Hacker zanechává zprávy ve svých škodlivých javascriptových balíčcích

Společnost Checkmarx nedávno publikovala příspěvek na svém blogu týkající se záhadného hackera, který ve svých škodlivých NPM balíčcích zanechával tajné zprávy pro výzkumníky vyšetřující kybernetické útoky. Podle dostupných informací si hacker říká RED-LILI a své škodlivé NPM balíky distribuoval pomocí automaticky vytvářených uživatelských účtů. Protože útočník RED-LILI nevzal moc dobře pozornost výzkumníků, kteří se snaží zabránit jeho práci, zareagoval změnou své taktiky. Kromě snah, aby veškeré nebezpečné balíčky vypadaly věrohodněji a důslednějšího skrývání škodlivého kódu, rovněž začal zanechávat zprávy všem výzkumníkům.

Tyto zprávy byly doručovány prostřednictvím názvů balíčků, které se „odlišovaly od normálního vzoru“. Příklady těchto názvů byly:

• Dontbelikethat [Nebuď takový]
• Notsobrilliant [Ne tak geniální]
• Dontgothereever [Nikdy tam nechoď]
• Pandorasucks [Pandora je na ho*no]
• Dontbuythisshit [Nekupuj tuhle sra*ku]

Po příchodu první poplašné zprávy o tomto typu hrozby útočník zpomalil ve svých škodlivých akcích a pozastavil veškeré útoky. RED-LILI také zrušil stará doménová jména a registroval se pod novou doménou.

Výzkumníci se domnívají, že hacker znova zaútočí, ale není jasné kdy. RED-LILI nyní zveřejňuje vybrané balíčky, z nichž každý má svůj jedinečný mechanismus pro detekční únik.

Balíčky se škodlivým kódem, které vytvořil RED-LILI, jsou snadno identifikovatelné, protože mají podobné vlastnosti, jako jsou podobnost kódu, stejné identifikační řetězce apod.

Společnost Checkmarx také vytvořila RED-LILI Tracker, který slouží ke sdílení informací o útočníkových balíčcích s komunitou.

Veškeré další informace o této hrozbě, rozpis metod skupiny nebo kompletní seznam všech názvů jednotlivých balíčků, jež byly dosud odhaleny, naleznete právě v již zmiňovaném příspěvku na blogu Checkrmaxu.

Zdroj: Checkmarx.com