Найти в Дзене
CISOCLUB
11,5 тыс подписчиков

Бэкдоры NodeJS и монетизация через прокси-приложения: анализ кампаний

7
3 мин
Коротко: Недавнее исследование выявило серию кампаний, в которых злоумышленники используют бэкдоры на базе NodeJS для установки и монетизации прокси‑приложений — включая Infatica, Honeygain, earnFM и PacketLab. Вредонос превращает заражённые устройства в узлы прокси‑сети и обеспечивает persistent‑доступ злоумышленников через инфраструктуру C2. Аналитики зафиксировали распространение вредоносного ПО, написанного для среды NodeJS, которое служит одновременно бэкдором и «загрузчиком» для прокси‑программ. Эти прокси‑приложения монетизируют пропускную способность интернет‑каналов пользователей без их согласия, фактически создавая распределённую сеть прокси‑узлов. «Вредоносное ПО NodeJS действует как бэкдор, предлагая злоумышленникам средства для поддержания постоянного доступа к скомпрометированным системам, одновременно облегчая развертывание прокси‑приложений», — отмечают исследователи. По данным отчёта, бэкдор на NodeJS выполняет две основные функции: сохраняет постоянный доступ к систем
Оглавление
Источник: medium.com
Источник: medium.com

Коротко: Недавнее исследование выявило серию кампаний, в которых злоумышленники используют бэкдоры на базе NodeJS для установки и монетизации прокси‑приложений — включая Infatica, Honeygain, earnFM и PacketLab. Вредонос превращает заражённые устройства в узлы прокси‑сети и обеспечивает persistent‑доступ злоумышленников через инфраструктуру C2.

Что обнаружили исследователи

Аналитики зафиксировали распространение вредоносного ПО, написанного для среды NodeJS, которое служит одновременно бэкдором и «загрузчиком» для прокси‑программ. Эти прокси‑приложения монетизируют пропускную способность интернет‑каналов пользователей без их согласия, фактически создавая распределённую сеть прокси‑узлов.

«Вредоносное ПО NodeJS действует как бэкдор, предлагая злоумышленникам средства для поддержания постоянного доступа к скомпрометированным системам, одновременно облегчая развертывание прокси‑приложений», — отмечают исследователи.

Ключевые наблюдения

  • Набор атак охватывает несколько независимых прокси‑приложений: Infatica, Honeygain, earnFM и PacketLab.
  • NodeJS‑бэкдоры обеспечивают механизм удалённого управления и доставки полезной нагрузки через инфраструктуру C2 (command and control).
  • Вредонос использует структурированный рабочий процесс: заражение → установка бэкдора → развертывание прокси‑модуля → дальнейшая монетизация трафика.
  • Коммуникации C2 демонстрируют повторяющиеся паттерны в организации команд и возврате данных операторам.

Как работает вредоносное ПО и роль C2

По данным отчёта, бэкдор на NodeJS выполняет две основные функции: сохраняет постоянный доступ к системе и облегчает установку/управление прокси‑компонентом. Инфраструктура C2 используется не только для отдачи команд, но и для получения телеметрии с заражённых узлов — это позволяет операторам оптимизировать развертывание и масштабировать сеть прокси‑узлов.

Методы доставки и закрепления

Исследование фокусируется на механизмах инфицирования и дальнейшего закрепления бэкдоров NodeJS. Важнейшие аспекты:

  • Различные векторы доставки (файловые инсталляторы, уязвимости, цепочки поставок) — детальные IOC в отчёте не приводятся, но структура кампаний указывает на многоступенчатый подход.
  • Механизмы закрепления обеспечивают персистентность процессов NodeJS и постоянное взаимодействие с C2.
  • Взаимодействие между бэкдором и прокси‑программой осуществляется через чётко организованные каналы управления и обмена конфигурацией.

Последствия для пользователей и безопасности

Монетизация через чужую пропускную способность несёт несколько угроз:

  • Утечка конфиденциальности и возможность обхода геоблокировок или совершения противоправных действий через IP заражённого устройства;
  • Снижение производительности и дополнительные расходы для пользователей;
  • Увеличение поверхности атаки: заражённое устройство может стать отправной точкой для дальнейших компрометаций.

Рекомендации для защиты

Исходя из выявленных паттернов, эксперты советуют следующие меры защиты и мониторинга:

  • Аудит процессов NodeJS на серверах и рабочих станциях — выявление несанкционированных инстансов;
  • Мониторинг исходящего трафика на предмет аномалий и общения с подозрительными C2‑адресами (инструменты сетевой телеметрии, IDS/IPS);
  • Использование EDR для обнаружения устойчивых бэкдоров и удаления посторонних модулей;
  • Обновление программного обеспечения и ограничение прав исполнения — минимизация векторов доставки;
  • Обучение пользователей: осторожность при установке ПО и проверка источников дистрибутивов.

Вывод

Обнаруженные кампании с бэкдорами NodeJS демонстрируют зрелую и организованную методику развёртывания прокси‑сетей для монетизации чужой пропускной способности. По мере развития таких угроз ключевым остаётся понимание механизмов закрепления и коммуникаций C2 — это позволяет формировать эффективные стратегии обнаружения и нейтрализации. Операторам инфраструктур и конечным пользователям следует усилить контроль за NodeJS‑окружением и сетевой активностью, чтобы снизить риск превращения устройств в прокси‑узлы злоумышленников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Бэкдоры NodeJS и монетизация через прокси-приложения: анализ кампаний".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются