IconBurst IOCs

Опубликовано

Исследователи ReversingLabs обнаружили широко распространенную кампанию по установке вредоносных модулей NPM, которые собирают конфиденциальные данные из форм, встроенных в мобильные приложения и веб-сайты.

IconBurst

Исследователи из ReversingLabs обнаружили более двух десятков пакетов NPM, созданных в течение шести месяцев, которые содержат обфусцированный Javascript, предназначенный для кражи данных формы у людей, использующих приложения или веб-сайты, на которых были развернуты вредоносные пакеты.

При ближайшем рассмотрении были обнаружены признаки скоординированной атаки по цепочке поставок: большое количество пакетов NPM, содержащих сценарии jQuery, предназначенные для кражи данных форм из развернутых приложений, в которые они включены. Хотя полный масштаб этой атаки еще не известен, обнаруженные нами вредоносные пакеты, скорее всего, используются сотнями, если не тысячами мобильных и настольных приложений, а также веб-сайтов. В одном случае вредоносный пакет был загружен более 17 000 раз.

Как и в случае с недавними (доброкачественными) атаками на путаницу зависимостей, направленными на немецкие организации, в этих явно вредоносных атаках использовался метод опечаток (typo-squatting), при котором злоумышленники предлагают пакеты через публичные репозитории с именами, похожими на имена легитимных пакетов или с распространенными ошибками в их написании. Злоумышленники выдавали себя за NPM-модули с высоким трафиком, такие как umbrellajs и пакеты, опубликованные на ionic.io. Однако реальной целью атаки являются конечные пользователи программного обеспечения (и их данные), а не организации-разработчики. Это делает данную атаку более сопоставимой с печально известным SolarWinds. Более того, сходство между доменами, используемыми для утечки данных, позволяет предположить, что различные модули этой кампании находятся под контролем одного субъекта.

Indicators of Compromise

Domains

  • api-bo.api-xyz.com
  • api-bo.my.id
  • apiii-xyz.yogax.my.id
  • api-xyz.com
  • arpanrizki.my.id
  • bankranttroplucaba.tk
  • curls.safhosting.xyz
  • dnster.my.id
  • gmgusionmlbb.api-xyz.com
  • gmgusionmlbb.my.id
  • graph-googleapis.api-xyz.com
  • graph-googleapis.app-jquery.xyz
  • graph-googleapis.com
  • ionicio.api-xyz.com
  • ionicio.com
  • mail.graph-googleapis.com
  • nge.scrp.my.id
  • okep.renznesia.xyz
  • panel.archodex.xyz
  • panel.curlz.online
  • panelllgege.001www.com
  • ryucha.my.id
  • webmail.graph-googleapis.com

SSL Certificate SHA1

  • 87a732f202593a829840664475ce4856348fa3a8
  • e6eaa395b4f3d8640583d426a4f08a7d38af74e7
  • f96c58e44c21a863175e51f448b0dec56a6c9ba3
  • fedbb1111f7c5d640f01fe62360c7f2396e95fdd

SHA1

  • 05d2084e1b2ce1d28c3096f16694413ec480704e
  • 067e42878df480c0d1ca45c268300c96a258be63
  • 069f9c723af8be981a3e6220b991b9c40320d8b5
  • 06cb7b1810ca1485e15fa81d92bd92533ff8c001
  • 06dbd365e76e7cb593df86a80385e8c46ca05545
  • 08bc77bb17b6a4ab365d0354683cbd912219becf
  • 123dad7d48c47486e9c226ad50b26b2ba5ec9fe2
  • 164ff2295b63434e8b260a46041669c98eab4235
  • 17fef01df47ceb87b2755f4a18db23d8f7276d30
  • 1a719f2efa398ef8659a401e6209377beab87105
  • 1de14d6be4029aa7888f8fc83779b61c96c063da
  • 20254c86209118144e6a25fb90abea6f7c903d8e
  • 2afd6730426166f061d96a8ccbfba8d8c7ed9e3e
  • 326dab8f5d4dab461ca5fd14f136503d12227eae
  • 49f2bc011d1beece62b7a4ed47818e288b71edb6
  • 52a96612e3d2df0a7980de81d622da6c5ff84513
  • 54549337e60eede3d4dc6b52662c582449b66c40
  • 5a631ab46373251dade6dca5bb460b55bf738a64
  • 5ba35812337b3c7a0064accf17479a26de486951
  • 6092606456adce8eb705ba33ad3e9536682d917f
  • 6253324c1d741c1be3ae20fd8262adb54530ee8b
  • 6388e354433f8c608ab8a97ed9391b9dc44d2a99
  • 64cd1eda88f92b32323f9784aab6d1a0bdd7a38c
  • 66c41baf38e29c4b0a979cff35df4a1eed11e13e
  • 68d1c1883cfab75fa933ab08189ba7abbd2625a8
  • 6e2b0d621bf6031beee18b897b2da5d93d3ce5e7
  • 73db956f7f752c4f71a8a8588604fa7d7af7de7e
  • 77170de7458ee81382efd7de2499694a459abee3
  • 77a0f0cc89e98b9662b224b653a35895d3ac69fa
  • 7e14150502ee992fc8b1259de58261aeb2f58ae1
  • 81031febc2ed49bdd8c8f7ca810830df1b0d3476
  • 83e5ebd7f355b1655778a37db6b6953042fb77c4
  • 8562edf90e988f7ca556183c2f032bc307dfefdb
  • 87cb0505dbb141391103e2bd358f3aa774210a4a
  • 8ab228743d3fef5c89aa55c7d3a714361249eba8
  • 8c128c3be9645582db2fee9e64e175149d51d92c
  • 9299a3eb1f11fcc090c7584bb9ce895ba38fd2cb
  • 96aca5e901bd8f1229683339766073e4e5d1de59
  • 9f2a2001a07b92adef023ca697e4febba073728e
  • 9f5f2f34f15a03c4528d6fa632899d0e3b6d1ceb
  • a1e2cb98d2aa1b134b3be04d6a720393dcf6c072
  • a2d25c070750cbd20f0c327980a40c26f4ea47ec
  • a386ddf8fb1d0846e01501f6fbac11e0389ef581
  • a5ad7a0edda67b7267694898a82abbee1ec7a466
  • abb8ff44d224b23266769d0808ebe97c3838e484
  • ae70ef4e5a0bb522179e5d488ed56efb9ae5b4d9
  • b64a10493897c96feb6eda1d0c9fc7ec85506258
  • b7dc23a51469574205b0691944f4120e2d92e64d
  • c11d9aa077207adeef30cfdd9df3fe979e114b06
  • c173de3d3ee1dd0920ee5a3a4f80d8c280ce2697
  • c6569dc3fd94f642cad56cb7a950175ff7c2062f
  • c77eda629d2076663276bc48c7462ea07470dbdc
  • cda4b444744196ae9b2753830f750bc5e4548061
  • cf8a7066865ab6d009e226096fa879867b8e61bc
  • d106693abc732a93176085410c67c4581de28447
  • dd01c6baadd1d79f29b3d69a300e82b860edc57d
  • def789dc6322255264703c00d4f4dd265a48b50e
  • e66609e433e5b51a148889ff128bd7182fe22d4b
  • eec7e3769b4d8b23aeb00f81583750ed26fadc47
  • f0221e1707075e2976010d279494bb73f0b169c7
  • f78a57ab8e288c725e452787f3b070ec690f276b
  • fa234405c958a9ff22bac7debfbcde452294d73c
  • fb672c0b982542eeacce66be67a5bc4ff9567596
  • fd72a461bb62dce8989f1c24bdcc6ae6d4eaabc5
  • fe59a8d59f6764800ce5b85f2bfbc4db05840bae
Похожие записи:
  1. AstraLocker Ransomware IOCs
  2. CuteBoi Company IOCs
  3. GwisinLocker Ransomware IOCs
  4. Follina Attacks IOCs
IconBurst npm ReversingLabs
Добавить комментарий