СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
6 января
#ИБ

NeoShadow: npm-атака цепочки поставок с многоступенчатым Windows‑RAT

Исследование выявило сложную атаку на цепочку поставок (supply-chain), реализованную через вредоносные npm-пакеты под общим именем NeoShadow. В центре кампании — многоступенчатый JavaScript-загрузчик, скрытый в файле scripts/setup.js, который целенаправленно работает только в системах Windows и служит для доставки и запуска опасного RAT (remote access trojan).

Краткое содержание инцидента

  • Загрузчик находится в файле scripts/setup.js в разных пакетах npm и активируется только на Windows.
  • Для динамической настройки загрузчик обращается к блокчейн-инфраструктуре: запрашивает смарт-контракт Ethereum через Etherscan API, чтобы получить URL сервера управления (C2).
  • В случае неудачи запроса к блокчейну загрузчик откатывается к жестко закодированному домену.
  • Далее он загружает удалённый JavaScript-файл, замаскированный под код аналитики, где полезная нагрузка хранится в Base64 в комментарии.
  • Извлечённая полезная нагрузка преобразуется в исполняемый шелл-код и внедряется в процесс.

Механизм доставки и внедрения

Загрузчик использует следующую многоступенчатую схему:

  • Динамическое получение адреса C2 через вызов Etherscan API к смарт-контракту Ethereum; при сбое — fallback на жестко закодированный домен.
  • Загрузка удалённого JavaScript, маскированного под аналитику; полезная нагрузка скрыта в комментарии в кодировке Base64.
  • Декодирование и преобразование полезной нагрузки в шелл-код.
  • Внедрение шелл-кода в работающий процесс RuntimeBroker.exe с использованием метода APC injection через QueueUserAPC и последующим ResumeThread, что затрудняет обнаружение стандартными средствами безопасности.

Функциональность конечной полезной нагрузки (RAT)

После внедрения вредоносный модуль раскрывает себя как универсальный бэкдор с набором возможностей, рассчитанных на долговременный контроль:

  • Установление защищённого канала связи с сервером C2 с использованием шифрования ChaCha20 и ключей, сгенерированных через Curve25519 ECDH.
  • Передача системной информации и периодические запросы инструкций с сервера управления (контур маяка).
  • Возможность загрузки дополнительных полезных нагрузок с различных URL, включая DLL и шелл-код.
  • Сложные методы внедрения для обхода механизмов обнаружения; минималистичный дизайн RAT обеспечивает невидимость и служит платформой для загрузки более опасного ПО (например, кейлоггеров или Ransomware).

Методы сокрытия и устойчивости

  • Использование исправления ETW (Event Tracing for Windows), что затрудняет мониторинг и обнаружение для продуктов безопасности, полагающихся на ETW.
  • Сервер C2, идентифицированный как metrics-flow.com, демонстрирует поведение маскировки: возвращает рандомизированный контент, чтобы ввести в заблуждение автоматизированные системы и аналитиков.
  • Выпущенные версии: первые вредоносные пакеты задокументированы 30 декабря 2025 года; обновлённая версия от 2 января 2026 года включала Windows-исполняемый файл с именем analytics.node, который оставался незамеченным антивирусными решениями.

Значение для безопасности

Атака NeoShadow — пример скоординированного компрометирования supply-chain, сочетающего инновационные методы доставки, динамическую настройку через блокчейн и продвинутые методы оперативной безопасности для поддержания скрытности и постоянства доступа. Такой набор приёмов представляет серьёзную проблему для аналитиков и специалистов по кибербезопасности из‑за сочетания надежных криптографических механизмов связи, продвинутых техник внедрения и методов сокрытия следов активности.

Вывод

Описанная кампания демонстрирует эволюцию атак на цепочку поставок: злоумышленники используют легитимные инфраструктуры (npm, Ethereum/Etherscan), маскируют полезную нагрузку под аналитические модули и применяют сложные техники внедрения и сокрытия. Это подчеркивает необходимость усиленного контроля цепочек поставок, строгой проверки пакетов и мониторинга нестандартного поведения процессов в Windows-средах.

«NeoShadow сочетает в себе блокчейн‑ориентированную динамическую конфигурацию и целенаправленные техники внедрения, что делает его примером современной, устойчивой и труднообнаружимой угрозы для supply-chain.»

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: