Το Tsundere αντιπροσωπεύει μια σημαντική αλλαγή στις τακτικές botnet, αξιοποιώντας τη δύναμη των νόμιμων πακέτων Node.js και της τεχνολογίας blockchain για τη διανομή κακόβουλου λογισμικού σε πολλά λειτουργικά συστήματα.
Αναγνωρίστηκε για πρώτη φορά γύρω στα μέσα του 2025 από τους ερευνητές της Kaspersky GreAT, αυτό το botnet δείχνει την εξελισσόμενη πολυπλοκότητα των επιθέσεων της εφοδιαστικής αλυσίδας.
Η απειλή προέρχεται από δραστηριότητα που παρατηρήθηκε για πρώτη φορά τον Οκτώβριο του 2024, όπου οι εισβολείς δημιούργησαν 287 κακόβουλα πακέτα npm χρησιμοποιώντας typosquatting—μιμούμενοι τα ονόματα δημοφιλών βιβλιοθηκών όπως το Puppeteer και το Bignum.js για να παραπλανήσουν τους προγραμματιστές στην εγκατάσταση.
Ο φορέας μόλυνσης έχει εξελιχθεί σημαντικά από τότε. Το Tsundere εξαπλώνεται μέσω πολλαπλών οδών, συμπεριλαμβανομένων εργαλείων απομακρυσμένης παρακολούθησης και διαχείρισης και μεταμφιεσμένων εγκαταστάσεων παιχνιδιών που αξιοποιούν τις κοινότητες πειρατείας.
Τα δείγματα που ανακαλύφθηκαν στην άγρια αρκούδα ονομάζονται όπως “valorant”, “cs2” και “r6x”, που στοχεύουν συγκεκριμένα τους λάτρεις των σκοποβολής πρώτου προσώπου.
.webp.jpeg)
Αυτή η προσέγγιση αποδεικνύεται εξαιρετικά αποτελεσματική στην αποφυγή της παραδοσιακής ευαισθητοποίησης σχετικά με την ασφάλεια, καθώς οι χρήστες αναμένουν αυτές τις εφαρμογές ούτως ή άλλως.
Το botnet απειλεί ιδιαίτερα τους χρήστες των Windows, αν και η αρχική καμπάνια εξέθεσε συστήματα σε πλατφόρμες Windows, Linux και macOS όταν λειτουργούσε μέσω της ανάπτυξης πακέτων npm.
Η υποδομή πίσω από το Tsundere αποκαλύπτει μια εξελιγμένη κατανόηση των σύγχρονων μεθόδων επίθεσης. Αντί να βασίζεται στην παραδοσιακή κεντρική υποδομή εντολών και ελέγχου, το botnet χρησιμοποιεί έξυπνα συμβόλαια blockchain Ethereum για την αποθήκευση και την ανάκτηση διευθύνσεων C2.
.webp.jpeg)
Αυτή η προσέγγιση προσθέτει ανθεκτικότητα, καθιστώντας δύσκολη την κατάργηση των διακομιστών με συμβατικά μέσα. Ο παράγοντας απειλών, που προσδιορίζεται ως koneko —ένας ρωσόφωνος επιχειρηματίας— διαχειρίζεται μια επαγγελματική αγορά όπου άλλοι εγκληματίες του κυβερνοχώρου μπορούν να αγοράσουν υπηρεσίες botnet ή να αναπτύξουν τη δική τους λειτουργικότητα.
Securelist αναλυτές ασφαλείας αναγνωρισθείς το κακόβουλο λογισμικό μετά την ανακάλυψη συνδέσεων μεταξύ της τρέχουσας καμπάνιας και προηγούμενων επιθέσεων στην αλυσίδα εφοδιασμού.
Η έρευνά τους αποκάλυψε ότι ο παράγοντας απειλής έκτοτε επανεμφανίστηκε με βελτιωμένες δυνατότητες, λανσάροντας το Tsundere ως εξέλιξη προηγούμενων προσπαθειών κακόβουλου λογισμικού.
.webp.png)
Ο πίνακας υποστηρίζει μηχανισμούς παράδοσης σεναρίων και προγράμματος εγκατάστασης MSI και PowerShell, παρέχοντας στους εισβολείς ευελιξία στις στρατηγικές ανάπτυξης σε διαφορετικά περιβάλλοντα δικτύου και άμυνες.
Πώς το Tsundere διατηρεί την επιμονή μέσω της κατάχρησης Node.js
Ο μηχανισμός μόλυνσης ξεκινά όταν ένα πρόγραμμα εγκατάστασης MSI ή ένα σενάριο PowerShell εκτελείται στο σύστημα του θύματος, ρίχνοντας τα νόμιμα αρχεία χρόνου εκτέλεσης Node.js στο AppData μαζί με κακόβουλο JavaScript.
Η εγκατάσταση χρησιμοποιεί μια κρυφή εντολή PowerShell που δημιουργεί μια διαδικασία Node.js που εκτελεί τον ασαφή κώδικα φόρτωσης.
Αυτό το σενάριο φόρτωσης αποκρυπτογραφεί το κύριο bot χρησιμοποιώντας κρυπτογράφηση AES-256-CBC πριν δημιουργήσει το περιβάλλον botnet. Το bot εγκαθιστά αυτόματα τρία κρίσιμα πακέτα npm: ws για επικοινωνία WebSocket, αιθέρες για αλληλεπίδραση αλυσίδας μπλοκ Ethereum και pm2 για διαρκή διαδικασία.
Το πακέτο pm2 διαδραματίζει κρίσιμο ρόλο στη διατήρηση της παρουσίας σε μηχανήματα που έχουν παραβιαστεί. Δημιουργεί καταχωρίσεις μητρώου που διασφαλίζουν ότι το bot επανεκκινείται αυτόματα κάθε φορά που ένας χρήστης συνδέεται, επιτυγχάνοντας αποτελεσματική επιμονή.
Στη συνέχεια, το bot ρωτά τους κόμβους blockchain Ethereum μέσω δημόσιων παρόχων RPC, ανακτώντας την τρέχουσα διεύθυνση διακομιστή C2 από μια μεταβλητή έξυπνης σύμβασης.
Αυτή η έξυπνη προσέγγιση σημαίνει ότι οι υπερασπιστές δεν μπορούν απλώς να μπλοκάρουν μια γνωστή διεύθυνση IP – οι εισβολείς περιστρέφουν την υποδομή C2 κατά βούληση μέσω συναλλαγών blockchain, καθιστώντας τον παραδοσιακό αποκλεισμό που βασίζεται σε IP αναποτελεσματικό.
Μόλις συνδεθεί, το bot δημιουργεί κρυπτογραφημένη επικοινωνία και αναμένει εντολές από τους χειριστές, οι οποίοι φτάνουν ως δυναμικός κώδικας JavaScript για εκτέλεση.
