Discord как C2: веб-хуки для эксфильтрации из npm, PyPI, RubyGems

Исследовательская группа Socket зафиксировала новый тренд в деятельности злоумышленников: вместо собственной инфраструктуры C2 они все чаще используют платформу Discord и её webhooks в качестве канала командования и контроля (C2) и для эксфильтрации данных. Атаки ориентированы на экосистемы пакетных менеджеров — npm, PyPI и RubyGems.org — где вредоносные пакеты ищут конфигурационные файлы и секреты, отправляя их через Discord-каналы.

Как злоумышленники используют webhooks и Discord

Webhooks — это конечные точки HTTPS, которые сочетают числовой идентификатор с секретным токеном. Такой формат позволяет отправлять данные в указанный канал без предварительной аутентификации и без раскрытия какой-либо инфраструктуры злоумышленника, что делает webhooks удобными и эффективными для скрытой эксфильтрации данных из заражённых систем.

Нацеленные экосистемы и примеры компрометаций

• npm
  В вредоносных пакетах для npm обнаруживались механизмы, ориентированные на поиск и эксфильтрацию специфичных конфигурационных файлов: config.json, .env, ayarlar.js, ayarlar.json. Обращает на себя внимание использование названия ayarlar (в переводе с турецкого — «настройки»), что указывает на глобальный охват и языковую адаптацию вредоносных пакетов.
• PyPI
  Аналогичная тактика отмечена и в экосистеме Python: пакеты содержат код, который использует Discord в качестве сервера C2, позволяя злоумышленникам взаимодействовать со скомпрометированными системами и получать конфиденциальную информацию.
• RubyGems.org
  В среде RubyGems был помечен гем sqlcommenter_rails как инструмент для действий по эксфильтрации, что демонстрирует использование уже существующих и доверенных инструментов в вредоносных целях.

Тактики и соответствие MITRE ATT&CK

Поведение атакующих коррелирует с несколькими техниками в рамках MITRE ATT&CK. Ключевые методы включают:

• Эксфильтрация данных из локальных систем;
• Автоматизированная эксфильтрация;
• Использование незащищённых учётных данных, найденных в конфигурационных файлах;
• Тактики обнаружения для сбора системной информации и реквизитов учётных записей.

Последствия и рекомендации

Сдвиг в сторону использования Discord/webhooks как C2 повышает сложность обнаружения атак и усложняет анализ инфраструктуры злоумышленников, поскольку трафик идёт через легитимные сервисы. Это увеличивает риск утечки секретов и учётных данных из исходного кода и конфигураций проектов.

Базовые меры защите, которые помогут снизить риски:

• Ограничить и контролировать использование внешних webhook-адресов в CI/CD и репозиториях;
• Ротация и защита токенов и секретов; исключение хранения секретов в .env, config.json и аналогичных файлах в репозиториях;
• Регулярный сканинг зависимостей и мониторинг изменений в популярных пакетах (npm, PyPI, RubyGems.org);
• Усиление контроля над правами доступа и мониторинг подозрительной активности, связанной с вебхуками и внешними интеграциями;
• Инструменты для обнаружения и предотвращения утечек секретов в кодовой базе.

Ситуация, описанная исследователями Socket, подчёркивает необходимость более внимательного отношения к управлению секретами и зависимостями в современных разработческих экосистемах, а также адаптацию защитных мер к использованию злоумышленниками легитимных облачных и коммуникационных сервисов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.