Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

NeoShadow: npm-атака цепочки поставок с многоступенчатым Windows‑RAT

3 мин
Исследование выявило сложную атаку на цепочку поставок (supply-chain), реализованную через вредоносные npm-пакеты под общим именем NeoShadow. В центре кампании — многоступенчатый JavaScript-загрузчик, скрытый в файле scripts/setup.js, который целенаправленно работает только в системах Windows и служит для доставки и запуска опасного RAT (remote access trojan). Загрузчик использует следующую многоступенчатую схему: После внедрения вредоносный модуль раскрывает себя как универсальный бэкдор с набором возможностей, рассчитанных на долговременный контроль: Атака NeoShadow — пример скоординированного компрометирования supply-chain, сочетающего инновационные методы доставки, динамическую настройку через блокчейн и продвинутые методы оперативной безопасности для поддержания скрытности и постоянства доступа. Такой набор приёмов представляет серьёзную проблему для аналитиков и специалистов по кибербезопасности из‑за сочетания надежных криптографических механизмов связи, продвинутых техник внедр
Оглавление

Исследование выявило сложную атаку на цепочку поставок (supply-chain), реализованную через вредоносные npm-пакеты под общим именем NeoShadow. В центре кампании — многоступенчатый JavaScript-загрузчик, скрытый в файле scripts/setup.js, который целенаправленно работает только в системах Windows и служит для доставки и запуска опасного RAT (remote access trojan).

Краткое содержание инцидента

  • Загрузчик находится в файле scripts/setup.js в разных пакетах npm и активируется только на Windows.
  • Для динамической настройки загрузчик обращается к блокчейн-инфраструктуре: запрашивает смарт-контракт Ethereum через Etherscan API, чтобы получить URL сервера управления (C2).
  • В случае неудачи запроса к блокчейну загрузчик откатывается к жестко закодированному домену.
  • Далее он загружает удалённый JavaScript-файл, замаскированный под код аналитики, где полезная нагрузка хранится в Base64 в комментарии.
  • Извлечённая полезная нагрузка преобразуется в исполняемый шелл-код и внедряется в процесс.

Механизм доставки и внедрения

Загрузчик использует следующую многоступенчатую схему:

  • Динамическое получение адреса C2 через вызов Etherscan API к смарт-контракту Ethereum; при сбое — fallback на жестко закодированный домен.
  • Загрузка удалённого JavaScript, маскированного под аналитику; полезная нагрузка скрыта в комментарии в кодировке Base64.
  • Декодирование и преобразование полезной нагрузки в шелл-код.
  • Внедрение шелл-кода в работающий процесс RuntimeBroker.exe с использованием метода APC injection через QueueUserAPC и последующим ResumeThread, что затрудняет обнаружение стандартными средствами безопасности.

Функциональность конечной полезной нагрузки (RAT)

После внедрения вредоносный модуль раскрывает себя как универсальный бэкдор с набором возможностей, рассчитанных на долговременный контроль:

  • Установление защищённого канала связи с сервером C2 с использованием шифрования ChaCha20 и ключей, сгенерированных через Curve25519 ECDH.
  • Передача системной информации и периодические запросы инструкций с сервера управления (контур маяка).
  • Возможность загрузки дополнительных полезных нагрузок с различных URL, включая DLL и шелл-код.
  • Сложные методы внедрения для обхода механизмов обнаружения; минималистичный дизайн RAT обеспечивает невидимость и служит платформой для загрузки более опасного ПО (например, кейлоггеров или Ransomware).

Методы сокрытия и устойчивости

  • Использование исправления ETW (Event Tracing for Windows), что затрудняет мониторинг и обнаружение для продуктов безопасности, полагающихся на ETW.
  • Сервер C2, идентифицированный как metrics-flow.com, демонстрирует поведение маскировки: возвращает рандомизированный контент, чтобы ввести в заблуждение автоматизированные системы и аналитиков.
  • Выпущенные версии: первые вредоносные пакеты задокументированы 30 декабря 2025 года; обновлённая версия от 2 января 2026 года включала Windows-исполняемый файл с именем analytics.node, который оставался незамеченным антивирусными решениями.

Значение для безопасности

Атака NeoShadow — пример скоординированного компрометирования supply-chain, сочетающего инновационные методы доставки, динамическую настройку через блокчейн и продвинутые методы оперативной безопасности для поддержания скрытности и постоянства доступа. Такой набор приёмов представляет серьёзную проблему для аналитиков и специалистов по кибербезопасности из‑за сочетания надежных криптографических механизмов связи, продвинутых техник внедрения и методов сокрытия следов активности.

Вывод

Описанная кампания демонстрирует эволюцию атак на цепочку поставок: злоумышленники используют легитимные инфраструктуры (npm, Ethereum/Etherscan), маскируют полезную нагрузку под аналитические модули и применяют сложные техники внедрения и сокрытия. Это подчеркивает необходимость усиленного контроля цепочек поставок, строгой проверки пакетов и мониторинга нестандартного поведения процессов в Windows-средах.

«NeoShadow сочетает в себе блокчейн‑ориентированную динамическую конфигурацию и целенаправленные техники внедрения, что делает его примером современной, устойчивой и труднообнаружимой угрозы для supply-chain.»

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "NeoShadow: npm-атака цепочки поставок с многоступенчатым Windows‑RAT".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются