TTL OSINT

Поддерживаемые Северной Кореей Злоумышленники Продолжают Атаки по Цепочке Поставок На Разработчиков npm

В статье рассматривается новый вредоносный пакет call-block flow, опубликованный тем же северокорейским злоумышленником (Phylum), который стоял за предыдущими атаками на цепочку поставок с открытым исходным кодом. Пакет, практически дублирующий законный пакет npm под названием call-bind, был опубликован 4 июля 2024 года и содержал измененный package.json и дополнительные файлы. В результате изменений в package.json были изменены название, версия и описание, а также удалены многие скрипты из исходного пакета. Дополнительные файлы implementation.js, polyfill.js и shim.js были дословно заимствованы из другого пакета npm с именем date. Предварительно установленный скрипт callTo.js использовался для запуска цепочки вредоносных атак, включая самоудаление после выполнения. В скрипте также использовались знакомые шаблоны скрытности, такие как использование команды @echo off для скрытия командных подсказок и отправка стандартной ошибки и выходных данных в nul. Вредоносный пакет быстро публиковался и не публиковался повторно, но был обнаружен и идентифицирован автоматизированной платформой Phylum.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.phylum.io/new-tactics-from-a-familiar-threat /

Примеры признаков компромисса:

• https://cryptocopedia.com/explorer/search.asp?token=5032

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал