Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Малварь XORIndex обнаружили в 67 npm-пакетах (http://txgate.io:443/showthread.php?t=51301951)

Artifact 07-16-2025 02:54 PM
<div id="post_message_803512">

Северокорейские хакеры разместили <a href="https://socket.dev/blog/contagious-interview-campaign-escalates-67-malicious-npm-packages" target="_blank">67 вредоносных пакетов</a> в npm, через которые распространялся новый загрузчик малвари XORIndex. В общей сложности пакеты насчитывали более 17 000 загрузок.<br/>
<br/>
Специалисты компании Socket, обнаружившие эти пакеты, предполагают, что активность является частью продолжающейся вредоносной кампании <a href="https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters/" target="_blank">Contagious Interview</a>, нацеленной на разработчиков.<br/>
<br/>
Также отмечается, что эта кампания является продолжением вредоносной активности, длящейся с апреля текущего года. Так, в прошлом месяце эти же злоумышленники внедрили в npm <a href="https://socket.dev/blog/north-korean-contagious-interview-campaign-drops-35-new-malicious-npm-packages" target="_blank">35 пакетов</a>, которые заражали устройства разработчиков инфостилерами и бэкдорами.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/538943/timeline.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Хронология недавних атак

</td>
</tr>
</table>
</div>Упомянутая кампания Contagious Interview активна как минимум с декабря 2022 года и основной целью злоумышленников являются разработчики ПО, которым хакеры делают фальшивые предложения о работе, а в итоге заражают их системы вредоносным ПО. Цели хакеров могут быть разными: от сбора конфиденциальной информации, позволяющей взламывать компании, до кражи криптовалютных активов.<br/>
<br/>
Некоторые из 67 пакетов, загруженных в npm, имитировали названия легитимных проектов и библиотек, например:<ul><li>vite-meta-plugin;</li>
</ul><ul><li>vite-postcss-tools;</li>
</ul><ul><li>vite-logging-tool;</li>
</ul><ul><li>vite-proc-log;</li>
</ul><ul><li>pretty-chalk;</li>
</ul><ul><li>postcss-preloader;</li>
</ul><ul><li>js-prettier;</li>
</ul><ul><li>flowframe;</li>
</ul><ul><li>figwrap;</li>
</ul><ul><li>midd-js и middy-js.</li>
</ul>После установки любого из этих пакетов на машине жертвы выполнялся скрипт postinstall, запускающий XORIndex — новый инструмент, который, судя по всему, используется злоумышленниками параллельно с загрузчиком малвари HexEval Loader.<br/>
<br/>
XORIndex собирает данные о хосте, чтобы составить профиль жертвы, а затем передает данные на жестко закодированный адрес управляющего сервера, размещенный в инфраструктуре компании Vercel, занимающейся разработкой облачных приложений.<br/>
<br/>
В ответ сервер атакующих предоставляет одну или несколько полезных нагрузок JavaScript, которые выполняются на системе жертвы с помощью eval(). Обычно эти полезные нагрузки представляют собой бэкдоры BeaverTail и InvisibleFerret, которые связывают с северокорейскими хакерами и кампанией Contagious Interview.<br/>
<br/>
В итоге малварь предоставляет своим операторам доступ к взломанным машинам, обеспечивает «слив» данных и может использоваться для доставки дополнительных полезных нагрузок.<br/>
<br/>
По словам исследователей, северокорейские хакеры применяют старые и новые инструменты с тонкими модификациями, чтобы избежать обнаружения, и каждый раз, когда npm удаляет малварь, они возвращаются, используя новые учетные записи и имена пакетов.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Защитникам следует ожидать появления новых итераций этих загрузчиков в свежих пакетах, часто с небольшими изменениями, которые позволяют обойти обнаружение», — предупреждают исследователи.</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/07/16/xorindex/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 11:08 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.