Cyberbrottslingar blir alltmer sofistikerade i sina metoder, vilket gör det svårare än någonsin att upptäcka deras attacker. En nyligen genomförd analys av FortiGuard Labs visar på en våg av skadlig programvara som spridits globalt sedan november 2024. Analysen tar bland annat upp hur hackare utnyttjar dolda sårbarheter för att infiltrera system och stjäla känslig information – ofta utan att de drabbade ens märker något.
En särskilt oroande trend är att cyberbrottslingar allt oftare använder legitima plattformar för att dölja sin aktivitet. Fortinet har identifierat hur skadlig kod sprids via populära tjänster som Discord, där angriparna utnyttjar funktioner som webhooks för att smuggla ut stulna data utan att väcka misstankar. Genom att manipulera installationsskript och kamouflera sin kod kan de enkelt infiltrera datorer världen över.
– Att använda populära plattformar som Discord för att distribuera skadlig kod visar hur avancerade dagens cyberbrottslingar har blivit. Den här typen av attacker riskerar dessutom att skapa bakdörrar eller förbereda system för ytterligare intrång, vilket gör det avgörande att noggrant granska installationsskript och vara vaksam på potentiella hot, säger Andreas Gotthardsson, cybersäkerhetsexpert på Fortinet.
Utvecklare bland de mest drabbade
Utvecklare har visat sig vara en av de mest utsatta grupperna för den senaste vågen av cyberattacker. Hackare riktar in sig på populära kodplattformar som PyPI och NPM, där vissa Python- och JavaScript-paket innehåller dold skadlig kod. Denna kod kan samla in känslig användarinformation, såsom MAC-adresser och systemdata, samt stjäla lösenord, skapa bakdörrar och ge angripare kontroll över infiltrerade system.
FortiGuard Labs har också observerat att angripare använder kryptering för att dölja kommunikationen med sina servrar, vilket gör attackerna ännu svårare att upptäcka. En annan metod som används är typosquatting, där falska paket med namn som liknar populära kodbibliotek skapas för att lura utvecklare att installera skadlig programvara.
Några av de viktigaste insikterna i analysen:
1 082 paket med lågt antal filer, ofta med minimal kod för att utföra skadliga handlingar oupptäckta.
1 052 paket som bäddar in misstänkta installationsskript, utformade för att tyst distribuera skadlig kod under installationen.
1 043 paket utan något kodförråd, vilket väcker oro kring programvarans legitimitet och spårbarhet.
974 paket som innehåller misstänkta URL:er, vilket potentiellt underlättar kommunikation med kommando- och kontrollservrar eller dataexfiltrering.
681 paket som använder misstänkta API:er, inklusive kommandon som https.get och https.request, för att exfiltrera data eller utföra fjärrstyrningsaktiviteter.
537 paket med tomma beskrivningar, vilket ytterligare döljer deras verkliga avsikter och ökar risken för icke upptäckt skadlig aktivitet.
164 paket med ovanligt höga versionsnummer, som används för att vilseleda användare att lita på föråldrad eller potentiellt skadlig programvara.
Hela rapporten finns att läsa här: https://www.fortinet.com/blog/threat-research/fortinet-identifies-malicious-packages-in-the-wild-insights-and-trends
Bild: Joshua Woroniecki
