Bun-nal terjesztett NWHStealer
A Malwarebytes kutatása szerint a támadók a Bun JavaScript runtime környezetet kezdték használni az NWHStealer terjesztésére, hogy nehezebben detektálható, legitim fejlesztői eszköznek álcázott malware-csomagokat hozzanak létre.
A Bun egy modern, Node.js-helyettesítő JavaScript/TypeScript runtime, amely képes a kódot önálló futtatható binárisba csomagolni. A támadók ezt arra használják, hogy a stealert nagyobb, legitimnek tűnő executable állományokba rejtsék, csökkentve a hagyományos szignatúra-alapú detekció hatékonyságát.
A kampányban a Bun-alapú loader több PowerShell CIM és WMI lekérdezést futtat sandbox- és virtuális környezet detektálására, például CPU-, lemez-, USB- és folyamatvizsgálatokkal. A cél az automatikus elemző környezetek elkerülése még a payload aktiválása előtt.
Az NWHStealer egy Rust-alapú infostealer, amely böngészőkből, kriptotárcákból és lokálisan tárolt hitelesítési adatokból gyűjt érzékeny információkat.
