Il existe un nouvel acteur menaçant dans le domaine de la cybercriminalité qui semble prendre personnellement les contre-attaques des chercheurs.
Les chercheurs en cybersécurité de Checkmarx ont récemment publié un article de blog sur un acteur menaçant surnommé RED-LILI. Ce groupe a été vu livrer des packages NPM malveillants à l'aide de comptes d'utilisateurs créés automatiquement.
Depuis lors, Checkmarx a publié ses conclusions sur les techniques et les méthodes de cet acteur malveillant, et a même créé RED-LILI Tracker pour partager des informations sur les paquets de l'attaquant et les résultats d'analyse avec la communauté.
Ne jamais partir
Cette décision n'a pas plu au groupe, qui a réagi en modifiant un peu sa tactique. En plus d'essayer de rendre les packages malveillants plus crédibles et d'obscurcir le code malveillant du mieux qu'ils peuvent, le groupe a également commencé à laisser des messages aux chercheurs.
Ces messages ont été envoyés via des noms de packages, qui "s'écartaient du modèle normal" dans certains d'entre eux :
je n'aime pas
pas brillant
ne pars jamais
ne souffle pas
ce n'est pas ce que tu vois
helloboy634
nosoawesome232
scanner de merde
Depuis qu'il a initialement informé le groupe, il a ralenti et arrêté les attaques d'automatisation en rafale, ont découvert les chercheurs. RED-LILI a également abandonné les anciens noms de domaine et enregistré un nouveau domaine - 22timerGeorgia.
Les chercheurs pensent que la prochaine vague d'attaques est encore à venir, car RED-LILI explore et lance actuellement des packages soigneusement sélectionnés, chacun avec son propre mécanisme d'évasion unique.
"Cependant, l'empreinte digitale de l'attaquant reste car il réutilise des fonctionnalités similaires (similitude de code, mêmes chaînes d'identification, etc.)", ont conclu les chercheurs. "Dans les packages récents, ils le font tout en divulguant les données qu'ils collectent vers des adresses jusque-là inconnues dans différents services, comme nous l'avons vu auparavant, comme les services de webhook gratuits, par exemple, pipedream et requestbin."
Une ventilation détaillée des méthodes du groupe, ainsi que tous les noms de packages qui ont été découverts jusqu'à présent, peuvent être trouvés sur ce lien.