T.Hunter | информационная безопасность

Выше был скомпрометирован сканер уязвимостей Checkmarx KICS, включая образы Docker и расширения VSCode и Open VSX. Троянизированные версии подтягивают MCP-аддон с инфостилером, который стягивает данные, обрабатываемые KICS — всевозможные токены, креды и конфиги. Всё это заливается в публичные репозитории на GitHub. Окно компрометации как и в случае с Bitwarden CLI небольшое — около полутора часов 22 апреля, но скачивания есть...

При виде таких воодушевляющих новостей в ИБ-чатики полетели “it’s over” и “gg”. Но по сути отделались испугом. Затронут был только механизм доставки пакета, только на npm, и только у CLI. И время реакции — моё почтение: пара часов от компрометации до митигации. Bitwarden сообщает, что данные в хранилищах юзеров затронуты не были, прод у них тоже не пострадал, а вредоносный пакет успели скачать всего 334 счастливчика...

Компания закрыла критическую уязвимость на повышение привилегий в своём опенсорсном фреймворке ASP[.]NET Core. CVE-2026-40372, 9.1 по CVSS. Проблема кроется в неверной верификации криптографических подписей и позволяет неаутентифицированному злоумышленнику получить привилегии уровня System. В бюллетене акцент на инстансах, стоящих на Linux и macOS, но устройства на Windows также затронуты. Хорошие новости, уязвимы только версии конкретного пакета Microsoft...

Они сохраняются на устройствах, что позволяет получить к ним доступ и прочесть, скажем, текст превью из мессенджеров. С чего вдруг внеплановые апдейты, в Apple не говорят, но дело известное: в начале апреля на 404Media вышла новость о том, что ФБР вытянуло удалённые сообщения Signal из базы уведомлений на iPhone — информация об этом засветилась в показаниях по делу. СМИ с пониженной социальной ответственностью разнесли это по сети...

В блог-посте с громким заголовком “Дни нулевых дней сочтены” пишут про 271 уязвимость, обнаруженную Mythos в релизе Firefox 150. Но есть одна проблема: цифры не бьются. Совсем. Какие, собственно, цифры? Из опубликованного в тот же день бюллетеня по безопасности свежей версии: в нём 41 CVE, три из них отмечены как найденные Claude. При этом в Firefox 148 51 CVE, 22 от Anthropic со 112 баг-репортов — отрицательный рост от 5:1 к 90:1. Где уязвимости, Клодовски? Скептики...

несанкционированный доступ в первый же день. И мир содрогнулся от супер-ИИ в неавторизированных руках? Да вроде нет. Bloomberg пишет, что доступ получили обитатели сообщества в Дискорде, ковыряющиеся в свежих LLM'ках — в одном случае через среду подрядчика, сотрудник которого, вероятно, доступ и слил. Охочие до ИИ-новинок с тех пор регулярно пользуются моделькой и прислали скрины и видео её работы. А там, как водится, тысячи неизвестных науке серьёзных уязвимостей во всевозможном софте...

Всё это, конечно же, для защиты детей по линии борьбы с ЦП — мессенджер проверят на соответствие нормам по борьбе с незаконным контентом. В деле замешаны местный обком Ofcom, надзорный орган, и пресловутый Online Safety Act: нашлись достоверные сведения, что Telegram используют для распространения известно каких материалов — по итогам проверок грозят штрафы и вплоть до блокировки в стране....

Вместе с недавним взломом Drift это $600 миллионов меньше чем за месяц. Но не всё так радужно в стане криптоборцов с западным империализмом: сегодня совбез Arbitrum — эфирной платформы, через чью экосистему шло украденное с KelpDao — заморозил ~$70 миллионов. Говорят, решение далось нелегко: на это ушли долгие часы дебатов по техническим, этическим и политическим вопросам — блокчейн ведь должен быть свободным, и как поступать в случае экстренных ситуаций, им не до конца понятно...

Одно из подразделений Национальной службы здравоохранения UK до сих пор не восстановило системы после шифрования. Атака была в июне 2024-го. Напомню, тогда особо отбитые представители рансомварь-сцены Qilin зашифровали местного поставщика медицинских услуг. Здравоохранение встало, данные миллиона пациентов утекли — многих уведомили только 1,5 года спустя. А в апреле 2026-го одно подразделение так и стоит без рабочих систем и вручную обрабатывает огромные бэклоги с запаздывающими результатами анализов...

Затронуты внутренние системы, у части клиентов, они же “limited subset of customers” на корпоративном, скомпрометированы креды. И всё это в погожий воскресный денёк. Взлом через стороннюю ИИ-приблуду Context[.]ai одного из сотрудников, у которого стянули доступ к аккаунту на Google Workspace. Оттуда пошёл доступ к части сред, не помеченных как “чувствительные”. И одним Vercel дело не ограничивается — утверждают, что затронуты и другие компании с этим ИИ-инструментом и компрометацией его OAuth-приложения...

Имя не обозначено, но сумма изъятий солидная: имущество на $11 миллионов, включая $3 миллиона в крипте. Разыскиваемого приняли в Ужгороде, он обозначен как часть синдиката, деплоящего малварь для сбора данных и последующего вымогательства в США и Европе. В общем, у нас сайберкрайм, возможно, рансомварь. Не обошлось и без восточноевропейского колорита: персонаж имел на своё имя свидетельство о смерти и жил по поддельным документам...

Больше миллиарда рублей были похищены 15 апреля, работа биржи приостановлена. В Grinex заявили, что их ломают спецслужбы недружественных стран, но на диверсию криптоагентов-007 взлом не похож. Grinex в своём репертуаре: атаку скоординировали ни много ни мало “с целью нанесения прямого ущерба финансовому суверенитету России”. Зачем недружественным спецслужбам взламывать наше всё от мира крипты вместо того, чтобы по запросу морозить кошельки от Tether — вопрос открытый...