СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.08.2025
#Dev#ИБ#ИИ#Облака

Атака цепочки поставок: 11 Go‑пакетов, кросс‑ОС имплантаты и ИИ‑угрозы

Атака цепочки поставок: 11 Goпакетов, кроссОС имплантаты и ИИугрозы

Источник: www.secureblink.com

Исследователи зафиксировали многоэтапную supply-chain кампанию, в которой злоумышленники компрометировали пакеты экосистемы Go и сопутствующие пакеты в npm и RubyGems. Атака сочетает в себе обфускацию, долгоживущую инфраструктуру C2, кросс-операционные полезные нагрузки (Linux и Windows) и все более широкое применение компонентов, созданных с помощью искусственного интеллекта. По данным отчета, многие URL-адреса полезной нагрузки остаются активными, что указывает на продолжающуюся операцию и возможно единый скоординированный актор.

Ключевые технические детали кампании

  • Сфокусированная на одиннадцати вредоносных пакетах Go кампания разворачивает запутанные удаленные полезные нагрузки, нацеленные на Linux и Windows.
  • Вредоносный код скрывает shell-команды и использует стандартные системные утилиты, например /bin/sh на Linux и certutil.exe на Windows, чтобы загружать и запускать второй этап имплантатов.
  • Во время выполнения скомпрометированные пакеты запускают оболочки и извлекают ELF- или PE-пейлоады второго этапа из C2, используя взаимозаменяемые домены .icu и .technical.
  • Имплантаты второго этапа перечисляют системы, крадут учетные данные и обеспечивают постоянство через автоматическую повторную инициализацию бэкдора при его сбое.
  • Акторы повторно используют инфраструктуру C2 и методы зеркального кэширования модулей Go, что отражает долгосрочное сохранение компромиссного состояния BoltDB, используемого для хранения данных эксплойта.

«Это подчеркивает сложную защиту от обфускации, надежную сохраняемость и возможности кросс-операционной системы в современных угрозах supply-chain.»

Роль AI и вредоносные npm-пакеты

Отдельно отчёт отмечает активное применение компонентов, созданных с помощью AI, при разработке вредоносного ПО и при социальных инженерных кампаниях. Пример — npm-пакет @kodane/patch-manager, в коде которого использованы AI-сгенерированные фрагменты, направленные на кражу средств из криптовалютных кошельков. Это отражает более широкий сдвиг к генерируемому AI‑вредоносному ПО, способному к изощрённому финансовому таргетингу.

Кроме того, два npm-пакета — naya-flore и nvlore-hsc — маскируются под инструменты разработчика WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), но содержат деструктивную логику удаления данных. Они реализуют условное отключение на основе телефонного номера: если система не соответствует предопределённым индонезийским номерам, запускается рекурсивное удаление файлов. Это наглядный пример регионально ориентированной полезной нагрузки и точного conditional execution.

Кампания демонстрирует высокую эффективность социальной инженерии и быстрое распространение: тысячи загрузок ряда пакетов были зафиксированы до их удаления из репозиториев.

Злоупотребление легитимными экосистемами: RubyGems и Telegram

Вектора распространения включают и RubyGems-плагины:

  • fastlane-plugin-telegram-proxy и fastlane-plugin-proxy_telegram перенаправляют трафик Telegram API через инфраструктуру злоумышленников, реализованную на Cloudflare Workers. Такая техника позволяет перехватывать сообщения и учетные данные, маскируясь под законные плагины для fastlane.

Уязвимость в Chrome DevTools: CVE-2024-6778

Отдельно в отчёте упоминается CVE-2024-6778 — критическая гонка состояния в Chrome DevTools, позволяющая внедрять привилегированный код через скомпрометированные расширения. Уязвимость даёт возможность внедрять HTML/JavaScript на привилегированные страницы через API DevTools; её оценка CVSS примерно 8.8, что указывает на широкий потенциальный ущерб для браузерной платформы и пользователей.

Целевые кампании против организаций и государств

Кампании, ориентированные на корпоративную сферу и органы власти, включают:

  • Эксплуатацию Microsoft SharePoint с использованием нулевого дня в инфраструктуре на африканском континенте; атаки отличались техникой fileless execution и механизмами против криминалистики, усложняющими обнаружение.
  • Компрометацию платформы отчетности Национального казначейства Южной Африки; в отчёте отмечено, что сдерживание атаки предотвратило перебои в обслуживании, но уязвимость корпоративных систем остаётся серьёзной.

Другие угрозы, отмеченные Intel

  • Действия китайской группы nexus, использовавшей несколько нулевых дней в начале 2025 года.
  • BlindEagle — сложная целенаправленная кампания против латиноамериканских организаций с применением социальной инженерии и заказного вредоносного ПО.
  • Операция правоохранительных органов по демонтажу инфраструктуры BlackSuit, свидетельствующая о продолжающемся давлении в отдельных геополитических регионах.

Эволюция угроз: AI, персонализация и атаки на модели

Отчёт подчёркивает, что переход к использованию AI меняет ландшафт киберугроз: персонализированный фишинг стал точнее, стратегии могут адаптироваться в реальном времени, а риски отравления и моделинга (model poisoning) создают новые векторы атак. По мере масштабного внедрения AI в инструменты разработчиков и инфраструктуру безопасности угрозы будут эволюционировать быстрее, чем традиционные методы защиты.

Последствия и рекомендации

С учётом описанных техник и векторов атак организации и разработчики экосистем программного обеспечения должны учитывать следующие практики защиты:

  • Усилить контроль целостности пакетов в репозиториях: подпись пакетов, аудит изменений и проверка provenance.
  • Ограничить доверие к сторонним плагинам и пакетам, внедрить политики allowlist/denylist и автоматическое сканирование на сигнатуры известных шаблонов вредоносного поведения.
  • Мониторить и блокировать подозрительную активность C2, включающую нестандартные домены (.icu, .technical и пр.), и применять репутационные фильтры для внешних запросов.
  • Следить за уязвимостями браузеров и своевременно применять патчи, особенно для компонентов типа DevTools; использовать механизмы ограничения расширений.
  • Внедрять многофакторную аутентификацию и защиту секретов; контролировать доступы и использовать мониторинг аномалий для обнаружения постэксплуатационной активности.
  • Обновлять программы обучения сотрудников по фишингу с учётом AI‑усиленных социальных инженерных атак.

Вывод

Текущая кампания — сочетание давно известных и новых приёмов: компромисс поставщиков, использование стандартных системных утилит для скрытой загрузки пейлоадов, долгоживущая C2-инфраструктура и динамичное применение AI. Эти факторы делают угрозу устойчивой и сложной для обнаружения. Оборона требует комплексного подхода: контроль поставщиков, проактивный мониторинг, быстрая реакция на уязвимости и адаптация процедур безопасности под реалии AI‑ускоренной эпохи.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: