Главная страница » IOC
0
3 месяца
IOC

Skuld Stealer IOCs - Part 2

Spyware

Команда исследования угроз Socket обнаружила вредоносную кампанию, которая второй раз за последние два месяца была направлена на разработчиков npm. Злоумышленники используют вредоносные программы Skuld Infostealer, чтобы получить доступ к конфиденциальным данным. В этой новой атаке злоумышленники маскировали вредоносные пакеты под легитимные инструменты в реестре npm. Пакеты такие, как windows-confirm, windows-version-check, downloadsolara и solara-config, были скомпрометированы и проникли в сотни компьютеров. Это подчеркивает важность осторожности при разработке и обновлении программного обеспечения.

Skuld Stealer

Реестр npm немедленно отреагировал на эту угрозу и удаление вредоносных пакетов ограничило распространение и влияние кампании. Однако, постоянная природа таких атак и повторное использование вредоносных программ показывают, что проблема далеко не исчерпана. Разработчики и организации должны укрепить свою защиту и внедрить более бдительные методы разработки, чтобы защитить свои данные.

Исследователи также отметили, что злоумышленник с именем «shegotit2», скорее всего, является тем же человеком, что и «k303903». Оба используют похожие тактики, техники и процедуры для своих атак. Также был обнаружен еще один злоумышленник по имени «pressurized», который, вероятно, также связан с предыдущими атаками. Постоянное использование одних и тех же методов для внедрения вредоносного ПО в систему npm указывает на организованность и настойчивость этих злоумышленников.

Дополнительно, был представлен вредоносный код, который показывает, как злоумышленник загружает и исполняет вредоносные программы на зараженных компьютерах. Он использует известные инструменты, такие как fs-extra, path, node-fetch, а также собственный вредоносный бинарник download.exe. Вредоносный код был обфусцирован с использованием инструмента Obfuscator.io, чтобы избежать обнаружения. Это свидетельствует о том, что злоумышленники улучшают свои методы атаки и постоянно адаптируются к новым условиям.

Стратегия злоумышленника заключается в использовании опечаток при загрузке вредоносных пакетов в реестр npm. Они имитируют известные библиотеки, чтобы сделать свои пакеты выглядящими легитимными. Это создает ощущение доверия у разработчиков, которые могут не подозревать о поддельности этих пакетов. Такая стратегия позволяет злоумышленникам маскировать свои действия и получать доступ к ценной информации.

Indicators of Compromise

Domain Port Combinations

  • common-temperature.gl.at.ply.gg:38635

URLs

  • https://3d7a78cb-b661-450d-b035-888519a4df86-00-udawht6rsoni.spock.replit.dev/blank
  • https://3d7a78cb-b661-450d-b035-888519a4df86-00-udawht6rsoni.spock.replit.dev/empyrean
  • https://3d7a78cb-b661-450d-b035-888519a4df86-00-udawht6rsoni.spock.replit.dev/skuld
  • https://971cfdde-59b5-4929-b162-6118a1825652-00-2zv0j6z5p6zi4.riker.replit.dev/page
  • https://971cfdde-59b5-4929-b162-6118a1825652-00-2zv0j6z5p6zi4.riker.replit.dev/start
  • https://alternatives-suits-obtained-bowl.trycloudflare.com/page
  • https://api.telegram.org/bot7740258238:AAFZwAKMURbNCg1N0L12TTCRXWYfqUe93To
  • https://discord.com/api/webhooks/1316651715591667752/GNxf9DlNvCZmJ27gRfOlHCEVgvOG-kYbj6d2h5zaX48DpP41elqDEdBvoK1y4F1gpbbw
  • https://ebdfa635-60a4-499e-9da8-2b609eb309c3-00-3k30gj5i2z09x.riker.replit.dev/kyore
  • https://ebdfa635-60a4-499e-9da8-2b609eb309c3-00-3k30gj5i2z09x.riker.replit.dev/ps
  • https://ebdfa635-60a4-499e-9da8-2b609eb309c3-00-3k30gj5i2z09x.riker.replit.dev/sk
  • https://eed964e7-461c-4428-9c46-808d77ede57c-00-26f8c6izoatcc.worf.replit.dev/blank
  • https://eed964e7-461c-4428-9c46-808d77ede57c-00-26f8c6izoatcc.worf.replit.dev/empyrean
  • https://eed964e7-461c-4428-9c46-808d77ede57c-00-26f8c6izoatcc.worf.replit.dev/skuld
  • https://fossil-otherwise-stylus-sq.trycloudflare.com/page
  • https://github.com/ifhw/code/raw/main/cmd.exe
  • https://github.com/ifhw/code/raw/main/py.exe
  • https://github.com/ifhw/code/raw/main/RuntimeServiceWorker.exe
  • https://pointer-walt-blond-bi.trycloudflare.com/page
  • https://tours-picture-hunt-electrical.trycloudflare.com/page

SHA256

  • 27b86c1a24a1c97952397943f7b7ef21ee6859145556fe1b197e89074672bd07
  • 3f78493b9bf7a448bec44c154343e6a372ebb0dc3188e61b4699f166896d7181
Комментарии: 0
Похожие записи
0
3 часа
IOC

Фишинговая кампания выдает себя за Booking.com и поставляет набор вредоносных программ для кражи учетных данных

phishing
В декабре 2024 года была обнаружена фишинговая кампания, которая представляла себя как популярное онлайн-агентство путешествий Booking.com. Эта кампания, известная как Storm-1865, была нацелена на гостиничный
0
1 день
IOC

Тенденциях развития Infostealer за февраль 2025 года

Spyware
Для сбора данных и противодействия Infostealer разведывательный центр AhnLab Security использует разные системы, такие как автоматическая система сбора вредоносных программ, медовые точки электронной почты и система анализа C2-информации.
0
2 дня
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное
0
3 дня
IOC

Вредоносные пакеты Go, выдаваемые за популярные библиотеки, поставляют вредоносные программы-загрузчики, нацеленные на системы Linux и macOS

security
Вредоносные пакеты Go выдают себя за популярные библиотеки, чтобы установить скрытый загрузчик вредоносного ПО на Linux и macOS, нацеливаясь на разработчиков с помощью обфусцированной полезной нагрузки.