Киберпреступники активно используют вебхуки Discord в качестве бесплатного и трудноотслеживаемого командно-контрольного (C2) канала для кражи данных из открытых репозиториев npm, PyPI и RubyGems. Эта технология позволяет отправлять сообщения в каналы Discord без аутентификации, что делает её идеальным инструментом для быстрой эксфильтрации украденной информации. Злоумышленники получают доступ к файлам конфигурации, переменным окружения (
По словам Оливии Браун, исследователя из компании по безопасности цепочек поставок Socket, такой подход «полностью меняет экономику атак на цепочки поставок». Он не требует от хакеров затрат на хостинг собственной C2-инфраструктуры, а вредоносный трафик легко маскируется под обычную сетевую активность, обходя стандартные правила брандмауэров. Использование вебхуков в сочетании с перехватчиками на этапе установки пакета позволяет похищать данные мгновенно.
В репозитории npm был обнаружен пакет
Атаке подвергся и репозиторий . Вредоносный пакет
Параллельно с этим северокорейские хакерские группировки развернули масштабную кампанию под названием «Contagious Interview» («Заразное собеседование»), нацеленную на разработчиков в сферах Web3, криптовалют и блокчейна. В рамках этой операции в реестр npm было загружено 338 вредоносных пакетов, которые в совокупности были скачаны более 50 000 раз.
Механизм атаки включает элементы социальной инженерии. Злоумышленники связываются с потенциальными жертвами на профессиональных платформах, таких как LinkedIn, предлагая им высокооплачиваемую работу. Кандидату предлагается выполнить тестовое задание, для чего необходимо клонировать скомпрометированный репозиторий. Этот репозиторий содержит зависимость от вредоносного пакета, например
По оценке исследователя безопасности Кирилла Бойченко, это не единичные инциденты, а «государственная, управляемая по квотам операция», работающая по «конвейерной или фабричной модели». Злоумышленники рассматривают экосистему npm как «возобновляемый канал для первоначального доступа». Простое удаление вредоносного пакета не решает проблему, так как учетная запись издателя часто остается активной. Для проведения кампании было создано более 180 фальшивых личностей с новыми псевдонимами и адресами электронной почты в npm, а также задействовано более десятка C2-конечных точек.
В ходе кампании «Contagious Interview» распространялись загрузчики HexEval и XORIndex, которые доставляли на устройства жертв основное вредоносное ПО — инфостилер BeaverTail. Дополнительной полезной нагрузкой служил кроссплатформенный бэкдор на Python под названием InvisibleFerret.
BeaverTail предназначен для кражи широкого спектра конфиденциальной информации. Он способен похищать учетные данные из браузеров, данные криптовалютных кошельков, содержимое связки ключей macOS (Keychain), а также перехватывать нажатия клавиш, копировать содержимое буфера обмена и делать снимки экрана.
Для маскировки вредоносных пакетов злоумышленники применяют две основные тактики. Первая — тайпсквоттинг, создание пакетов с именами, похожими на легитимные. Например,
Вторая тактика — создание пакетов-двойников, имитирующих популярные библиотеки для Web3. Ярким примером является пакет
.env) и ключам API на машинах разработчиков или в средах непрерывной интеграции (CI) ещё до активации систем мониторинга. Изображение носит иллюстративный характер
По словам Оливии Браун, исследователя из компании по безопасности цепочек поставок Socket, такой подход «полностью меняет экономику атак на цепочки поставок». Он не требует от хакеров затрат на хостинг собственной C2-инфраструктуры, а вредоносный трафик легко маскируется под обычную сетевую активность, обходя стандартные правила брандмауэров. Использование вебхуков в сочетании с перехватчиками на этапе установки пакета позволяет похищать данные мгновенно.
В репозитории npm был обнаружен пакет
mysql-dumpdiscord, который целенаправленно извлекал содержимое из файлов config.json, .env, ayarlar.js и ayarlar.json. Другой пакет, nodejs.discord, использовал вебхук для логирования оповещений. В экосистеме Python (PyPI) были выявлены пакеты malinssx, malicus и maliinn, которые активировали C2-канал через Discord сразу после выполнения команды pip install. Атаке подвергся и репозиторий . Вредоносный пакет
sqlcommenter_rails собирал информацию о хосте, включая содержимое системных файлов /etc/passwd и /etc/resolv.conf, после чего отправлял её на жестко закодированный URL вебхука Discord. Параллельно с этим северокорейские хакерские группировки развернули масштабную кампанию под названием «Contagious Interview» («Заразное собеседование»), нацеленную на разработчиков в сферах Web3, криптовалют и блокчейна. В рамках этой операции в реестр npm было загружено 338 вредоносных пакетов, которые в совокупности были скачаны более 50 000 раз.
Механизм атаки включает элементы социальной инженерии. Злоумышленники связываются с потенциальными жертвами на профессиональных платформах, таких как LinkedIn, предлагая им высокооплачиваемую работу. Кандидату предлагается выполнить тестовое задание, для чего необходимо клонировать скомпрометированный репозиторий. Этот репозиторий содержит зависимость от вредоносного пакета, например
eslint-detector, уже опубликованного в npm. При локальном запуске проекта вредоносный код исполняется. По оценке исследователя безопасности Кирилла Бойченко, это не единичные инциденты, а «государственная, управляемая по квотам операция», работающая по «конвейерной или фабричной модели». Злоумышленники рассматривают экосистему npm как «возобновляемый канал для первоначального доступа». Простое удаление вредоносного пакета не решает проблему, так как учетная запись издателя часто остается активной. Для проведения кампании было создано более 180 фальшивых личностей с новыми псевдонимами и адресами электронной почты в npm, а также задействовано более десятка C2-конечных точек.
В ходе кампании «Contagious Interview» распространялись загрузчики HexEval и XORIndex, которые доставляли на устройства жертв основное вредоносное ПО — инфостилер BeaverTail. Дополнительной полезной нагрузкой служил кроссплатформенный бэкдор на Python под названием InvisibleFerret.
BeaverTail предназначен для кражи широкого спектра конфиденциальной информации. Он способен похищать учетные данные из браузеров, данные криптовалютных кошельков, содержимое связки ключей macOS (Keychain), а также перехватывать нажатия клавиш, копировать содержимое буфера обмена и делать снимки экрана.
Для маскировки вредоносных пакетов злоумышленники применяют две основные тактики. Первая — тайпсквоттинг, создание пакетов с именами, похожими на легитимные. Например,
dotevn вместо популярного dotenv. Эта тактика нацелена на проекты, использующие Node.js, Express и фронтенд-фреймворки, такие как React. Вторая тактика — создание пакетов-двойников, имитирующих популярные библиотеки для Web3. Ярким примером является пакет
ethrs.js, который маскируется под легитимную библиотеку ethers.js. Этот метод вводит в заблуждение даже опытных разработчиков, заставляя их устанавливать скомпрометированный код.
