Μια νέα ανησυχητική απειλή στον κόσμο της κυβερνοασφάλειας προέρχεται από ένα κακόβουλο λογισμικό που ονομάζεται MicrosoftSystem64, το οποίο στοχεύει συστηματικά σε υπολογιστές με σκοπό την υποκλοπή δεδομένων. Χρησιμοποιώντας την πλατφόρμα τεχνητής νοημοσύνης HuggingFace για την εξαγωγή κλεμμένων αρχείων, το συγκεκριμένο λογισμικό δημιουργεί σοβαρές ανησυχίες για την ασφάλεια δεδομένων παγκοσμίως, περιλαμβανομένης της ελληνικής αγοράς.
Το MicrosoftSystem64 εμφανίζεται ως μια νόμιμη διαδικασία της Microsoft, κάτι που καθιστά πολύ πιο δύσκολη την ανίχνευσή του από εργαλεία ασφάλειας. Η δυνατότητά του να εκμεταλλεύεται μια αξιόπιστη πλατφόρμα όπως το HuggingFace, που χρησιμοποιείται ευρέως από προγραμματιστές και ερευνητές, προκαλεί ανησυχία σχετικά με την εξέλιξη της κυβερνοασφάλειας, επισημαίνοντας την ευαλωτότητα των υποδομών.
Η επίθεση ξεκινά με την εγκατάσταση ενός δηλητηριασμένου πακέτου npm ονόματι js-logger-pack, το οποίο πέρασε από 29 εκδόσεις, εξελισσόμενο από μια απλή βιβλιοθήκη σε ένα ευρύ κακόβουλο εργαλείο. Μόλις εγκατασταθεί, το πακέτο φορτώνει σιωπηλά το MicrosoftSystem64, ένα εκτελέσιμο αρχείο 81 MB που γίνεται ενεργό σε Windows, Linux και macOS χωρίς να απαιτεί πρόσθετο λογισμικό.
Αφού εγκατασταθεί, το λογισμικό συνδέεται με έναν απομακρυσμένο διακομιστή, αρχίζει να συλλέγει δεδομένα και εξασφαλίζει την επιβίωσή του αρχειοθετώντας τις πληροφορίες του για αναγνώριση και συχνές μεταφορτώσεις.
Ερευνητές από την SafeDep αναφέρουν ότι η ανάλυσή τους αποκάλυψε τους μηχανισμούς που χρησιμοποιεί το MicrosoftSystem64 για να καταχράται το HuggingFace τόσο ως σύστημα αποθήκευσης όσο και ως μέσο εξαγωγής δεδομένων. Ανεξάρτητες αναλύσεις από την JFrog Research επιβεβαίωσαν την ίδια καμπάνια, δείχνοντας τη διάρκεια της απειλής.
Έστω και παρ’ όλες τις αποκαλύψεις, η απειλή παραμένει ενεργή από τις 28 Μαΐου 2026. Οι επιθέσεις διαρκούν και οι εισβολείς συνεχίζουν να παρακολουθούν θύματα σε πραγματικό χρόνο, γεγονός που καθιστά τη διαχείριση της κρίσης ακόμα πιο περίπλοκη.
Το MicrosoftSystem64 είναι στην ουσία ένας trojan απομακρυσμένης πρόσβασης με δυνατότητες εκτενούς παρακολούθησης. Στοχεύει σε διαπιστευτήρια από 15 οικογένειες προγραμμάτων περιήγησης, συλλέγει δεδομένα από περισσότερες από 80 επεκτάσεις πορτοφολιού κρυπτονομισμάτων, αποθηκεύει συνεδρίες του Telegram Desktop, και χρησιμοποιεί συνεχώς keylogger για να καταγράφει πληροφορίες κωδικών. Κάθε 60 δευτερόλεπτα τραβάει στιγμιότυπα οθόνης, επιτρέποντας στους εισβολείς να έχουν πλήρη εικόνα δραστηριοτήτων στον υπολογιστή.
Όλη αυτή η πληροφορία μεταφορτώνεται σε ιδιωτικά σύνολα δεδομένων στο HuggingFace, στον λογαριασμό της ομάδας που εκτελεί την επίθεση. Οι χειριστές έχουν τη δυνατότητα να ελέγχουν σχεδόν πλήρως τα μολυσμένα συστήματα μέσω 24 υποστηριζόμενων απομακρυσμένων εντολών.
Η σύνδεση της καμπάνιας αυτής με μια ομάδα απειλών που σχετίζεται με τη Βόρεια Κορέα, γνωστή για τις στρατηγικές της στο hacking, ενισχύει την ανησυχία. Ειδικότερα, η ομάδα αυτή χρησιμοποιεί ψεύτικες συνεντεύξεις εργασίας για να στοχεύσει προγραμματιστές και να διαδώσει κακόβουλο λογισμικό μέσω παραβιασμένων πακέτων ανοιχτού κώδικα.
Όσοι έχουν εγκαταστήσει πακέτα από το σύμπλεγμα jpeek ή toskypi θα πρέπει να θεωρούν τα μηχανήματά τους παραβιασμένα και να προχωρήσουν άμεσα σε αλλαγές των διαπιστευτηρίων τους.
Πώς σχετίζεται το MicrosoftSystem64 με συνοδευμένα δεδομένα HuggingFace
Αυτό που είναι ιδιαίτερα ανησυχητικό για το MicrosoftSystem64 είναι ο τρόπος με τον οποίο διαχειρίζεται και κινεί τα κλεμμένα δεδομένα. Αντί να τα μεταφορτώνει σε ιδιωτικούς διακομιστές, χρησιμοποιεί το HuggingFace ως μέσο εξαγωγής. Αυτό σημαίνει ότι όλη η εξερχόμενη κίνηση μοιάζει με νόμιμη κίνηση HTTPS προς μια γνωστή πλατφόρμα.
Επιπλέον, κάθε θύμα λαμβάνει ένα διαφορετικό σύνολο από ιδιωτικά δεδομένα, οργανωμένα με βάση την ταυτότητα της μηχανής, που περιλαμβάνουν στιγμιότυπα οθόνης, διαπιστευτήρια και κλειδιά SSH. Το κακόβουλο λογισμικό ενημερώνεται κάθε 24 ώρες μέσω του HuggingFace, διατηρώντας έτσι την αποτελεσματικότητά του.
Η επιμονή σε κάθε πλατφόρμα διασφαλίζεται μέσω εγγενών εργαλείων, και το λογισμικό ονομάζεται MicrosoftSystem64 στις λίστες των συστημάτων, παραπλανώντας έτσι τις διαδικασίες ανίχνευσης.
Οι ομάδες κυβερνοασφάλειας και προγραμματιστές καλούνται να ελέγξουν όλες τις εξαρτήσεις έργων τους και να απομονώσουν τυχόν μολυσμένα μηχανήματα, ενώ συνιστάται η άμεση αλλαγή όλων των διαπιστευτηρίων και κωδικών.
Δείκτες Συμβιβασμού (IoCs)
| Τύπος | Δείκτης | Περιγραφή |
|---|---|---|
| Διεύθυνση IP | 195[.]201[.]194[.]107:8010 | Διακομιστής C2 (WebSocket + HTTP), που φιλοξενείται στο Hetzner Online GmbH, DE, AS24940 |
| Κατακερματισμός αρχείων (SHA-256) | b2954c945b51dbd6fa88ac72338b7fbf76dec7d9909ceada9d36b21330842c97 | MicrosoftSystem64 Linux ELF δυαδικό (v1.0.8) |
| Όνομα αρχείου | MicrosoftSystem64 | Κακόβουλο δυαδικό — παραλλαγή Linux |
| Όνομα αρχείου | MicrosoftSystem64.exe | Κακόβουλο δυαδικό — Παραλλαγή Windows |
| Όνομα αρχείου | MicrosoftSystem64-darwin-x64 | Κακόβουλο δυαδικό — παραλλαγή macOS (Intel). |
| Όνομα αρχείου | MicrosoftSystem64-darwin-arm64 | Κακόβουλο δυαδικό — παραλλαγή macOS (Apple Silicon). |
| URL | hxxps://huggingface[.]co/jpeek998/system-releases/resolve/main | Δυαδική φιλοξενία HuggingFace και τελικό σημείο αυτόματης ενημέρωσης |
| Λογαριασμός HuggingFace | jpeek998 | Ενεργός λογαριασμός exfiltration (εμφανιζόμενο όνομα “Jlob”), δημιουργήθηκε 15-05-2026 |
| Λογαριασμός HuggingFace | Lordplay | Προηγούμενος δυαδικός λογαριασμός σταδιοποίησης (αποθετήριο εκδόσεων συστήματος), η πρόσβαση σε αρχείο απενεργοποιήθηκε από το HuggingFace |
| Πακέτο npm | js-logger-pack | Κύριο πακέτο σταγονόμετρου (v1.1.22+ λειτουργεί ως σταγονόμετρο MicrosoftSystem64) |
| Πακέτο npm | terminal-logger-utils | Σταγονόμετρο Μαΐου 2026, RC4/XOR θολωμένο |
| Πακέτο npm | ts-logger-pack | Εξάρτηση μεσολάβησης σε terminal-logger-utils |
| Πακέτο npm | όμορφος-υλοτόμος-χρήση | Σταγονόμετρο Μαΐου 2026 κάτω από το σύμπλεγμα jpeek895 |
| Πακέτο npm | pinno-loggers | Σταγονόμετρο Μαΐου 2026 κάτω από το σύμπλεγμα jpeek895 |
| Λογαριασμός npm | jpeek868 / jpeek886 / jpeek895 | Περιστρεφόμενοι λογαριασμοί εκδοτών npm που μοιράζονται την υποδομή Lordplay HuggingFace |
| Λογαριασμός npm | τοσκυπι | Μόνιμη ταυτότητα συγγραφέα σε όλες τις καμπάνιες (email: [email protected]) |
| HuggingFace Token (κρυπτογραφημένο) | MlohU84sIc82dTpY/CgE3jdOOWD1OwnyDXYRds4bG+cUeBRH7w== | Κρυπτογραφημένο διακριτικό HuggingFace API ενσωματωμένο σε δυαδική διαμόρφωση (αναφέρθηκε για ανάκληση) |
| Κλειδί κρυπτογράφησης XOR | Κλειδί XOR που χρησιμοποιείται για την αποκρυπτογράφηση δυαδικών τιμών διαμόρφωσης με σκληρό κώδικα | |
| Όνομα κεντρικού υπολογιστή | copilot-ai.whisdev[.]org | Δευτερεύον όνομα κεντρικού υπολογιστή C2 στην ίδια IP |
| Σχόλιο κλειδιού SSH | bink@DESKTOP-N8JGD6T | Διέρρευσε το βασικό σχόλιο SSH από το js-logger-pack v1.1.5, τη μηχανή ανάπτυξης του εισβολέα |
| URL | hxxp://195[.]201[.]194[.]107:8010/api/validate/hf-upload-complete | Τελικό σημείο C2 που λαμβάνει ειδοποιήσεις ολοκλήρωσης μεταφόρτωσης του HuggingFace |
| Εμμονή — Windows | \MicrosoftSystem64 (προγραμματισμένη εργασία); HKCU\Software\Microsoft\Windows\CurrentVersion\Run | Μηχανισμοί επιμονής των Windows που χρησιμοποιούνται από το κακόβουλο λογισμικό |
| Εμμονή — macOS | ~/Library/LaunchAgents/com.launchkeeper.MicrosoftSystem64.plist | Διαδρομή επιμονής macOS LaunchAgent |
| Εμμονή — Linux | ~/.config/systemd/user/MicrosoftSystem64.service; ~/.config/autostart/MicrosoftSystem64.desktop | Διαδρομές επίμονης αυτόματης εκκίνησης Linux systemd και XDG |
| Διαδρομή εγκατάστασης | ~/.local/share/MicrosoftSystem64 (Linux); ~/Βιβλιοθήκη/Υποστήριξη εφαρμογών/MicrosoftSystem64 (macOS); %LOCALAPPDATA%\MicrosoftSystem64 (Windows) | Κατάλογοι εγκατάστασης ανά πλατφόρμα |
| Δείκτης εγγραφής | .registered (αρχείο χρονικής σφραγίδας ISO στον κατάλογο εγκατάστασης) | Δείκτης πρώτης εκτέλεσης γραμμένος από κακόβουλο λογισμικό για την παρακολούθηση της εγκατάστασης |
Σημείωση: Οι διευθύνσεις IP και οι τομείς είναι σκόπιμα αλλοιωμένοι (π.χ. [.]) για την αποφυγή τυχαίας επίλυσης ή υπερσύνδεσης. να βρίσκονται μόνο σε ελεγχόμενες πλατφόρμες πληροφοριών απειλών όπως το MISP, το VirusTotal ή το SIEM σας.
Συμπερασματικά
Το MicrosoftSystem64 εκπροσωπεί μια σοβαρή απειλή για την κυβερνοασφάλεια, αναδεικνύοντας την ευαίσθητη φύση της παρακολούθησης διαδικτυακών δραστηριοτήτων. Οι χρήστες και οι οργανισμοί καλούνται να παραμείνουν ενήμεροι σχετικά με τις εξελίξεις στον τομέα αυτό, διασφαλίζοντας ότι οι διαδικασίες ασφαλείας τους είναι συνεχώς ενημερωμένες.
Η άποψη του TechNoid.gr
Είναι προφανές ότι η εμφάνιση του MicrosoftSystem64 αποδεικνύει πόσο κρίσιμη είναι η κυβερνοασφάλεια σήμερα, ειδικά καθώς οι επιθέσεις γίνονται όλο και πιο εξελιγμένες. Η πρωτοβουλία των ερευνών και η συνεργασία των κοινοτήτων κυβερνοασφάλειας είναι θεμελιώδους σημασίας για την προστασία από τέτοιες απειλές. Καλούμε όσους είναι εμπλεκόμενοι στην ανάπτυξη λογισμικού να είναι εξαιρετικά προσεκτικοί και να διενεργούν τακτικούς ελέγχους ασφαλείας, ώστε να μειώσουν την πιθανότητα επιθέσεων στο μέλλον.
