Эксперты по кибербезопасности обнаружили целенаправленную фишинговую кампанию, в которой злоумышленники использовали публичный реестр пакетов npm и популярный сервис доставки контента (CDN) jsDelivr для кражи учетных данных сотрудников промышленных и энергетических компаний в Европе, на Ближнем Востоке и в США. Атака отличается высокой степенью персонализации и тщательной подготовкой.
Описание
Кампания началась 20 января 2026 года. В течение 26 минут злоумышленник опубликовал четыре версии пакета "flockiali". Два дня спустя последовала новая серия: пакеты "opresc", "prndn", "oprnm" и "operni". Анализ показал, что каждая версия предназначена для конкретного сотрудника определенной компании.
Цели и механизм атаки
Было выявлено пять целей в пяти компаниях: французский производитель композитов CQFD Composites, испанская компания по производству ветрогенераторов Ingeteam, компания из ОАЭ по зарядке электромобилей Emagine, немецкая промышленная компания Amixon GmbH и американский производитель оборудования для пищевой промышленности CMC America. Для сотрудника Amixon было подготовлено сразу два пакета.
Пакеты содержат один JavaScript-файл. При его загрузке содержимое веб-страницы полностью заменяется на фишинговый набор (phishing kit). Для размещения этого вредоносного кода атакующие использовали схему "npm + jsDelivr". Публикация пакета в npm автоматически делает его доступным через сеть доставки контента jsDelivr, что позволяет злоумышленникам бесплатно использовать надежную инфраструктуру CDN и маскировать атаку под легитимный источник.
Сценарий фишинга
Жертва получает ссылку, ведущую на страницу, которая имитирует интерфейс файлообменника "Micro-Share". Пользователю предлагают скачать тематические документы, например, технические задания (RFQ), спецификации проектов или CAD-файлы. После нажатия кнопки "Download" страница переходит на поддельную форму входа Microsoft, где email жертвы уже предзаполнен. При клике на "Next" пользователь перенаправляется на сервер для сбора учетных данных.
Домены этих серверов представляют собой типосквоттинг (typosquatting) на компанию Siemens Energy: "siemensergy[.]icu" и "siemens-energy[.]icu". Этот выбор неслучаен, так как все компании-цели работают в отраслях, где Siemens Energy является ключевым игроком, что указывает на предварительное изучение бизнес-связей жертв.
Техники защиты от автоматического анализа
Фишинговый набор оснащен несколькими методами для обхода автоматических систем анализа и ботов. Код проверяет наличие WebDriver, пустые списки плагинов и нулевые размеры экрана. Он фильтрует пользовательские агенты, содержащие слова "bot", "crawl" или "headless". На странице также размещены "ловушки" (honeypot fields), заполнение которых автоматизированным скриптом блокирует дальнейшее выполнение сценария. Кнопка загрузки становится активной только после обнаружения движения мыши или касания экрана.
В одной из версий ("flockiali v1.2.5") реализован более сложный анализатор траектории движения мыши. Он вычисляет дисперсию последних координат курсора. Если движение слишком прямолинейно, что характерно для бота, кнопка не активируется. Это требование к естественной, "человеческой" траектории.
Эволюция фишинговых наборов
Аналитики выделили два различных дизайна фишинговых страниц. Ранняя версия "v1.2.5" использует бренд "MicroSecure Pro" с градиентным фоном. Более поздние версии перешли на минималистичный дизайн "Micro-Share", который визуально ближе к реальным продуктам Microsoft. При этом для каждой цели приманка адаптировалась: для сотрудника пищевой компании CMC America в списке документов фигурировали спецификации на продукты и ингредиенты.
Заблаговременная подготовка инфраструктуры
Исследование инфраструктуры злоумышленников через журналы прозрачности сертификатов (Certificate Transparency logs) показало, что домен "siemens-energy[.]icu" и его SSL-сертификат были зарегистрированы еще 24 октября 2025 года. Это означает, что кампания планировалась за три месяца до публикации первых вредоносных пакетов в январе 2026 года. Сервер для сбора данных размещен у хостинг-провайдера RackGenius. Более ранняя версия использовала бесплатный сервис Deno Deploy от Google, который по уведомлению исследователей оперативно заблокировал вредоносную активность.
Выводы
Обнаруженная кампания демонстрирует рост сложности и изощренности фишинговых атак. Злоумышленники комбинируют легитимные сервисы разработчиков (npm) и инфраструктуру доставки контента (CDN) для повышения доверия жертв и снижения затрат. Высокая степень таргетированности, исследование бизнес-окружения целей и внедрение техник против автоматического анализа указывают на возможную связь с группой APT. Инцидент подчеркивает важность постоянного обучения сотрудников, внедрения многофакторной аутентификации и мониторинга не только корпоративных, но и публичных IT-ресурсов на предмет компрометации.
Индикаторы компрометации
IPv4
- 163.123.236.118
- 34.120.54.55
Domains
- login.siemens-energy.icu
- login.siemensergy.icu
- oprsys.deno.dev
URLs
- https://cdn.jsdelivr.net/npm/flockiali@1.2.5/resp/template.min.js
- https://cdn.jsdelivr.net/npm/flockiali@1.2.6/resp/template.min.js
- https://cdn.jsdelivr.net/npm/operni@1.2.7/reps/template.min.js
- https://cdn.jsdelivr.net/npm/opresc@1.0.0/resp/template.min.js
- https://cdn.jsdelivr.net/npm/oprnm@1.0.0/resp/template.min.js
- https://cdn.jsdelivr.net/npm/prndn@1.0.0/template.min.js
- https://login.siemens-energy.icu/DIVzTaSF
- https://login.siemensergy.icu/DIVzTaSF
SHA256
- 211f88a55e8fe9254f75c358c42bb7e78e014b862de7ea6e8b80ed1f78d13add
- 3ceb182fb32a8fb0f0fcf056d6ab8de1cf6e789053f1aadc98ba315ae9a96f0c
- 4631584783d84758ae58bc717b08ac67d99dee30985db18b9d2b08df8721348e
- 7d7f795ac1fcb5623731a50999f518877fd423a5a98219d0f495c488564a1554
- fdb6c79a8d01b528698c53ebd5030f875242e6af93f6ae799dee7f66b452bf3e
Packages
- flockiali (1.2.3-1.2.6)
- opresc (1.0.0)
- prndn (1.0.0)
- oprnm (1.0.0)
- operni (1.2.6-1.2.7)
