Un misterioso attore di minacce ha lasciato una scia di messaggi nascosti per i ricercatori che indagano sui suoi attacchi.
La società di cybersecurity Checkmarx ha recentemente pubblicato un post sul blog su un attore di minacce soprannominato RED-LILI, che ha distribuito pacchetti NPM dannosi utilizzando account utente creati automaticamente.
L’azienda ha anche creato il RED-LILI Tracker per condividere le informazioni sui pacchetti dell’attaccante con la comunità.
RED-LILI ha risposto al blog cambiando le sue tattiche. Oltre a cercare di far sembrare i pacchetti dannosi più credibili e offuscare il codice dannoso, l’attore della minaccia ha anche iniziato a lasciare messaggi ai ricercatori.
Questi messaggi sono stati consegnati attraverso i nomi dei pacchetti, che “divergevano dal modello normale“, tra cui:
- dontbelikethat
- notsobrilliant
- dontgothereever
- dontblowthisoff
- heisnotwhatyousee
- helloboy634
- nosoawesome232
- F**kyouscanner
Dal rapporto iniziale, RED-LILI ha rallentato e messo in pausa gli attacchi di automazione a raffica, i ricercatori hanno trovato. RED-LILI ha anche scaricato vecchi nomi di dominio e registrato un nuovo dominio: 22timer[.]ga.
I ricercatori ritengono che la prossima ondata dell’attacco debba ancora arrivare, dato che RED-LILI ora esplora e pubblica pacchetti scelti con cura, ognuno con il proprio meccanismo di evasione unico.
“Tuttavia, l’impronta dell’attaccante rimane ancora, poiché riutilizzano caratteristiche simili (somiglianza del codice, stesse stringhe identificative, ecc.)“, hanno concluso i ricercatori.
“Nei pacchetti recenti, lo stanno facendo mentre esfiltra i dati che raccolgono a indirizzi precedentemente sconosciuti su diversi servizi, da quello che abbiamo visto prima come i servizi webhook gratuiti, per esempio, pipedream e requestbin.“
Una ripartizione dettagliata dei metodi del gruppo, così come tutti i nomi dei pacchetti che sono stati finora scoperti, può essere trovata qui.
