Novi vektor napada u kojem sajberkriminalci koriste Google kalendar kao oružje, poziva na isporuku malicioznog softvera, koristeći sofisticiranu tehniku obfuskacije koja uključuje samo jedan vidljivi znak koji sakriva maliciozni kod.
Ovo otkriće ističe kako hakeri razvijaju svoje taktike kako bi zaobišli tradicionalne sigurnosne mjere iskorišćavanjem pouzdanih platformi.
U martu 2025. godine, istraživači sigurnosti u Aikidu otkrili sumnjivi npm paket pod nazivom “os-info-checker-es6” koji je izgledao kao da provjerava sistemske informacije, ali je sadržavao sumnjiv kod.
Ono što je privuklo njihovu pažnju bio je znak koji je izgledao kao vertikalna crta („|“) u kodu, ali je zapravo skrivao nešto mnogo zlokobnije.
„Ono što smo otkrili bilo je fascinantno – taj jedan znak zapravo nije bio jednostavan simbol uspravno crte, već je sadržavao nevidljive Unicode znakove za privatnu upotrebu (PUA)“, objasnili su istraživači u svojoj analizi.
Ovi PUA znakovi su rezervisani u Unicode standardu za prilagođene aplikacije i inherentno se ne mogu štampati, što ih čini savršenim za skrivanje malicioznog koda.
Kada je dekodiran, ovaj naizgled nevin znak se transformisao u base64 kodirane instrukcije koje su se na kraju povezale sa Google kalendarom za operacije komandovanja i kontrole.
Pozivi u Google kalendaru isporučuju maliciozni korisni sadržaj
Istraga je otkrila da je maliciozni softver dizajniran za preuzimanje malicioznih sadržaja putem URL-a pozivnice za Google kalendar. Pozivnica za kalendar sadržala je nizove znakova kodirane u base64 formatu koji su, nakon dekodiranja, usmjeravali žrtve na server koji kontroliše napadač.
„Ovo predstavlja zabrinjavajuću evoluciju u metodologiji napada“, rekao je Charlie Eriksen za Cyber Security News. „Korišćenjem Google kalendara – pouzdane platforme koju koriste milioni – napadači mogu zaobići tradicionalne mjere sigurnosti e-pošte koje bi obično označile sumnjive priloge.“
Istraživači Check Pointa su nezavisno identifikovali slične napade, napominjući da sajber kriminalci mijenjaju zaglavlja e-pošte kako bi maliciozne poruke izgledale kao da su poslane direktno iz Google kalendara .
Nakon što meta stupi u interakciju s ovim pozivnicama iz kalendara, može biti usmjerena na lažne web stranice osmišljene za krađu kredencijala ili financijskih informacija.
Napadači se nisu zaustavili na jednom paketu. Istraživači sigurnosti identifikovali su više npm paketa pogođenih ovom tehnikom:
- preskoči dijete
- vue-dev-server
- vue-dummyy
- vue-bit
Svi ovi paketi su dodali maliciozne “os-info-checker-es6” kao zavisnost, stvarajući širu površinu za napad.
Zaštita sebe
Google je priznao prijetnju, preporučujući korisnicima da omoguće postavku “poznati pošiljaoci” u Google kalendaru kako bi se odbranili od ove vrste phishinga. Sigurnosni stručnjaci također savjetuju:
- Budite sumnjičavi prema neočekivanim pozivnicama iz kalendara, posebno onima koje su zakazane u dalekoj budućnosti.
- Provjerite identitet pošiljaoca prije nego što prihvatite pozivnice ili kliknete na linkove.
- Redovno ažurirajte softver kako biste ispravili sigurnosne ranjivosti.
- Prijavite sumnjive pozivnice iz kalendara kao neželjenu poštu putem funkcije prijavljivanja u Google kalendaru.
Ovaj napad pokazuje kako sajber kriminalci nastavljaju pronalaziti inovativne načine za isporuku malicioznog sadržaja, koristeći pouzdane platforme i sofisticirane tehnike maskiranja.
Izvor: CyberSecurityNews