файлам.
- Затем выполняется ZIP-архивирование обнаруженных каталогов, намеренно избегая нечитаемых каталогов или существующих .zip-файлов.
- На последнем этапе выполняется попытка загрузить эти архивы на заданный FTP-сервер.
Indicators of Compromise
IPv4
- 178.128.27.205
- 185.62.56.25
- 185.62.57.60
- 198.199.83.132
- 5.9.104.19
- 51.250.2.204
- 65.21.108.160
Domains
- 1wy3rk316x8qqy4fyxtvcs4kkbq2es2h.oastify.com
- 288utkkrohmp0nr8znflcp88nztrhg.oastify.com
- 4or5o5yn5lqzenk4.b.requestbin.net
- 6wxd3v84nevku06dcgbqcxrmt.canarytokens.com
- bind9-or-callback-server.com
- bq5m9lnmalh9ktyi9wydockt9kfb32rr.oastify.com
- c7kxnys58daceezcxx0jjstn6ec50vok.oastify.com
- cczk46g2vtc0000k68dgggx31deyyyyyb.oast.fun
- ck0r1hp2vtc00007c0zggjocy3ryyyyyb.oast.fun
- cup1qnm56sdo4bdv.b.requestbin.net
- efrva6.dnslog.cn
- fhg62xavat9jzyt6euwxi6sro.canarytokens.com