Анатолий Хаблюк 
Аналитики Checkmarx выявили атаку на цепочку поставок компьютерных систем со стороны вредоносного пакета под названием XML-RPC, который на протяжении года занимался тем, что майнил криптовалюту и похищал данные компаний и клиентов. По информации экспертов, XML-RPC, начал работать осенью 2023 года, и был активен до последнего времени.
Изначально созданный для легитимной работы с протоколом XML-RPC в Node.js, с версии 1.3.4 пакет начал включать в свой состав вредоносный код. Этот код, скрытый в файле validator.js, позволял незаметно запускать криптомайнера XMRRig, и собирал приватные данные, которые затем передавались через Dropbox, что затрудняло их отслеживание.
Вредоносное программное обеспечение распределялось несколькими способами: через прямую установку пакета из NPM и через зависимость в проекте на GitHub под названием «yawpp», якобы предназначенном для работы с WordPress. Это позволяло незаметно заражать системы разработчиков, доверяющих проверенным репозиториям.
Как выяснили аналитики, атаки были тщательно замаскированы. Вредоносный пакет активировался только при выполнении определенных команд. Чтобы повысить эффективность майнинга криптовалют, XML-RPC использовал технологию обнаружения активности пользователя и запускался только в периоды бездействия.
Кроме этого, он применял системные службы для автоматического восстановления после того, система перезагружалась.
Аналитики Checkmarx выявила 68 скомпрометированных систем, подключённых к майнинг-пулу hashvault.pro. Все они добывали криптовалюту Monero для хакера.
Чтобы уклоняться от обнаружения систем безопасности, XML-RPC задействовал мониторинг процессов, блокирующий работу при активации инструментов контроля.
