Вебхуки Discord и поддельные собеседования как оружие в атаках на разработчиков

Киберпреступники активно используют вебхуки Discord в качестве бесплатного и трудноотслеживаемого командно-контрольного (C2) канала для кражи данных из открытых репозиториев npm, PyPI и RubyGems. Эта технология позволяет отправлять сообщения в каналы Discord без аутентификации, что делает её идеальным инструментом для быстрой эксфильтрации украденной информации. Злоумышленники получают доступ к файлам конфигурации, переменным окружения (.env) и ключам API на машинах разработчиков или в средах непрерывной интеграции (CI) ещё до активации систем мониторинга.
Вебхуки Discord и поддельные собеседования как оружие в атаках на разработчиков
Изображение носит иллюстративный характер

По словам Оливии Браун, исследователя из компании по безопасности цепочек поставок Socket, такой подход «полностью меняет экономику атак на цепочки поставок». Он не требует от хакеров затрат на хостинг собственной C2-инфраструктуры, а вредоносный трафик легко маскируется под обычную сетевую активность, обходя стандартные правила брандмауэров. Использование вебхуков в сочетании с перехватчиками на этапе установки пакета позволяет похищать данные мгновенно.

В репозитории npm был обнаружен пакет mysql-dumpdiscord, который целенаправленно извлекал содержимое из файлов config.json, .env, ayarlar.js и ayarlar.json. Другой пакет, nodejs.discord, использовал вебхук для логирования оповещений. В экосистеме Python (PyPI) были выявлены пакеты malinssx, malicus и maliinn, которые активировали C2-канал через Discord сразу после выполнения команды pip install.

Атаке подвергся и репозиторий . Вредоносный пакет sqlcommenter_rails собирал информацию о хосте, включая содержимое системных файлов /etc/passwd и /etc/resolv.conf, после чего отправлял её на жестко закодированный URL вебхука Discord.

Параллельно с этим северокорейские хакерские группировки развернули масштабную кампанию под названием «Contagious Interview» («Заразное собеседование»), нацеленную на разработчиков в сферах Web3, криптовалют и блокчейна. В рамках этой операции в реестр npm было загружено 338 вредоносных пакетов, которые в совокупности были скачаны более 50 000 раз.

Механизм атаки включает элементы социальной инженерии. Злоумышленники связываются с потенциальными жертвами на профессиональных платформах, таких как LinkedIn, предлагая им высокооплачиваемую работу. Кандидату предлагается выполнить тестовое задание, для чего необходимо клонировать скомпрометированный репозиторий. Этот репозиторий содержит зависимость от вредоносного пакета, например eslint-detector, уже опубликованного в npm. При локальном запуске проекта вредоносный код исполняется.

По оценке исследователя безопасности Кирилла Бойченко, это не единичные инциденты, а «государственная, управляемая по квотам операция», работающая по «конвейерной или фабричной модели». Злоумышленники рассматривают экосистему npm как «возобновляемый канал для первоначального доступа». Простое удаление вредоносного пакета не решает проблему, так как учетная запись издателя часто остается активной. Для проведения кампании было создано более 180 фальшивых личностей с новыми псевдонимами и адресами электронной почты в npm, а также задействовано более десятка C2-конечных точек.

В ходе кампании «Contagious Interview» распространялись загрузчики HexEval и XORIndex, которые доставляли на устройства жертв основное вредоносное ПО — инфостилер BeaverTail. Дополнительной полезной нагрузкой служил кроссплатформенный бэкдор на Python под названием InvisibleFerret.

BeaverTail предназначен для кражи широкого спектра конфиденциальной информации. Он способен похищать учетные данные из браузеров, данные криптовалютных кошельков, содержимое связки ключей macOS (Keychain), а также перехватывать нажатия клавиш, копировать содержимое буфера обмена и делать снимки экрана.

Для маскировки вредоносных пакетов злоумышленники применяют две основные тактики. Первая — тайпсквоттинг, создание пакетов с именами, похожими на легитимные. Например, dotevn вместо популярного dotenv. Эта тактика нацелена на проекты, использующие Node.js, Express и фронтенд-фреймворки, такие как React.

Вторая тактика — создание пакетов-двойников, имитирующих популярные библиотеки для Web3. Ярким примером является пакет ethrs.js, который маскируется под легитимную библиотеку ethers.js. Этот метод вводит в заблуждение даже опытных разработчиков, заставляя их устанавливать скомпрометированный код.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка