Este misterioso hacker deja mensajes ocultos para los investigadores que

Hay un nuevo actor de amenazas en el espacio del cibercrimen que parece estar tomando los contraataques de los investigadores como algo personal.

Los investigadores de seguridad cibernética de Checkmarx publicaron recientemente una publicación de blog sobre un actor de amenazas apodado RED-LILI. Se ha visto a este grupo entregando paquetes NPM maliciosos utilizando cuentas de usuario creadas automáticamente.

Desde entonces, Checkmarx ha publicado sus hallazgos sobre las técnicas y métodos de este actor de amenazas, e incluso creó RED-LILI Tracker para compartir información sobre los paquetes del atacante y los resultados del análisis con la comunidad.

no te vayas nunca

Esta decisión no gustó al grupo, que reaccionó modificando un poco su táctica. Además de tratar de hacer que los paquetes maliciosos sean más creíbles y ofuscar el código malicioso lo mejor que puedan, el grupo también comenzó a dejar mensajes para los investigadores.

Estos mensajes se enviaron a través de nombres de paquetes, que «se desviaron del patrón normal» en algunos de ellos:

no me gusta
no brillante
Nunca vayas
no soples
no es lo que ves
holaboy634
nosoawesome232
Escáner de mierda

Dado que inicialmente informó sobre el grupo, ralentizó y detuvo los ataques de automatización de ráfagas, encontraron los investigadores. RED-LILI también descartó nombres de dominio antiguos y registró un nuevo dominio – 22timer[.]Georgia.

Los investigadores creen que la próxima ola de ataques aún está por llegar, ya que RED-LILI ahora está explorando y lanzando paquetes cuidadosamente seleccionados, cada uno con su propio mecanismo de evasión único.

“Sin embargo, la huella digital del atacante permanece ya que reutiliza características similares (similitud de código, mismas cadenas de identificación, etc.)”, concluyeron los investigadores. «En paquetes recientes, hacen esto mientras filtran los datos que recopilan a direcciones previamente desconocidas en diferentes servicios, de lo que hemos visto antes, como servicios de webhook gratuitos, por ejemplo, pipedream y requestbin».

En este enlace se puede encontrar un desglose detallado de los métodos del grupo, junto con todos los nombres de los paquetes que se han descubierto hasta ahora.

Share This