Вредоносный пакет postcss-optimizer: угроза от «yolorabbit»
Недавние исследования в области кибербезопасности выявили новый вредоносный пакет под названием postcss-optimizer, распространяемый неким хакером с псевдонимом yolorabbit в реестре npm. Данный пакет заметно схож на легитимную библиотеку postcss, что значительно увеличивает риск его ошибочной установки пользователями, считающими его подлинным.
Методы распространения и заражения
Хакер использует поэтапный процесс обмана для того, чтобы заставить жертву загрузить и установить этот пакет npm, который в действительности содержит вредоносный JavaScript код, предназначенный для заражения систем вредоносным ПО BeaverTail. После установки, вредоносная программа начинает структурированный многоэтапный процесс, обеспечивающий устойчивость зараженной системы. Основные тактики включают:
- Манипуляция параметрами реестра в Windows;
- Внедрение сценариев запуска в Windows;
- Использование скриптов на Python или shell на macOS и Linux;
Кража конфиденциальных данных
После активации, BeaverTail начинает извлекать конфиденциальные данные, такие как:
- Учетные данные;
- Файлы cookie браузера;
- Файлы криптовалютного кошелька.
Собранные данные отправляются посредством HTTP POST запросов на сервер управления. Более того, malware пытается получить и запустить дополнительные вредоносные программы для обеспечения долгосрочного доступа и контроля над взломанной системой.
Методы обфускации и обнаружения
Хакер использует различные методы обфускации JavaScript, такие как:
- Переименование переменных;
- Кодирование строк;
- Сглаживание потока управления;
Тем не менее, несмотря на эти попытки избежать обнаружения, исследователи смогли идентифицировать вредоносный пакет с помощью автоматизированного анализа.
Целевая аудитория и уязвимости
Вредоносный скрипт нацелен на операционные системы Windows, Linux и macOS. Он взаимодействует с жестко запрограммированным сервером управления и предназначен для кражи конфиденциальных данных, включая:
- Сохраненные в браузере учетные данные;
- Приватные ключи кошелька Solana cryptocurrency;
- Данные связки ключей для входа в macOS.
Скрипт работает постоянно, выполняясь каждые 10 минут для непрерывной эксфильтрации украденных данных.
Обзоры методов TTP
В отчете также представлены различные тактики, методы и процедуры (TTP), использованные при атаке, такие как:
- Компрометация цепочки поставок;
- Загрузка вредоносного ПО;
- Выполнение пользователем вредоносных файлов;
- Использование JavaScript и Python для интерпретации команд и сценариев.
Дополнительно упоминаются методы, такие как маскировка под законное программное обеспечение, эксфильтрация данных и обнаружение системной информации.
Заключение
Данные инциденты подчеркивают сложный и многообразный характер операций хакеров, а также возможности вредоносного ПО, использующего методы из совокупности MITRE ATT&CK, такие как:
- Проникновение по командным каналам;
- Передача средств проникновения;
- Автоматизированный сбор данных;
- Кража финансовых средств.
В свете растущих угроз, пользователям рекомендуется проявлять осторожность и внимательность при установке пакетов из незнакомых источников.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
