Лаборатория FortiGuard Labs провела анализ пакетов вредоносного программного обеспечения, обнаруженных с начала ноября 2024 года, и идентифицировала различные методы, используемые для эксплуатации уязвимостей системы.
Описание
Исследование демонстрирует эволюцию угроз и появление новых методов атаки. Для отслеживания и изучения этих угроз FortiGuard Labs использует свою патентованную систему обнаружения вредоносного ПО, основанную на искусственном интеллекте. Отчет описывает ключевые тенденции в тактиках, например, использование пакетов с малым количеством файлов для обхода обнаружения, техник перезаписи команд и typosquatting, и указывает на их потенциальное влияние на безопасность системы.
Обзор отмечает, что злоумышленники часто используют методы, такие как обфускация кода и установка скриптов, чтобы обойти традиционные меры безопасности. Анализ FortiGuard Labs позволяет видеть различные методы атаки и выдвигает важность эффективных методов обнаружения и обеспечения безопасности в программных средах.
В ходе анализа обнаружены различные методы, используемые злоумышленниками, включая использование пакетов с малым количеством файлов, содержащих минимальный код для незаметного выполнения вредоносных действий. Также обнаружены подозрительные сценарии установки, объединение пакетов без URL-адреса репозитория, подозрительные URL-адреса и использование подозрительных API. Злоумышленники также используют пустые описания пакетов и пакеты с нестандартно высокими номерами версий для введения пользователей в заблуждение.
Анализ отмечает, что большинство обнаруженных пакетов имеют низкое количество файлов и часто содержат минимальный код, который обходит обнаружение и позволяет злоумышленникам осуществлять кражу данных, несанкционированный доступ или компрометацию системы. Методы, такие как перезапись команд, аномальное поведение и обфускация кода (например, кодирование base64 или шифрование), позволяют создавать легкие и незаметные угрозы.
Также обнаружено, что злоумышленники используют сценарии установки для скрытой установки вредоносного кода, обходя проверки безопасности. Эти сценарии могут изменять стандартные процессы установки и выполнять вредоносные действия без ведома пользователя. Такие действия включают HTTP POST-запросы, подозрительные API-вызовы и жестко закодированные URL-адреса, которые используются для утечки данных и установления связи с внешними серверами.
Кроме того, отсутствие URL-адреса репозитория вызывает сомнения в легитимности и прозрачности пакета. Вредоносные субъекты, не имея публичного репозитория, могут избегать проверок и обнаружения, что затрудняет проверку и идентификацию действий. Комбинация указанных признаков позволяет злоумышленникам создавать угрозы, которые трудно обнаружить, но способны нанести значительный ущерб.
Indicators of Compromise
SHA256
- 05e9226714f29fbe526820d35c8011f86297444ec581d16d60b38bb55b20fa91
- 2420fa98a183da4153e4de00e401efa19c62fe9ed631d980315b0b719221aec4
- 351bd6e977884f050bdb348239cfd20e0cc9b9a7a6aa3b3aa21e3bed0b072afe
- 3fe14fc83121fdc05efdcc0c1c4d532ca501644a952399b27a6e1bdd6cfed2b7
- 673db52c28aac71f8cf80ee1718b8ea98e1f8e0b3f1293da15fd26c4e6343927
- 6a68848e118ec280d01a1dc989e8d67ca10b3f14aab98eb87a23b340c863fdcf
- 8fe3eee65782c61111354a0a2a58da04901c7b416d3b7634aa605e1939dde531
- 920da0917dbf7ead5531406b324de83656c90a39176f5377c123fe36d257668b
- 973a87cc0baa17c53a17467e188d82241458f7ff1e70e920014eaf2bacbe3a07
- a7ba9a1eef84ae8dad8ed328c41fe4346df402a003ff7cef5e7cbd592c29f4de
- ba0ac1985fb931110899402ce44f11c5d75161cb69ff3d0e9357000ef631a2e1
