De-a lungul investigației noastre, am identificat adrese IP C2 hardcodate, integrate în proiecte open-source prin mai multe metode:
1. Exploit-uri și cod Proof-of-Concept (PoC)
Mai multe PoC-uri publice includeau „callback-uri” ascunse către servere externe, adesea fără nicio justificare. Aceste callback-uri erau declanșate în timpul execuției codului, expunând potențial analiștii și cercetătorii la compromitere silențioasă.
2. Cod sursă modificat sau cu backdoor
Am găsit cod sursă care fusese modificat intenționat pentru a introduce conexiuni outbound către IP-uri controlate de atacatori.
3. Comentarii în cod
În unele cazuri, endpoint-ul C2 malițios nu se afla deloc în codul activ, ci era plasat în secțiuni comentate. Astfel de tipare sugerează încercări eșuate de obfuscare, backdoor-uri abandonate sau artefacte de testare ale dezvoltatorilor.
Raportul complet include patru studii de caz detaliate și o listă completă de IoC-uri.
Accesează raportul aici