Coruna iOS exploit framework aktivitás
A Socket kutatása szerint ismét aktivizálódott a Coruna iOS exploit frameworkhöz kapcsolódó támadási infrastruktúra, ezúttal a népszerű art-template npm csomag kompromittálásával próbáltak Safari exploitkitet terjeszteni. A támadók rosszindulatú kódot injektáltak a csomagba, amely fertőzött weboldalakon keresztül egy watering-hole támadási láncot indított el, elsősorban iOS Safari felhasználók ellen.
A kampány veszélyes, mert a fertőzés nem közvetlen malware-letöltésre épült, hanem legitim fejlesztői dependency kompromittálására. A támadók így webalkalmazások és CI/CD környezetek ellátási láncát használták belépési pontként. A kutatók szerint a módszer több elemében kapcsolódik a TeamPCP és a Mini Shai-Hulud supply chain hullámokhoz, ahol npm és GitHub infrastruktúrákat használnak hitelesítő adatok lopására és önterjedő fertőzésekre.
A Coruna-szerű exploit framework célja elsősorban mobilböngészők kompromittálása lehetett. A Socket szerint a payload fejlett obfuszkációt, staged betöltést és környezetellenőrzést használt, hogy elkerülje az automatizált sandboxokat és biztonsági elemzéseket.
