W najnowszym Krajobrazie Zagrożeń opisujemy jak atakujący ukrywają złośliwą aktywność pośród legalnego ruchu, omijają wdrażane zabezpieczenia i wykorzystują już uzyskane dostępy do kolejnych ataków. W aktualnym wydaniu przyjrzeliśmy się kolejnym atakom na łańcuch dostaw przeprowadzanym przez TeamPCP oraz złośliwemu oprogramowaniu SHub Reaper infekującemu systemy MacOS. W świecie zaawansowanych zagrożeń tym razem zwróciliśmy uwagę na powiązaną z Chinami grupę APT Webworm, której aktywność została zaobserwowana również w Polsce. 

Łańcuch dostaw

TeamPCP mierzy wysoko i nie daje odetchnąć analitykom

• TeamPCP zaatakowało ekosystem antv oraz pakiet durabletask. W atakach obserwowane jest fałszowanie zabezpieczeń provenance oraz kradzież wszelkich poświadczeń chmurowych lub związanych ze środowiskiem developerskim. 
• Media obiegła informacja o ataku na GitHub i wystawieniu danych na sprzedaż na forum przestępczym. TeamPCP uzyskało dostęp do 3800 wewnętrznych repozytoriów. Prywatne repozytoria użytkowników nie zostały dotknięte atakiem. 
• GitHub potwierdził atak i podzielił się szczegółami dotyczącymi wektora wejścia i podjętych działań. 

Miniony tydzień przyniósł informacje o kolejnych działaniach grupy TeamPCP, która w ciągu kilku dni przeprowadziła serię skoordynowanych ataków na ekosystemy developerskie związane z Pythonem, npm oraz infrastrukturą GitHuba. TeamPCP wykorzystuje przejęte pakiety, tokeny CI/CD i zaufane kanały dystrybucji do przeprowadzania kolejnych etapów ataków oraz pivotów do kolejnych paczek lub firm. Ich ataki na łańcuch dostaw są już stałym elementem krajobrazu zagrożeń i w przeszłości pojawiali się na łamach naszych podsumowań w marcu i na początku maja. 

19 maja miał miejsce atak na ekosystem antv, popularny zestaw bibliotek do wizualizacji danych używanych w środowisku npm. TeamPCP przejęło konto maintainera i opublikowało setki zainfekowanych wersji pakietów. Operacja była w dużej mierze zautomatyzowana i przeprowadzona w bardzo krótkim czasie, co wskazuje na wcześniej przygotowaną infrastrukturę oraz gotowe mechanizmy publikacji. Szczególnie istotne jest to, że atakujący potrafili wykorzystywać przejęte tokeny GitHub Actions i generować poprzez Sigstore pozornie poprawne mechanizmy provenance związane z SLSA. Takie działania zostały już wykorzystana przez TeamPCP w ataku na Tanstack. W praktyce oznacza to podważenie zaufania do zabezpieczeń łańcucha dostaw. 

Równolegle trwał atak na pakiet durabletask, rozwijany w ekosystemie Microsoft i powiązany z frameworkiem Durable Task wykorzystywanym do orkiestracji workflowów. Atakujący opublikowali złośliwe wersje biblioteki w repozytorium PyPI, dodając malware służący do kradzieży tokenów chmurowych (AWS, Azure, GCP), danych uwierzytelniających oraz poświadczeń środowisk developerskich. Złośliwe oprogramowanie posiada także funkcje przeprowadzania ataków brute-force na menadżery haseł. Według analiz bezpieczeństwa złośliwy kod był rozwinięciem wcześniejszych komponentów wykorzystywanych przez TeamPCP.  

Najbardziej medialne okazały się jednak informacje dotyczące nieautoryzowanego dostępu do około 3800 repozytoriów wewnętrznych GitHub. Według ustaleń samej firmy wektor wejścia był dość trywialny: pracownik zainstalował złośliwe rozszerzenie pobrane z Visual Studio Marketplace. Dzięki jego uprawnieniom oraz poświadczeniom atakującym udało się uzyskać dostęp do wewnętrznych zasobów firmy. Po wykryciu stacja została odizolowana, potencjalnie ujawnione sekrety zostały zresetowane, a sam incydent jest nadal analizowany. Nie ma obecnie dowodów na kompromitację repozytoriów klientów zewnętrznych, jednak sam fakt skutecznego wejścia do infrastruktury platformy pozostaje poważną rysą na reputacji firmy.   

Szczególny w tym scenariuszu jest wątek odpowiedzialności producenta za publikowane przez społeczność rozszerzenia. W przypadku Visual Studio Marketplace Microsoft zapewnia, że skanuje rozszerzenia pod kątem złośliwego oprogramowania i monitoruje je pod kątem niestandardowego zachowania. Mimo tego, tym razem sam Microsoft poniósł konsekwencje niedostatecznej weryfikacji publikowanych tam wtyczek — w końcu reputacyjny cios w GitHub, to od 2018 roku cios w Microsoft. Powinno to przypominać o zasadzie ograniczonego zaufania zarówno do wtyczek, jak i zapewnień firm co do wdrażanych zabezpieczeń. 

Przy okazji ogłoszenia chęci sprzedaży danych należących do GitHub TeamPCP poinformowało, że jeżeli nie znajdzie się kupiec, to opublikują dane za darmo, ponieważ spodziewają się wkrótce swojej „emerytury”. Ta informacja, choć jak zawsze w przypadku takich oświadczeń traktowana zachowawczo, jest warta uwagi. Szczególnie, że pojawiła się niedługo po opublikowaniu kodu źródłowego Shai-Hulud w publicznych repozytoriach. Nawet jeśli działania pod szyldem TeamPCP ucichną lub zmienią format, wypracowane techniki pozostaną obecne w ekosystemie przestępczym. Już teraz pojawiają się atakujący podszywający się pod TeamPCP, a kolejne ataki będą tylko trudniejsze w atrybucji ze względu na publicznie dostępny kod i liczne analizy jawnie określające cechy charakterystyczne ataków powiązanych z tą grupą.  

Patrząc szerzej

Charakterystyczne dla TeamPCP jest konsekwentne atakowanie relacji zaufania i ciągłe wykorzystywanie pozyskanych informacji do kolejnych ataków. Grupa zamiast koncentrować się na pojedynczych ofiarach, atakuje cały łańcuch zależności: konta osób utrzymujących repozytoria, pluginy VS Code, GitHub Actions, rejestry pakietów i środowiska CI/CD. Każdy przejęty komponent służy jako punkt startowy do kolejnego ataku.  

TeamPCP pokazuje, że najbardziej krytycznym elementem infrastruktury software supply chain są zapomniane zależności i niedostatecznie monitorowane środowiska developerskie. Weryfikacja podpisów, MFA czy zabezpieczenia pipeline’ów nie wystarczają, jeśli pojedynczy token lub rozszerzenie IDE mogą otworzyć drogę do kompromitacji całych organizacji.  

Więcej informacji: 
https://www.microsoft.com/en-us/security/blog/2026/05/20/mini-shai-hulud-compromised-antv-npm-packages-enable-ci-cd-credential-theft/ 
https://www.wiz.io/blog/mini-shai-hulud-teampcp-hits-antv-supply-chain 
https://www.wiz.io/blog/mini-shai-hulud-strikes-again-tanstack-more-npm-packages-compromised 
https://x.com/github/status/2056949168208552080 

Zaawansowane zagrożenia

Nowoczesne C2 w legalnych usługach — analiza działań Webworm 

• Chińska grupa APT Webworm była obserwowana nie tylko w regionie Azji, ale również w Europie, w tym w Polsce, co wskazuje na szeroki zakres zainteresowań aktora.  
• Operatorzy operacji ofensywnych i szpiegowskich coraz częściej wykorzystują legalne platformy i usługi chmurowe – takie jak Discord, GitHub, Microsoft Graph czy AWS S3 – do ukrywania komunikacji C2, dystrybucji konfiguracji oraz eksfiltracji danych.  
• Webworm rozwija rozbudowaną warstwę pośredniczącą opartą o narzędzia proxy i tunelowanie, umożliwiającą budowę wielowarstwowych łańcuchów komunikacyjnych.

Najnowsza aktywność grupy Webworm pokazuje wyraźną zmianę filozofii prowadzenia operacji cyberwywiadowczych. Chiński aktor APT, który początkowo koncentrował się głównie na organizacjach w Azji, w ostatnich latach wyraźnie przesunął ciężar swoich działań w kierunku Europy, obejmując m.in. instytucje rządowe w Belgii, Włoszech, Serbii oraz Polsce. Z perspektywy threat intelligence wskazuje to na ewolucję grupy z regionalnego zagrożenia w podmiot realizujący szeroko zakrojone operacje cyberwywiadowcze o globalnym zasięgu. 

W przeciwieństwie do starszych kampanii APT, opartych na klasycznych serwerach C2 i prostszych implantach, obecna działalność Webworm koncentruje się na budowie rozproszonego, trudnego do wykrycia ekosystemu komunikacyjnego silnie osadzonego w legalnych usługach chmurowych. To jeden z kluczowych wniosków analizy ESET. Grupa odchodzi od tradycyjnych rodzin malware na rzecz lekkich komponentów proxy, tuneli sieciowych oraz komunikacji ukrytej w powszechnie wykorzystywanych platformach internetowych. 

Webworm coraz szerzej wykorzystuje usługi SaaS i platformy chmurowe jako integralną część infrastruktury operacyjnej. Komunikacja z implantami jest ukrywana w ruchu do usług takich jak Microsoft Graph, OneDrive, Discord, GitHub czy Amazon S3, co sprawia, że aktywność napastników przypomina standardowy ruch biznesowy użytkowników organizacji. Z perspektywy obrony znacząco utrudnia to wykrywanie anomalii, ponieważ filtrowanie lub blokowanie tych usług jest często niewykonalne operacyjnie. Szczególnie istotne jest wykorzystanie Microsoft Graph API i OneDrive jako kanału C2 oraz przestrzeni do eksfiltracji danych, przy czym dla poszczególnych ofiar tworzone są odrębne środowiska robocze, co wskazuje na wysoką segmentację operacji. 

Kolejnym elementem ewolucji jest modularność i warstwowość infrastruktury Webworm. Zamiast pojedynczego kanału komunikacji grupa buduje wieloetapowe łańcuchy proxy i tuneli, które segmentują ruch pomiędzy kolejnymi fazami operacji. Poszczególne komponenty pełnią wyspecjalizowane role – od pośrednictwa w komunikacji, przez dystrybucję konfiguracji, po utrzymywanie łączności z hostami ofiar. Wykorzystywane są zarówno istniejące narzędzia proxy i tunelujące, jak i autorskie rozwiązania umożliwiające szyfrowanie oraz chaining ruchu przez wiele węzłów. Całość coraz bardziej przypomina architekturę typu ORB (Operational Relay Box), opartą o rozproszoną sieć węzłów pośredniczących oraz zasoby chmurowe wykorzystywane jako warstwa ukrycia operacji. Takie podejście utrudnia analizę łańcucha ataku, blokowanie komunikacji oraz klasyczne mechanizmy IOC-based detection. Nawet w przypadku wykrycia pojedynczego elementu infrastruktury operatorzy są w stanie szybko odtworzyć kanały komunikacji alternatywną ścieżką, a część kompromitowanych systemów może zostać włączona do szerszej sieci relayów. 

Ciekawym aspektem analizy ESET jest również fakt odszyfrowania ponad 400 wiadomości wykorzystywanych przez infrastrukturę Discord C2. Pozwoliło to badaczom częściowo odtworzyć sposób pracy operatorów, powiązać aktywność z konkretnymi repozytoriami GitHub oraz potwierdzić ciągłość infrastruktury Webworm obserwowanej od 2022 roku. Jednocześnie pokazuje to, że mimo coraz bardziej zaawansowanych metod ukrywania komunikacji, grupy APT nadal pozostawiają ślady operacyjne możliwe do wykorzystania podczas długoterminowej analizy threat intelligence. 

Patrząc szerzej

Z perspektywy codziennej pracy, Webworm jest przykładem tego, jak bardzo zaciera się dziś granica między ruchem złośliwym a normalną aktywnością użytkowników. Największym problemem nie jest już sama detekcja malware, tylko odróżnienie tego, co jest legalnym użyciem SaaS, od tego co jest kanałem sterowania.

Klasyczne podejście oparte na IOC praktycznie przestaje już działać w izolacji. Same adresy, domeny czy sygnatury nie dają już pełnego obrazu – potrzebna jest korelacja wielu drobnych sygnałów, np. nietypowego użycia API, anomalii w ruchu HTTPS czy nieoczekiwanych operacji w usługach chmurowych. 

Webworm dobrze pokazuje, że nowoczesne APT nie próbują już się wyróżniać – wręcz przeciwnie, ich celem jest maksymalne wtopienie się w normalny profil ruchu środowiska. 

Więcej informacji:  
https://www.welivesecurity.com/en/eset-research/webworm-new-burrowing-techniques/ 

Cybercrime

Apple, Google, Microsoft — i Reaper

• SHub Reaper to nowy wariant rodziny SHub dla macOS. Zamiast klasycznego wklejania komendy do Terminala ofiara trafia przez applescript:// do Script Editora, gdzie uruchamiany jest złośliwy łańcuch. 
• Operatorzy wykorzystują typosquatting, fałszywe instalatory i komunikaty stylizowane na aktualizację bezpieczeństwa Apple, a utrzymanie obecności w systemie ukrywają pod postacią Google Software Update.  
• Reaper wykracza poza prostą kradzież haseł. Zbiera dane z przeglądarek, portfeli, Keychain i plików użytkownika, a do tego ma moduł grabbera w stylu AMOS. 

SHub Reaper to kolejna iteracja rodziny SHub wymierzona w użytkowników macOS. Operatorzy wykorzystują fałszywe instalatory WeChat i Miro, a następnie prowadzą ofiarę przez łańcuch, w którym kolejne etapy wyglądają tak, jakby pochodziły z różnych zaufanych źródeł: najpierw domena podszywająca się pod Microsoft, potem komunikat o rzekomej aktualizacji bezpieczeństwa Apple, a na końcu mechanizm persystencji stylizowany na Google Software Update. 

Punktem wejścia są fałszywe strony podszywające się pod instalatory WeChat i Miro. Zanim dojdzie do samej infekcji, strony aktywnie profilują odwiedzającego zbierając dane geolokalizacyjne, fingerprint przeglądarki oraz sygnały wskazujące na środowisko wirtualne lub użycie VPN. Równolegle wyliczają zainstalowane rozszerzenia przeglądarki w poszukiwaniu menedżerów haseł i portfeli kryptowalutowych, a zebrane informacje przekazują operatorom przez bota Telegram. Wbudowane mechanizmy antyanalityczne obejmują nadpisywanie funkcji console, przechwytywanie skrótu F12 i pętlę debuggera, a w przypadku obejścia tych zabezpieczeń strona wyświetla rosyjski komunikat „Access Denied”. 

Właściwy mechanizm infekcji odchodzi od znanego dobrze ClickFix opartego na Terminalu, czyli wektora, który Apple ograniczyło w Tahoe 26.4 dla tego typu ścieżek ataku. Reaper zamiast tego wykorzystuje applescript://, które otwiera macOS Script Editor z wcześniej wgranym złośliwym kodem. Sam skrypt jest ukryty pod warstwą grafiki ASCII i fikcyjnego tekstu, tak aby nie był widoczny bez przewijania okna, co sprawia, że ofiara widzi w praktyce tylko przycisk „Run”.  Po kliknięciu uruchamiany jest łańcuch, który wyświetla fałszywy komunikat o aktualizacji XProtectRemediator, po czym pobiera i wykonuje kolejne etapy infekcji. 

Zakres kradzieży obejmuje dane z wielu przeglądarek oraz portfeli kryptowalutowych, a także macOS Keychain. Wcześniejsze buildy SHub celowały też w dane iCloud i sesje Telegrama, natomiast Reaper utrzymuje ten sam rdzeń funkcjonalny i rozszerza go o moduł Filegrabber podobny do tego w AMOS. Zebrane pliki są porcjowane i wysyłane do C2, a dodatkowo malware próbuje podmieniać app.asar w aplikacjach portfelowych, co daje operatorom możliwość ingerowania w przyszłą aktywność ofiary, a nie tylko w dane już przejęte. 

Persistence jest osiągane przez stworzenie na dysku struktury imitującej Google Software Update, zapisanie w niej skryptu GoogleUpdate i zarejestrowanie go jako LaunchAgent. W praktyce oznacza to, że po pierwszym uruchomieniu malware pozostawia sobie mechanizm cyklicznego wywoływania co 60 sekund, który działa jak beacon i może pobierać oraz wykonywać kolejne polecenia z C2. To sprawia, że mamy tu nie tylko eksfiltrację, ale też stały punkt zaczepienia do dalszych działań po kompromitacji. 

Patrząc szerzej

Reaper nie wnosi jednej przełomowej techniki, ale bardzo dobrze pokazuje kierunek rozwoju tego typu kampanii. Operatorzy łączą znane już elementy jak podszywanie się pod zaufane marki, ClickFix omijający zabezpieczenia wprowadzone przez Apple, antyanalizę i persistence. Z perspektywy CTI ważniejsze od samego malware jest tu to, że kampania przechodzi od jednorazowej eksfiltracji do utrzymywanego dostępu i dalszych działań po kompromitacji. 

Użytkownicy w Polsce mogą natknąć się podobne kampanie, wpisując w wyszukiwarkę zapytanie w rodzaju „Claude macOS”. Wyniki sponsorowane mogą prowadzić do stron odwzorowujących dokładnie opisany tu wzorzec, nawet z tym samym zakodowanym poleceniem w base64, które opisuje SentinelOne. Zasięg geograficzny kampanii nie ogranicza się do rynków anglojęzycznych. 

Więcej informacji: 
https://www.sentinelone.com/blog/shub-reaper-macos-stealer-spoofs-apple-google-and-microsoft-in-a-single-attack-chain/