Adres IP zwrócony przez analizowany przez Phylum pakiet to: hxxp://193.233.201(.)21:3001.
Chociaż metoda ta miała prawdopodobnie ukryć źródło infekcji drugiego etapu, jak na ironię, w efekcie pozostawiła ślad poprzednich adresów, z których napastnicy korzystali w przeszłości. Naukowcy wyjaśnili:
Ciekawą rzeczą związaną z przechowywaniem tych danych w łańcuchu bloków Ethereum jest to, że Ethereum przechowuje niezmienną historię wszystkich wartości, jakie kiedykolwiek widziało. Dzięki temu możemy zobaczyć każdy adres IP, z którego kiedykolwiek korzystał ten ugrupowanie zagrażające.
W dniu 23.09.2024 00:55:23Z było to hxxp://localhost:3001
Od 2024-09-24 06:18:11Z było to hxxp://45.125.67(.)172:1228
Od 2024-10-21 05:01:35Z było to hxxp://45.125.67(.)172:1337
Od 2024-10-22 14:54:23Z było to hxxp://193.233(.)201.21:3001
Od 2024-10-26 17:44:23Z jest to hxxp://194.53.54(.)188:3001
Po zainstalowaniu złośliwe pakiety mają postać spakowaną Pakiet Vercel. Ładunek działa w pamięci, ustawia się do ładowania przy każdym ponownym uruchomieniu i łączy się z adresem IP z kontraktu Ethereum. Następnie „wykonuje kilka żądań pobrania dodatkowych plików JavaScript, a następnie wysyła informacje o systemie z powrotem do tego samego serwera żądającego” – napisali badacze Phylum. „Informacje te obejmują informacje o procesorze graficznym, procesorze, ilości pamięci na komputerze, nazwie użytkownika i wersji systemu operacyjnego”.
Ataki takie jak ten polegają na typosquattingu, czyli używaniu nazw, które bardzo naśladują nazwy prawidłowych pakietów, ale zawierają niewielkie różnice, takie jak te, które mogą wystąpić, jeśli pakiet zostanie przypadkowo błędnie napisany. Typosquatting od dawna jest taktyką mającą na celu zwabienie ludzi na złośliwe strony internetowe. W ciągu ostatnich pięciu lat typosquatting był stosowany w celu nakłonienia programistów do pobrania bibliotek złośliwego kodu.
Programiści powinni zawsze dokładnie sprawdzić nazwy przed uruchomieniem pobranych pakietów. Wpis na blogu Phylum zawiera nazwy, adresy IP i skróty kryptograficzne powiązane ze złośliwymi pakietami używanymi w tej kampanii.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25715032/aa1_102024_xrayrecaps_standard_hero_v1_600kb_2000x1125.jpg?w=238&resize=238,178&ssl=1 "Prime Video pozwoli Ci przywołać sztuczną inteligencję, aby podsumować to, co oglądasz")
/cdn.vox-cdn.com/uploads/chorus_asset/file/25715032/aa1_102024_xrayrecaps_standard_hero_v1_600kb_2000x1125.jpg?w=100&resize=100,75&ssl=1 "Prime Video pozwoli Ci przywołać sztuczną inteligencję, aby podsumować to, co oglądasz")
