СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

PhantomRaven: RDD-атаки на npm и кража CI/CD-токенов

Кампания PhantomRaven представляет собой серьезную угрозу для экосистемы open source и в особенности для реестра npm. По данным исследователей из Endor Labs, злоумышленники опубликовали 88 вредоносных пакетов в трёх волнах активности с ноября 2025 по февраль 2026 года. Несмотря на попытки удаления, 81 пакет по-прежнему доступен для загрузки, а два из трёх серверов командного управления (C2) остаются работоспособными.

Краткие факты

  • Всего выявлено: 88 вредоносных пакетов.
  • Период активности: ноябрь 2025 — февраль 2026.
  • Доступны для загрузки: 81 пакеты.
  • Активные C2: 2 из 3 серверов.
  • Ключевая техника атаки: Remote Dynamic Dependencies (RDD).

«Кампания демонстрирует целенаправленную эволюцию тактики: изменения поверхностных идентификаторов при сохранении основной вредоносной нагрузки», — отмечают исследователи Endor Labs.

Что такое Remote Dynamic Dependencies (RDD) и почему это опасно

Remote Dynamic Dependencies (RDD) — это приём, при котором вредоносный код не включён напрямую в публикацию пакета в npm, а подгружается в процессе установки с внешнего сервера. Злоумышленники используют механизм разрешения зависимостей npm, чтобы во время установки инициировать загрузку троянской полезной нагрузки с внешнего источника. Такой подход позволяет обойти традиционные меры безопасности, которые обычно сканируют только опубликованные пакеты.

Инфраструктура и поведенческие шаблоны

Анализ кампании показывает характерные признаки работы оператора:

  • вращение инфраструктуры (смена C2-доменов и серверов);
  • использование disposable npm-аккаунтов для публикации пакетов;
  • изменение поверхностных метаданных: названий зависимостей, описаний пакетов, PHP-эндпоинтов;
  • при этом основная вредоносная нагрузка оставалась в основном неизменной, что указывает на стратегию сохранения стабильности функционала при маскировке идентичности.

Каждая волна использовала уникальные C2-домены; в частности, третья волна сместила C2 на storeartifacts.com, где публиковались новые пакеты и изменился PHP-эндпоинт для эксфильтрации данных. Это подчёркивает непрерывную эволюцию тактики атакующих.

Поведение вредоносной нагрузки и эксфильтрация данных

Полезная нагрузка PhantomRaven собирает чувствительные данные и эксфильтрирует их через несколько каналов:

  • сбор адресов электронной почты из файлов конфигурации;
  • извлечение токенов CI/CD из сред, таких как GitHub и Jenkins;
  • передача данных через HTTP GET и HTTP POST запросы, а также через резервный WebSocket канал;
  • C2 использует незащищенный HTTP и простую структуру JSON для управления и получения украденных данных.

Такая комбинация каналов повышает вероятность успешной эксфильтрации в различных сетевых условиях и делает реагирование сложнее.

Слепсквоттинг и социальная инженерия

Атакующие активно применяют стратегию слопскваттинга: регистрируют пакеты с именами, имитирующими известные и доверенные проекты, чтобы повысить вероятность установки вредоносной зависимости не подозревающими разработчиками.

Последствия и необходимые меры

PhantomRaven подчёркивает, что традиционных сканеров исходного кода и простого анализа опубликованных артефактов недостаточно. Необходим комплексный подход к защите цепочки поставок, включающий мониторинг внешних зависимостей и инфраструктурных паттернов.

Рекомендации для команд разработки и SecOps:

  • внедрять поведенческий анализ на стадии установки пакетов и дополнять статический SCA проверками;
  • проверять и фиксировать lockfile’ы (package-lock.json / yarn.lock) и ограничивать динамические загрузки во время CI/CD;
  • ограничивать выдачу и хранение CI/CD токенов, применять принцип минимально необходимых привилегий;
  • внедрять egress-фильтрацию и мониторинг подключений к подозрительным доменам (включая storeartifacts.com и другие подозрительные C2);
  • использовать подписывание артефактов и проверку целостности при установке зависимостей;
  • регулярно просматривать зависимости на предмет слопсквоттинга и заменять сомнительные пакеты официальными зеркалами или локальными прокси.

Вывод

Кампания PhantomRaven демонстрирует, как злоумышленники адаптируют методы обхода защитных мер, используя Remote Dynamic Dependencies (RDD), ротирующую инфраструктуру и социально-инженерные приёмы. Для противодействия таким угрозам требуется комбинировать инструменты проверки пакетов, сетевые контроли и практики безопасной работы с секретами, а также оперативное реагирование на индикации активности C2.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: