За сутки зафиксирована волна атак на цепочки поставок и рост активности вымогателей

Ключевым инцидентом стала компрометация расширения Nx Console для редактора VS Code. Злоумышленники опубликовали вредоносную сборку версии 18.95.0, в которую внедрили похититель учётных данных. Эту атаку специалисты рассказали порталу The Hacker News. Расширение предназначено для работы с популярным инструментом монорепозитория Nx, поэтому под ударом оказались разработчики, использующие данную среду. Вредоносная версия маскировалась под обычное обновление, но на самом деле извлекала логины и пароли из систем жертв.

Почти одновременно произошёл захват тегов в репозитории actions-cool/issues-helper на платформе GitHub. Злоумышленники перенаправили теги этого рабочего процесса на поддельный коммит, который похищал учётные данные CI/CD из нижестоящих репозиториев. Этот случай в очередной раз напомнил, что фиксация хэшей действий гораздо надёжнее использования тегов.

Не обошлось и без атак на реестр пакетов npm. Учётная запись одного из мейнтейнеров пространства имён @antv была скомпрометирована. Под видом легитимных библиотек визуализации AntV злоумышленники опубликовали вредоносные пакеты, нацеленные на кражу данных. Разработчикам, использующим эти библиотеки, стоит немедленно проверить версии установленных зависимостей.

В то же время несколько крупных вендоров выпустили обновления безопасности. Adobe, Fortinet, SAP, VMware и компания n8n (платформа для автоматизации рабочих процессов) устранили уязвимости, связанные с удалённым выполнением кода, внедрением SQL-запросов и повышением привилегий. Среди них есть критические по степени опасности. Microsoft, в свою очередь, подтвердила проблему с обновлениями Windows на ограниченных сетях. После январского необязательного предварительного обновления безопасности Windows Update перестал работать в корпоративных средах со строгими правилами файрвола. Администраторам таких сетей придётся вручную применять исправления.

Отдельного внимания заслуживает активность программ-вымогателей. За последние сутки девять групп заявили о 37 новых атаках, которые затронули 16 стран и 11 отраслей. Наибольшее число заявлений сделали группы Safepay, Thegentlemen и Titan - по семь каждая. Пятерку замкнула Nightspire с пятью инцидентами. Чаще всего под удар попадал производственный сектор (восемь атак), за ним следуют деловые услуги (семь), потребительские услуги (четыре) и технологии (три). Географически лидируют США (восемь атак), Германия и Великобритания (по четыре), Сингапур (три).

Параллельно аналитики зафиксировали 217 наблюдений командных центров управления (C2 - серверов, с помощью которых злоумышленники управляют заражёнными устройствами). Эти события относятся к 49 семействам вредоносного ПО. Чаще всего встречались VShell (29 случаев), AsyncRAT (24), Cobalt Strike (21) и KimWolf (19). Кроме того, десятки вредоносных доменов оказались поделены между разными группами. Например, хост hakim32[.]ddns[.]net, который является поглотителем (sinkhole - специальный сервер, перехватывающий трафик вредоносного ПО), несёт на себе сразу восемь различных вредоносных "семей": от AsyncRAT до XWorm. А три IP-адреса итальянского провайдера FEMO IT одновременно содержат похитители данных, загрузчики, майнеры и троялы удалённого доступа.

Система защиты Quad9, блокирующая обращения к C2-инфраструктуре, за сутки зарегистрировала миллионы попыток соединений с заражённых устройств. В топе по числу заблокированных вызовов оказался домен fer1[.]duckdns[.]org, связанный с ботнетом Mirai, - более двух тысяч событий. Также в десятку вошли несколько доменов, относящихся к семействам AsyncRAT и Remus. Особую активность проявляют хосты под управлением Cloudflare и DigitalOcean - на эти два провайдера приходится почти треть всей отслеживаемой вредоносной инфраструктуры (56 из 166 хостов для скачивания вредоносного ПО). Всего такие хосты размещены в 25 странах, при этом лидируют США (76 хостов) и Китай (28).

Происходящее в очередной раз подтверждает: атаки на цепочки поставок становятся системной угрозой для разработчиков и предприятий. Компрометация популярных расширений и реестров пакетов позволяет злоумышленникам получать доступ к внутренним сетям компаний через доверенные инструменты. На фоне этого рост активности вымогателей и обилие командных центров указывают на то, что киберпреступники продолжают наращивать свои возможности. Специалистам по безопасности стоит уделить особое внимание проверке сторонних компонентов, своевременному обновлению патчей и мониторингу исходящих соединений к подозрительным адресам.

IPv4

• 196.251.107.104
• 196.251.107.130
• 62.60.226.159

Domains

• 69sexy.duckdns.org
• carytui.vu
• cloudguardservice.duckdns.org
• decrnoj.club
• doctopus.io
• drive.google.com
• ff.aass654.com
• ff.jjkk567.com
• ff.nnmm234.com
• ff.vvbb321.com
• ff.xxcc789.com
• firewai.biz
• hakim32.ddns.net
• hh.aass654.com
• hh.jjkk567.com
• hh.nnmm234.com
• hh.xxcc789.com
• losslvs.surf
• mascard.biz
• newenewmew.duckdns.org
• skytrust.io
• tokenguard.io
• woodfez.biz