DEV#POPPER.js и OmniStealer: межцепочечная TxDataHiding-атака

Анализ результатов указывает на развитие сложной и устойчивой кампании вредоносного ПО, сочетающей в себе загрузчики на JavaScript, RAT на NodeJS и мощный стилер данных. В центре атаки — сочетание модулей DEV#POPPER.js и основной полезной нагрузки OmniStealer, использующее уникальную стратегию межцепочечной атаки под названием межцепочечное TxDataHiding (XCTDH). Злоумышленники применяют инфраструктуру блокчейна (в частности, TRON и BSC) в качестве канала для сокрытия и доставки вредоносной полезной нагрузки, что значительно затрудняет обнаружение традиционными средствами защиты.

Краткое описание атаки

Атака организована по многоступенчатой схеме. Первый этап — первоначальная компрометация, чаще всего обеспечиваемая посредством социальной инженерии через платформы вроде Telegram или GitHub. Затем запускается вредоносный JavaScript, который:

• выполняет немедленно вызываемое функциональное выражение (IIFE);
• использует кастомные алгоритмы перетасовки символов для извлечения конфиденциальных данных (адресов блокчейна, ключей XOR и т.д.);
• обращается к TRON для получения индексов транзакций, указывающих на зашифрованные полезные нагрузки на BSC;
• загружает, расшифровывает и выполняет эти полезные нагрузки для установления канала управления (C2).

Далее цепочка разворачивается: один модуль выступает загрузчиком, который в свою очередь подтягивает сильно запутанный RAT на базе NodeJS (~2500 строк кода) — вариант кампании DEV#POPPER. Основная полезная нагрузка — OmniStealer — выполняет масштабный сбор данных и эксфильтрацию, нацеливаясь на учетные записи браузеров, менеджеры паролей, облачные хранилища и криптовалютные кошельки.

Технологии обхода и устойчивость инфраструктуры

Исследование выявило ряд продвинутых методов, используемых злоумышленниками для обхода детекции и затруднения анализа:

• мультимерная запутанность (obfuscation) и использование паттернов, препятствующих автоматическому обратному инжинирингу;
• защиты от отладки и эксплуатация шаблонов регулярных выражений с катастрофическим возвратом (catastrophic backtracking), усложняющих работу статических и динамических анализаторов;
• маскировка трафика C2 через подмену User-Agent, чтобы трафик выглядел легитимным;
• двойная модель связи (dual C2) — HTTP и блокчейн — что позволяет переключаться между каналами и сохранять управление даже при нарушении части инфраструктуры;
• модульная архитектура и возможность pivot по окружению, что обеспечивает гибкость и живучесть кампании.

Масштаб угрозы и поражаемые платформы

Комбинация описанных техник делает эту кампанию многоплатформенной: заражения и эксплойт-активности зафиксированы в средах Windows, macOS и Linux. Модульный дизайн обеспечивает продолжение работы даже при выводе из строя отдельных серверов C2, что повышает риск длительной компрометации инфраструктуры жертвы.

Последствия для организаций

Последствия атак такого рода серьезны и включают:

• утечку учетных данных и закрытых ключей (включая криптокошельки);
• потерю контроля над системами разработки и CI/CD за счет компрометации сред разработчиков;
• последующее продвижение по сети (lateral movement) и закрепление за счет гибкой C2-инфраструктуры;
• значительные затраты на расследование и восстановление после инцидента.

Рекомендации по защите

Организациям рекомендуется пересмотреть и усилить свои оборонительные меры, учитывая особенности данной кампании. В ключевой список действий входят:

• Усилить контроль над цепочкой поставок ПО: ограничить доверие к внешним репозиториям и тщательно проверять изменения в зависимостях и бинарных сборках.
• Мониторинг и детектирование аномалий в блокчейн-трафике: контролировать обращения к узлам TRON/BSC и аномальные паттерны запросов, которые могут указывать на извлечение индексов транзакций.
• Обновить политики сетевого контроля: фильтрация и логирование User-Agent; контроль исходящих HTTP(S) соединений; ограничение возможностей прямых сетевых подключений из рабочих станций разработчиков.
• Расширить возможности EDR/MDR: обнаружение обфусцированных JavaScript- загрузчиков, анализ IIFE и подозрительных NodeJS процессов.
• Обучение персонала: тренинги по социальной инженерии и безопасному использованию платформ типа Telegram и GitHub.
• План реагирования: сценарии по отключению и изоляции модулей C2, процедуры восстановления и ротации ключей/паролей.

«Интеграция блокчейн-технологий в инфраструктуру C2 и использование многоступенчатых загрузчиков делает кампанию DEV#POPPER.js/OmniStealer особенно устойчивой и опасной для сред разработки», — следует из анализа.

Вывод

Комбинация межцепочечного сокрытия данных в блокчейне, продуманной многоуровневой архитектуры и продвинутых техник обхода детекции ставит перед организациями новую задачу: адаптировать защиту под угрозы, использующие как классические каналы (HTTP), так и нестандартные — например, транзакции в блокчейне. Оперативное внедрение комплексных мер защиты и внимательное управление цепочками поставок ПО — ключевые элементы противодействия таким атакующим кампаниям.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.