Хакерская кампания «aminengineerings»: инновационные методы распространения вредоносных пакетов через npm и GitHub
8 мая 2025 года был выявлен новый инцидент, связанный с загрузкой вредоносных пакетов в реестр npm. Хакер, известный под псевдонимом «aminengineerings», разместил два пакета, которые содержали вредоносную полезную нагрузку с момента их первоначальной публикации. Расследование указало на связь этих пакетов с новой фазой атаки и сменой инфраструктуры злоумышленника.
Обновлённая инфраструктура управления и новая версия вредоносного ПО
Оба вредоносных пакета ссылаются на версию A4, которая связана с недавним переходом на новый сервер управления (C2). Новый IP-адрес сервера, 166.88.4.2, полностью заменил предыдущий, что указывает на значительные изменения в сетевой инфраструктуре хакера. Это важный сигнал о том, что злоумышленник адаптирует свою инфраструктуру для повышения устойчивости к обнаружению и блокировке.
Сложное поведение вредоносного кода и использование блокчейна
Вредоносный код демонстрирует высокий уровень сложности и самообучаемости. Он способен самостоятельно конфигурироваться, извлекая данные из двух различных блокчейнов. Такой подход иллюстрирует инновационную методику запутывания и распространения, существенно усложняя анализ и детектирование вредоносной активности.
Многоуровневая кампания атак: npm и GitHub как цели
Данные расследования показывают, что злоумышленник не ограничивается только пакетами npm. Он активно компрометирует и репозитории GitHub, внедряя в них индивидуальные пакеты с интегрированным трояном удалённого доступа (RAT).
- Нацеленность на несколько компонентов экосистемы разработчиков.
- Использование blockchain как механизма распределения вредоносной нагрузки.
- Интеграция вредоносных функций напрямую в пакеты, распространённые среди разработчиков.
Эволюция методологии атак и вызовы для безопасности
Сочетание этих факторов свидетельствует о значительной эволюции тактик злоумышленников. Использование современных технологий, таких как блокчейн, а также мультиплатформенный подход, повышают уровень сложности обнаружения и нейтрализации подобных угроз. Эта кампания подчёркивает растущую изощрённость и адаптивность хакеров в условиях современного киберпространства.
В свете подобных инцидентов экспертам и разработчикам рекомендуется усилить меры контроля поставщиков стороннего ПО, а также повышать осведомлённость о новых тактиках злоумышленников, чтобы минимизировать риски заражения и утечки данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ атаки "aminengineerings": инновационные вредоносные npm-пакеты и блокчейн".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.