Microsoft ได้พบ malware ตัวใหม่ที่ถูกใช้โดยกลุ่ม Nobelium ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการโจมตี SolarWinds supply chain attacks เมื่อปีที่แล้ว โดยตัว Malware ดังกล่าวมีชื่อว่า FoggyWeb ที่ถูกขนานนามว่าเป็น Backdoor แบบ Passive และมีเป้าหมายที่อยู่ในระดับสูง FoggyWeb เป็น Malware ที่ออกแบบมาเพื่อช่วยให้ผู้โจมตีสามารถ-ขโมยข้อมูลที่สำคัญจาก Active Directory Federation Services (AD FS) ที่ถูกโจมตี หรือ decrypted token-signing certificate และ token-decryption certificate ตลอดจนใช้ดาวน์โหลด และเรียกใช้ malicious component จาก Command-and-Control (C2) Server และดำเนินการบน Server ที่ถูกโจมตี

ล่าสุดทาง Microsoft แจ้งเตือนให้กับลูกค้าที่ตกเป็นเป้าหมายหรือถูกโจมตีโดย Backdoor นี้แล้ว และได้ให้คำแนะนำดังนี้

1.ตรวจสอบโครงสร้างพื้นฐานภายในองค์กรและคลาวด์ว่ามีการกำหนดค่าต่าง ๆ ปลอดภัยหรือไม่ เช่นการตั้ง Group Policy สำหรับการใช้งานต่าง ๆ หรือ กำหนดสิทธิ์การเข้าถึงของผู้ใช้งานให้อยู่ในหลัก Least Privilege แล้วหรือไม่

2.ลบการเข้าถึงของผู้ใช้และแอป และตรวจสอบการกำหนดค่าสำหรับแต่ละรายการ และสร้าง Credentials ใหม่ตามแนวทาง documented industry best practices

3.ใช้ Hardware Security Module (HSM) ตามที่ได้อธิบายไว้ในการรักษาความปลอดภัยของ AD FS Server เพื่อป้องกันการถูกขโมยข้อมูลที่สำคัญโดย FoggyWeb

ที่มา: BleepingComputer

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews

การโจมตีเริ่มต้นด้วยการกำหนดเป้าหมายก่อนจะส่งข้อความไปเสนองาน (spear-phishing) โดยจะส่งไฟล์ zip ที่ถูกตั้งชื่อให้ตรงกับตำแหน่งงานของเป้าหมายที่แสดงใน LinkedIn เมื่อเปิดไฟล์จะถูกติดตั้ง backdoor ที่มีชื่อว่า "more_egg" ซึ่งเป็น fileless ลงบนเครื่องโดยไม่รู้ตัว จากนั้นจะทำการยึดโปรเซสที่ถูกต้องของ Windows เพื่อหลบหลีกการตรวจจับ แต่ในระหว่างนั้นจะมีการเบี่ยงเบียนความสนใจด้วยการวางเหยื่อล่อ ด้วยการให้เหยื่อสนใจใบสมัครปลอมที่สร้างขึ้นมา มัลแวร์ตัวนี้สามารถถูกใช้เป็นช่องทางในการส่งมัลแวร์อื่น ๆ เข้ามาที่เครื่องเหยื่อก็ได้ ยกตัวอย่างเช่น banking trojan, ransomware, มัลแวร์ขโมยข้อมูล หรือถูกใช้เพื่อวาง backdoor ตัวอื่น ๆ เพื่อขโมยข้อมูลออกไปก็ได้

รายงานระบุว่า more_egg เป็นมัลแวร์ที่เคยถูกพบมาตั้งแต่ปี 2018 ผู้ไม่หวังดีที่ต้องการใช้งานจะสามารถหาซื้อได้จากบริการ malware-as-a-service (MaaS) ที่มีชื่อว่า "Golden Chicken" ได้ เคยถูกใช้โดย Threat Actor หลายกลุ่ม เช่น Cobalt, Fin6 และ EvilNum แต่สำหรับเหตุการณ์นี้ยังไม่สามารถระบุชัดเจนได้ว่า Threat Actor กลุ่มไหนเป็นผู้อยู่เบื้องหลัง

ที่มา: thehackernews

Official Git ของ PHP ถูกแฮ็ก และมีการเพิ่ม code อันตรายเข้าไป

เมื่อปลายเดือนมีนาคมที่ผ่านมา พบว่ามีการ commit code อันตรายขึ้นไปยัง php-src git ด้วยชื่อของ PHP Developer 2 คน โดย Git นี้มีเจ้าของเป็นทีมของ PHP จากการตรวจสอบพบว่าเป็น code สำหรับติดตั้ง backdoor เพื่อรันคำสั่งอันตรายบนเว็บไซต์ที่มีการใช้งาน PHP เวอร์ชั่นที่ถูกดัดแปลงดังกล่าว รายงานระบุว่าจากการตรวจสอบเชื่อได้ว่าสาเหตุน่าจะมาจากการโดนยึด server (git.

Microsoft ได้ออกแพตช์อัปเดตการรักษาความปลอดภัยเป็นกรณีฉุกเฉินสำหรับ Microsoft Exchange เพื่อแก้ไขช่องโหว่ Zero-day 4 รายการที่สามารถใช้ประโยชน์ในการโจมตีแบบกำหนดเป้าหมาย หลัง Microsoft พบกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากประเทศจีนที่มีชื่อว่า “Hafnium" ใช้ช่องโหว่ Zero-day เหล่านี้ทำการโจมตีองค์กรและบริษัทหลาย ๆ เเห่ง ในสหรัฐอเมริกาเพื่อขโมยข้อมูล

กลุ่ม Hafnium เป็นกลุ่ม APT ที่มีความเชื่อมโยงและได้รับการสนับสนุนจากจีน มีเป้าหมายคือหน่วยงานในสหรัฐอเมริกาเป็นหลัก และในหลาย ๆ อุตสาหกรรม รวมไปถึงองค์กรที่ทำการวิจัยโรคติดเชื้อ, สำนักงานกฎหมาย, สถาบันการศึกษาระดับสูง, ผู้รับเหมาด้านการป้องกันประเทศ, องค์กรกำหนดนโยบายและองค์กรพัฒนาเอกชน สำหรับเทคนิคการโจมตีของกลุ่ม Hafnium ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Microsoft Exchange มีดังนี้

CVE-2021-26855 (CVSSv3: 9.1/10 ) เป็นช่องโหว่ Server-Side Request Forgery (SSRF) ใน Microsoft Exchange โดยช่องโหว่จะทำให้ผู้โจมตีที่ส่ง HTTP request ที่ต้องการ ไปยังเซิฟเวอร์สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ได้
CVE-2021-26857 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ insecure deserialization ในเซอร์วิส Unified Messaging deserialization โดยช่องโหว่ทำให้ข้อมูลที่ไม่ปลอดภัยบางส่วนที่สามารถถูกควบคุมได้ ถูก deserialized โดยโปรแกรม ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการรันโค้ดเพื่อรับสิทธ์เป็น SYSTEM บนเซิร์ฟเวอร์ Microsoft Exchange
CVE-2021-26858 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่ที่สามารถเขียนไฟล์โดยไม่ได้รับอนุญาตหลังจากพิสูจน์ตัวตนแล้ว (Authenticated) บนเซิร์ฟเวอร์ Exchange ซึ่งผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ CVE-2021-26855 (SSRF) ได้จะสามารถเข้าสู่ระบบได้ผ่านการ Bypass Credential ของผู้ดูแลระบบที่ถูกต้อง
CVE-2021-27065 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write ที่มีหลักการทำงานคล้าย ๆ กับ CVE-2021-26858

หลังจากที่สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว กลุ่ม Hafnium จะทำการติดตั้ง Webshell ซึ่งถูกเขียนด้วย ASP และจะถูกใช้เป็น backdoor สำหรับทำการขโมยข้อมูลและอัปโหลดไฟล์หรือดำเนินการใด ๆ ตามคำสั่งของกลุ่มบนเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งหลังจากติดตั้ง Webshell เสร็จแล้ว กลุ่ม Hafnium ได้มีการดำเนินการด้วยเครื่องมือ Opensource ต่าง ๆ โดยมีขั้นตอนดังนี้

จะใช้ซอฟต์แวร์ Procdump เพื่อทำการ Dump โปรเซส LSASS
จากนั้นจะทำการใช้ซอฟต์แวร์ 7-Zip เพื่อบีบอัดข้อมูลที่ทำการขโมยลงในไฟล์ ZIP สำหรับ exfiltration
ทำการเพิ่มและใช้ Exchange PowerShell snap-ins เพื่อนำข้อมูล mailbox ออกมา
จากนั้นปรับใช้ซอฟต์แวร์เครื่องมือที่ชื่อว่า Nishang ทำ Invoke-PowerShellTcpOneLine เพื่อสร้าง reverse shell
จากนั้นใช้เครื่องมือชื่อว่า PowerCat เพื่อเปิดการเชื่อมต่อกับเซิร์ฟเวอร์ของกลุ่ม

การตรวจสอบว่าเซิร์ฟเวอร์ Microsoft Exchange ถูกบุกรุกหรือไม่

สำหรับการตรวจสอบและการป้องกันภัยคุกคามโดยการวิเคราะห์พฤติกรรมที่น่าสงสัยและเป็นอันตรายบนเซิร์ฟเวอร์ Exchange พบว่าเมื่อใดก็ตามที่ผู้โจมตีทำการติดต่อกับ Webshell และรันคำสั่งจะมี Process chain, เซอร์วิส และพาทที่มีการใช้งาน โดยโปรเซสที่น่าสงสัยและมักถูกผู้โจมตีเรียกใช้ด้วยเทคนิค living-off-the-land binaries (LOLBins) คือ net.

Kaspersky ออกรายงานเกี่ยวกับความเคลื่อนไหวล่าสุดของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus Group ซึ่งพุ่งเป้าโจมตีธุรกิจในกลุ่มผู้ผลิตอาวุธและเทคโนโลยีป้องกันประเทศในช่วงปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลลับ ด้วยมัลแวร์ตัวใหม่ที่ถูกเรียกว่า ThreatNeedle

ในการโจมตีนั้น ผู้โจมตีจะทำการเข้าถึงระบบของเป้าหมายโดยอีเมลฟิชชิ่งที่มีลักษณะของเนื้อหาแอบอ้างสถานการณ์ COVID-19 จากนั้นจะมีการติดตั้งมัลแวร์ ThreatNeedle ซึ่งเคยมีประวัติในการถูกใช้เพื่อโจมตีธุรกิจในกลุ่ม Cryptocurrency ในปี 2018

มัลแแวร์ ThreatNeedle มีฟังก์ชันที่ครบเครื่อง ตัวมัลแวร์สามารถทำการยกระดับสิทธิ์ในระบบได้ด้วยตัวเอง มีการแยกส่วนของตัว Launcher และโค้ดของมัลแวร์ออกจากกันโดยส่วน Launcher จะเป็นตัวถอดรหัสและโหลดโค้ดของมัลแวร์จริง ๆ ไปทำงานในหน่วยความจำ

Kaspersky ยังค้นพบด้วยว่าผู้โจมตีมีการเข้าถึงระบบภายในผ่าน ThreatNeedle เพื่อเข้ามาแก้ไขการตั้งค่าของ Router ภายใน ในกรณีที่มีการทำ Network segmentation โดยแฮกเกอร์จะสร้าง Tunnel ด้วยโปรโตคอล SSH เพื่อส่งข้อมูลที่ขโมยมา กลับไปยังเซิร์ฟเวอร์ที่ถูกแฮกในเกาหลีใต้

ผู้ที่สนใจข้อมูลเพิ่มเติมสามารถดู Security advisory ได้จากรายงานของ Kaspersky ที่ ics-cert

ที่มา: .bleepingcomputer

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของฝรั่งเศส Agence Nationale de la Sécurité des Systèmes d'Information หรือ ANSSI ออกรายงานเชิงวิเคราะห์เกี่ยวกับความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติรัสเซีย Sandworm ซึ่งมีความเคลื่อนไหวมาตลอด 3 ปี โดยใจความสำคัญของรายการเชิงวิเคราะห์ดังกล่าวนั้นระบุถึงการโจมตีซอฟต์แวร์มอนิเตอร์ระบบ Centreon เพื่อเข้าถึงระบบภายในขององค์กรและบริษัทในฝรั่งเศสหลายองค์กร

ซอฟต์แวร์มอนิเตอร์ระบบ Centreon ถูกตรวจพบไว้ใช้เป็นช่องทางในการเข้าถึงและโจมตีระบบของ Sandworm โดย Centreon ที่ถูกตรวจพบว่าถูกโจมตีนั้นมักเป็นระบบที่สามารถเข้าถึงได้จากอินเตอร์เน็ต อย่างไรก็ตามยังไม่มีการยืนยันอย่างชัดเจนว่าการโจมตีดังกล่าวเกิดขึ้นในลักษณะของการโจมตีช่องโหว่ หรือเป็นการคาดเดารหัสผ่าน

อ้างอิงจากรายงานของ ANSSI เหยื่อรายแรกที่ตรวจพบนั้นถูกโจมตีในปี 2017 และมีการปรากฎความเคลื่อนไหวมาเรื่อยมาจนกระทั่งในปี 2020 โดยหลังจากที่ Sandworm เข้าถึงระบบ Centreon ของเป้าหมายได้สำเร็จแล้ว กลุ่มผู้โจมตีจะทำการติดตั้ง Web shell และ Backdoor เพื่อใช้ในการเข้าถึงในภายหลัง ด้วยลักษณะของมัลแวร์ที่ใช้ ANSSI จึงได้เชื่อมโยงความเกี่ยวข้องพฤติกรรมดังกล่าวไปหากลุ่ม Sandworm ซึ่งสอดคล้องกับรายงานของ Kaspersky

ในขณะที่ทาง Centreon ยังไม่ได้มีการออกมาให้ความเห็นเพิ่มเติมเกี่ยวกับกรณีที่เกิดขึ้น ขอให้ติดตามสถานการณ์ต่อไป

ที่มา : zdnet

โครงการ Huawei Cyber Security Evaluation Centre (HCSEC) ซึ่งถูกจัดตั้งขึ้นโดยรัฐบาลอังกฤษเปิดเผยความคืบหน้าล่าสุดในกระบวนการตรวจสอบโค้ดของเฟิร์มแวร์ซึ่งจะถูกใช้ในเครือข่ายโทรศัพท์ของอังกฤษประจำปี 2020 อ้างอิงจากรายการ HCSEC พบปัญหารวมไปถึงช่องโหว่มากกว่าผลลัพธ์ซึ่งเกิดขึ้นจากการตรวจสอบในครั้งก่อน

จากรายงานของ HCSEC ส่วนหนึ่งของรายงานมีการระบุว่า "พบหลักฐานซึ่งบ่งชี้่ให้เห็นว่า Huawei ยังคงไม่สามารถปฏิบัติตามข้อปฏิบัติในการเขียนโค้ดให้ปลอดภัยได้" ทั้งนี้แม้จะมีการตรวจพบปัญหาที่มากขึ้น โดยปัญหาที่ตรวจพบนั้นมีตั้งแต่ช่องโหว่ stack overflow ในส่วนของโปรแกรมที่สามารถเข้าถึงได้จากสาธารณะ การทำงานของโปรโตคอลซึ่งเมื่อถูกโจมตีแล้วอาจนำไปสู่เงื่อนไขของ DoS หรือแม้กระทั่งปัญหาที่เกิดจาก default credential

รายงานของ HCSEC ไม่ได้มีการระบุถึงการตรวจพบ "ความตั้งใจในการฝังโค้ดอันตราย" เอาไว้ในอุปกรณ์ ทั้งนี้ในแวดวง Cybersecurity นั้น การตั้งใจสร้างช่องโหว่ (bugdoor) ก็ถือเป็นการกระทำอย่างหนึ่งที่ให้ผลลัพธ์ได้เทียบเท่ากับการฝังช่องทางลับ (backdoor) ไว้ในโค้ด ผู้ที่ล่วงรู้วิธีการโจมตีช่องโหว่แบบ bugdoor อยู่ก่อนแล้วสามารถใช้ช่องโหว่ดังกล่าวในการโจมตีแและหาผลประโยชน์ได้

ผลลัพธ์ของรายงานโดย HCSEC จะถูกส่งกลับไปยัง Huawei เพื่อนำไปแก้ปัญหาต่อไป

ที่มา : theregister

บริษัทด้านความปลอดภัย SentinelOne ได้มีการตรวจพบปัญหาในการกระบวนการเข้ารหัสของ ThiefQuest ซึ่งนำไปสู่การพัฒนาเครื่องมือสำหรับถอดรหัสไฟล์ที่ถูกเข้ารหัสโดยมัลแวร์ ThiefQuest สำหรับผู้ตกเป็นเหยื่อได้โดยที่ไม่ต้องจ่ายค่าไถ่

ThiefQuest Ransomware หรือชื่อเดิมคือ EvilQuest Ransomware เป็นมัลแวร์เรียกค่าไถ่ที่มุ่งเป้าหมายไปยังผู้ใช้ macOS โดยเมื่อเข้าไปในเครื่องผู้ใช้ได้แล้ว มันจะทำการติดตั้ง Keylogger ,Backdoor เพื่อทำการค้นหาการมีอยู่ของ digital wallet ของ cryptocurrency เพื่อขโมยข้อมูล รวมไปถึงเข้ารหัสไฟล์ในระบบ ในปัจจุบันการแพร่กระจายโดยส่วนใหญ่ของมัลแวร์ TheifQuest นั้นแอบแฝงมากับซอร์ฟแวร์เถื่อน

วีดีโอสอนวิธีการใช้งานเครื่องมือถอดรหัส รวมไปถึงโปรแกรมสำหรับถอดรหัสสามารถดาวน์โหลดได้ที่: https://labs.

พบ backdoor ใน Ruby library
ทีมงาน RubyGems ทำการลบโค้ดอันตราย 18 เวอร์ชันบน Ruby library 11 ตัวซึ่งถูกดาวน์โหลดไปแล้วกว่า 3,584 ครั้งตั้งแต่วันที่ 8 กรกฎาคมที่ผ่านมา โดยพบว่ามีการแทรก backdoor mechanism และมีความพยายามจะแทรกโค้ด cryptocurrency mining ลงไปในโปรเจกต์ของคนอื่น
โค้ดอันตรายเหล่านี้ถูกพบครั้งแรกใน Ruby library ชื่อ rest-client จากการวิเคราะห์โดย Jan Dintel นักพัฒนา Ruby ชาวดัตช์ พบโค้ดอันตรายใน rest-client ซึ่งจะเก็บ URL, Cookie file รวมถึงตัวแปรอื่นๆ ของระบบ แล้วส่งไปยัง Remote server ในยูเครน ภายหลังการสืบสวนโดยทีมงาน RubyGems พบว่าโค้ดนี้ถูกใช้เพื่อแทรก Cryptocurrency mining code ลงไป โดยพวกเขาพบโค้ดที่ลักษณะคล้ายกันเพิ่มอีก 10 โปรเจกต์
โดย library ทั้ง 11 ตัวที่มีการแทรกโค้ดได้แก่
rest-client: 1.6.10 (ดาวน์โหลด 176 ครั้ง ตั้งแต่ สิงหาคม 13, 2019), 1.6.11 (ดาวน์โหลด 2 ครั้ง ตั้งแต่ สิงหาคม 14, 2019), 1.6.12 (ดาวน์โหลด 3 ครั้ง ตั้งแต่ สิงหาคม 14, 2019), และ 1.6.13 (ดาวน์โหลด 1,061 ครั้ง ตั้งแต่ สิงหาคม 14, 2019)
bitcoin_vanity: 4.3.3 (ดาวน์โหลด 8 ครั้ง ตั้งแต่ พฤษภาคม 12, 2019 )
lita_coin: 0.0.3 (ดาวน์โหลด 210 ครั้ง ตั้งแต่ กรกฎาคม 17, 2019)
coming-soon: 0.2.8 (ดาวน์โหลด 211 ครั้ง ตั้งแต่ กรกฎาคม 17, 2019)
omniauth_amazon: 1.0.1 (ดาวน์โหลด 193 ครั้ง ตั้งแต่ กรกฎาคม 26, 2019)
cron_parser: 0.1.4 (ดาวน์โหลด 2 ครั้ง ตั้งแต่ กรกฎาคม 8, 2019), 1.0.12 (ดาวน์โหลด 3 ครั้ง ตั้งแต่ กรกฎาคม 8, 2019), และ 1.0.13 (ดาวน์โหลด 248 ครั้ง ตั้งแต่ กรกฎาคม 8, 2019)
coin_base: 4.2.1 (ดาวน์โหลด 206 ครั้ง ตั้งแต่ กรกฎาคม 9, 2019) และ 4.2.2 (ดาวน์โหลด 218 ครั้ง ตั้งแต่ กรกฎาคม 16, 2019)
blockchain_wallet: 0.0.6 (ดาวน์โหลด 201 ครั้ง ตั้งแต่ กรกฎาคม 10, 2019) และ 0.0.7 (ดาวน์โหลด 222 ครั้ง ตั้งแต่ กรกฎาคม 16, 2019)
awesome-bot: 1.18.0 (ดาวน์โหลด 232 ครั้ง ตั้งแต่ กรกฎาคม 15, 2019)
doge-coin: 1.0.2 (ดาวน์โหลด 213 ครั้ง ตั้งแต่ กรกฎาคม 17, 2019)
capistrano-colors: 0.5.5 (ดาวน์โหลด 175 ครั้ง ตั้งแต่ สิงหาคม 1, 2019)
library ทั้งหมด ยกเว้น rest-client ถูกสร้างโดยการโคลน library แล้วไปเพิ่มโค้ดอันตรายและอัปโหลดขึ้นไปใหม่ด้วยชื่อใหม่โดยไม่มีใครจับได้เป็นเวลามากกว่าหนึ่งเดือน แต่เมื่อผู้โจมตีหันไปโจมตี rest-client ที่มีผู้ใช้งานจำนวนมากจึงทำให้ถูกจับได้
สำหรับข้อแนะนำโปรเจกต์ที่พึ่งพา library เหล่านี้ คือให้ลบออกไปหรืออัปเกรด/ดาวน์เกรดสู่ version ที่ปลอดภัยกว่า

ที่มา: zdnet