Ein ausgeklügeltes Schema, das das Atos-Drohungs-Untersuchungsteam im März 2026 entdeckte, zeigt, wie schädliche Akteure die Offensive gegen hochprivilegierte Konten durch eine Kombination von klassischen Techniken und modernen Resilienzressourcen fortsetzen: SEO Vergiftung, eine zweiphasige Distributionsarchitektur in GitHub und eine in der öffentlichen Blockkette verankerte Befehls- und Steuerauflösung (C2). Das Ziel ist nicht der durchschnittliche Benutzer: Sie suchen bewusst Administratoren, DevOps-Ingenieure und Sicherheitsanalysten durch MSI-Installateure, die für legitime administrative Dienstprogramme.
Die Kampagne nutzt das Vertrauen in die Suchergebnisse. Durch SEO Vergiftung machen die Angreifer Fassadenrepositorien in GitHub - sauber, mit professionellem und gut indiziertem README - erscheinen an den ersten Stellen für spezialisierte Werkzeugsuche. Diese Repositories wirken als Fenster und leiten den Benutzer diskret in ein zweites verstecktes Repository um, das den eigentlichen Installer beherbergt. Durch die Trennung der öffentlichen Sichtbarkeit der Nutzlastlieferung kann die Verteilungsinfrastruktur gedreht werden, ohne die Positionierung in Suchmaschinen zu verlieren Dies macht Minderungsaktionen nur auf der Grundlage von Kontoverschlüssen oder der Entsorgung von Repositories schwierig.
Technisch sind die identifizierten Installateure MSI, die ein ofuscated Batch-Skript feuern, die Node.js Laufzeit aus ihrem offiziellen Kanal herunterladen und eine mit AES-256-CBC verschlüsselte Multi-Channel JavaScript Payload-Kette bereitstellen. Die Beharrlichkeit wird durch Run-Tasten der Registry mit zufälligen Namen erreicht, und der bösartige Prozess läuft innerhalb legitimer Prozesse (z.B. conhost.exe mit Parametern, die versuchen, es zu verstecken). Das endgültige Verhalten ist das eines RAT im Speicher, der in der Lage ist, sich neu zu schreiben und Remote-Code dynamisch laufen., die die Detektion durch statische Signaturen erschwert.
Die Komponente, die dieser Operation einen echten strategischen Wert verleiht, ist C2-Auflösung durch Smart Contracts in Etheum: Die Malware konsultiert öffentlich mehrere RPC-Endpunkte von Etheum, um den in einem Vertrag gespeicherten Wert zu lesen und so die URL des Befehlsservers zu erhalten. Durch die Aktualisierung dieser Einzeldaten in der Kette leitet der Gegner alle Infektionen um, ohne die eingesetzten Binäre zu berühren. Dadurch wird die Schlosskette zu einem öffentlichen, hochverfügbaren und blockfesten Tottropfen durch Domain oder IP. Um den zugrunde liegenden technischen Mechanismus zu verstehen, können die Dokumentationen zu Knoten und Etheum-Kunden bei Aeum.org.
Die operativen Implikationen sind ernst: durch das Ziel von Werkzeugen, die nur Benutzer mit hohen Berechtigungen verwenden, jede Infektion hat eine hohe Wahrscheinlichkeit, "Königheitsschlüssel" innerhalb einer Organisation zu werden. Darüber hinaus priorisiert die Kampagne Geduld und Stealth - post-manuelle Ausbeutung, stille Erkennung und gemessene seitliche Bewegungen - die das Risiko eines längeren Zugangs und gerichtete Exfiltration erhöht.
Diese Bedrohung zu erkennen, erfordert die Betrachtung über statische Indikatoren hinaus. Nützliche Telemetrie umfassen die Entstehung von Knoten. exe Prozesse, die Systembefehle ausführen, conhost. exe veröffentlicht mit ungewöhnlichen Argumenten wie "--headless", regelmäßigen Schriften in lokalen Trace-Dateien (z.B. svchost.log in% APPDATA%) und ausgehenden Verkehr zu Ethedium public RPC-Diensten. Die Überprüfung von Egresshistorien und DNS / HTTP-Daten auf öffentliche RPC-Gateways ist entscheidend für die Entdeckung vergangener Infektionen.
Was die praktische Minderung betrifft, ist es angebracht, Egress-Kontrollen anzuwenden, um den Zugang zu öffentlichen RPC-Gateways zu blockieren oder zu überprüfen, die verwendet werden, um Etherium zu konsultieren, die Freigaberichtlinien für Software-Downloads an Verwaltungsstationen umzusetzen und Softwarequellen in verifizierten internen Katalogen oder Lieferantenportalen zu zentralisieren. Der dynamische Download von Node.js von seiner offiziellen Website durch den böswilligen Installer unterstreicht die Notwendigkeit, zu beschränken, welche Systeme frei auf das Internet zugreifen können, um externe Laufzeiten zu erholen; zum Beispiel die offizielle Website von Node.js ist Nodes.org aber deren Verwendung muss der Kontrolle und Überwachung innerhalb des Unternehmensumfangs unterliegen.
Es wird auch empfohlen, den administrativen Zugang mit Netzsegmentierung, minimalen Privilegien, solide Multifaktor-Authentifizierung und häufige Rotation von Anmeldeinformationen zu stärken. Seit der Erkennung sollten EDR-Regeln nach Mustern wie wiederholten und periodischen Hinrichtungen (jeweils ~ 5 Minuten) zu ungewöhnlichen Endpunkten suchen, Eltern-Kind-Anomalien wo Knoten. exe ruft Shells und die Anwesenheit von Run-Tasten mit zufällig generierten Namen an. Beauftragen Sie keine kritische Werkzeugprüfung auf ein einfaches Suchergebnis: ermutigen Sie die Verwendung von signierten und geprüften internen Repositories.
In Reaktion und Koordination sollten Verteidigungsteams technische Aktionen mit Lieferanten und Plattformen kombinieren (z.B. die Entfernung von schädlichen Repositories in GitHub anfordern) und mit CSIRTs und Behörden zusammenarbeiten, um die Infrastruktur so weit wie möglich zu verfolgen. Es ist jedoch zu erkennen, dass die dezentrale Natur des C2-Vektors die Wirksamkeit herkömmlicher Gegenmaßnahmen begrenzt und defensive Maßnahmen in Schichten erfordert.
Bei der Zuschreibung gibt es Berichte über technische Überschneidungen zwischen diesem Modul "EtherHering" und früheren Arbeiten, die von verschiedenen Teams zu staatlichen Akteuren verbunden sind. Die Wiederverwendung von Code und Techniken zwischen Gruppen ist jedoch üblich; technische Nachweise allein sollten nicht zu Misstrauensbeschlüssen führen, ohne dass eine breite Gruppe von Korroborierungen.
Schließlich sollte die Verteidigungsgemeinschaft diesen Fall als Erinnerung daran betrachten, dass die menschliche Lieferkette in Suchmaschinen beginnt und mit Privilegien in der Maschine endet. Adopt-Telemetrie-Kontrollen, schränken die Fortschritte auf unübertroffene dezentrale Infrastruktur ein und trainieren Verwaltungspersonal, um die Quelle der Software zu überprüfen, sind dringende Maßnahmen. Um Sicherheitsmaßnahmen in der Software-Versorgungskette besser zu verstehen und in der Minderung zusammenzuarbeiten, ist GitHubs Leitfaden zur Supply Chain Security ein guter Ausgangspunkt: GitHub Lieferkettensicherheitsführer. In Umgebungen, in denen es Zweifel an historischen Kommunikation gibt, wird eine forensische Analyse des Protokolls und der Zusammenarbeit mit Teams wie CSIRT und Managed Security Providern der Schlüssel sein, diese Bedrohung zu enthalten und zu löschen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...