Coexistencia de profesionalismo y amateurismo: Fue profesional que los atacantes dedicaran mucho tiempo a construir una identidad confiable y convertirse en mantenedores de paquetes importantes, que varias personas participaran en ataques de ingeniería social, que ocultaran su identidad real y el origen del ataque, y el nivel de sofisticación y las técnicas de ofuscación usadas. Sin embargo, que aparecieran errores y degradación de rendimiento en versiones de producción resulta algo amateur.
Descubrimiento por degradación de rendimiento: A pesar de lo sofisticado del ataque, la degradación de rendimiento fue lo suficientemente visible como para que se detectara. Esto recuerda la cita de que hay muchísimas formas de cometer un crimen y que si puedes imaginar siquiera la mitad, eres un genio.
Análisis del backdoor ofuscado: Hace falta analizar la ofuscación del backdoor en sí. Se analizó el binario con Ghidra, pero como no había familiaridad con el mecanismo ifunc que intercepta la ejecución, se dejó el análisis a otras personas. Como el backdoor se entregó como un binario cifrado, se supone que parte del código estaba cifrada.
Enlace alternativo proporcionado: Se compartió un enlace de nitter.poast.org como alternativa a theaderapp.com.
Importancia del hallazgo: Qué bueno que el backdoor se detectó antes de propagarse ampliamente. Es mucho peor que todas las partes puedan acceder a ello que que solo una parte tenga RCE (ejecución remota de código).
Ausencia de discusión sobre los atacantes: Aunque no se ha seguido este caso en detalle, resulta extraño que no haya ninguna discusión sobre los atacantes.
Preocupación por la estrategia a largo plazo: Así como los atacantes dedicaron tiempo a construir la “infraestructura” para crear el backdoor, probablemente planeaban seguir jugando a largo plazo incluso después de que el ataque se ejecutara en entornos reales. Surge la duda de si ese juego sigue en marcha incluso ahora.
Solicitud de explicación sobre pruebas de rendimiento: Se pide una buena explicación o guía introductoria sobre las pruebas de rendimiento usadas para descubrir este backdoor, porque se quiere aprender a medir rendimiento.
Elogios al autor original: Aunque nadie lo ha mencionado todavía, se envían grandes felicitaciones al autor original de este texto. Es un trabajo muy impresionante.
1 comentarios
Opiniones de Hacker News
ifuncque intercepta la ejecución, se dejó el análisis a otras personas. Como el backdoor se entregó como un binario cifrado, se supone que parte del código estaba cifrada.