Найти в Дзене
#news Mythos нашёл уязвимость в cURL! Да, одну
Так начинается статья Стенберга по результатам взаимодействия с распиаренной моделью от Anthropic. Если кратко, вы не сумели впечатлить деда. Базу кода сURL пропустили через Mythos, тот заявил, что нашёл 5 уязвимостей, после ревью осталась одна. С низким рейтингом. Плюс три ложно положительных и один баг. По итогам Стенберг сочится сарказмом и приходит к выводу, что Mythos — это просто удачный пиар-проект, от которого весь мир совершенно зря сходит с ума...
11 часов назад
#news Про атаки на цепочку поставок слышали? Новый хит сезона! Мини Шаи-Хулуд в исполнении TeamPCP продолжает терроризировать npm и PyPi
— червие уже в 400+ пакетов. Среди затронутых TanStack, UiPath, Mistral AI, OpenSearch, и Guardrails AI. Отдельно можно выделить пакеты TanStack — больше 12 миллионов загрузок в неделю и широкий охват по всей экосистеме npm. Даром что сканер от Socket засёк компрометацию через 5 минут после публикации. Чтобы было не так скучно, подвезли сюжетный поворот: на иранских и израильских локалях в малвари прописан шанс 1 к 6 выполнить rm -rf /...
13 часов назад
#news Ещё один яркий пример доставки малвари через расшаренные чаты с LLM, на этот раз от Claude и под MacOS
Юзеры в поисках “Claude download mac” попадают на чат с вредоносными инструкциями. Начинается всё в лучших традициях с проспонсированных Google результатов выдачи — никогда не спрашивайте у крупных платформ, сколько они зарабатывают на малвертайзинге. В чате с Клодом инструкция формата InstallFix, текст ироничный: вот как безопасно установить Claude Code на Mac, не затронув систему или персональные данные...
1 день назад
#news В новую неделю с новыми… атаками на цепочку поставок! А вы как думали? У JDownloader, популярного менеджера загрузок
, скомпрометировали сайт, 6 и 7 мая он доставлял малварь с .sh-установщиком под Linux и альтернативным под Windows. Остальные не затронуты. Злоумышленники подменили ссылки на сайте на ведущие на вредонос — на сайте была уязвимость, позволяющая редактировать контент без аутентификации. В качестве нагрузки шёл RAT на питоне, но на него ругался...
1 день назад
#news ShinyHunters навели шуму в образовательной системе США: данные с нацплатформы Canvas стянули, страницу логина дефейснули
После атаки вендор отключил доступ, что затронуло ~9,000 школ и университетов в стране. Главные заголовки дня в Штатах. Canvas — один из ключевых образовательных ресурсов в США, так что это событие национального масштаба. Затронут, например, Гарвард, и всё это в ходе выпускных экзаменов. SH взломали оператора платформы Infrastructure и утверждают, что стянули данные 275 миллионов студентов и всех затронутых учреждений...
4 дня назад
#news Одной проблемной LPE в Linux этой весной было мало, так что встречайте новую: Dirty Frag, цепочка из двух уязвимостей
Без состояния гонки, без паники ядра, с очень высокой успешностью эксплойта. Универсальная. Твоя. Причём это тот случай, когда чем дальше читаешь, тем хуже становится. Патчей нет, даже CVE присвоили лишь пару часов назад. Но исследователь раскрыл PoC и документацию по уязвимости после консультации с мейнтейнерами. Потому что вчера всплыл эксплойт. Уязвимость...
4 дня назад
#news У “Лаборатории Касперского” анализ паролей из утечек с 2023-го по 2026-й год
Как и следует ожидать, не выросла любовь к бытовому кибербезу в душах сограждан: привычные тренды прошлых лет по-прежнему в силе. На 231 миллион паролей 53% оканчиваются цифрами, 12% содержат последовательность, похожую на дату. 3% — нестареющая классика в виде qwerty и обратного варианта. На кириллице распространена смекалочка с корнями в 90-х — набор русских слов английскими буквами и наоборот; увы, брутфорс не проведёшь...
5 дней назад
#news В библиотеке vm2 для запуска JavaScript-кода в песочнице раскрыли уязвимости на побег из неё
А чтобы не было скучно, их в этот раз сразу дюжина, хороших и разных. И все критические. Среди них три десяточки по CVSS, остальные тоже не отстают — большая часть на 9.8 баллов. Несколько обходов предыдущих патчей, edge-кейсы и прочее сопутствующее сизифову труду по обеспечению безопасности песочницы под JavaScript. Всё это с проверками концепции под все опубликованные CVE, чтобы уж никому не казалось, что разраб с вами шутки шутить будет...
5 дней назад
#news В сетевых дебрях засветился ранее незадокументированный имплант под Linux
Он получил название Quasar Linux и в духе заголовков последних месяцев заточен под девелоперскую и девопс среды. Иными словами, под атаки на цепочку поставок. QLNX — полноценный RAT с функциональностью руткита, PAM-бэкдором, сбором кредов и прочими удовольствиями. В комплекте с несколькими слоями устойчивости, в том числе с применением eBPF, бесфайловой работой...
6 дней назад
#digest Собрали самые интересные ИБ-события апреля в наш дайджест
В прошлом месяце гремела Mythos от Anthropic, в очередной раз заявившей о революции в кибербезе, за которой пока не видно ничего кроме пиара. Не меньше шуму наделал и взлом суперкомпьютера Китая, которого не было. Апрель также стал месяцем многочисленных атак на цепочку поставок — о них сообщали чуть ли не каждый день...
6 дней назад
#news Daemon Tools помните? А он засветился в атаках — конечно же, на цепочку поставок
Установщики были скомпрометированы и доставляют малварь с 8 апреля. В комплекте загрузчик, причём подписано всё сертификатами разработчика. Затронуты установщики с версии 12.5.0.2421; после раскрытия вендор решил проблему, версия 12.6.0.2445 чистая. Вредонос стучит по С2 и подтягивает дополнительную нагрузку, в большинстве случаев это имплант для сбора системной инфы. Со строками на китайском — если кто ещё не догадался, от кого можно ждать такой изящный подгон...
6 дней назад
#news В США вынесли приговор переговорщику рансомварь-группировки Karakurt Денису Золотарёву, он же Sforza_cesarini
Он получил 8,5 лет за отмывание денежных средств и мошенничество с использованием электронных средств связи. 35-летний Золотарёв — гражданин Латвии, проживал в Москве, был задержан в Грузии в декабре 2023-го, экстрадирован в США в 2024-м. В 2025-м признал вину, а в 2026-м отправляется на заслуженный отдых. В общем, проделал стандартный маршрут в профессии. Согласно делу, Золотарёв работал переговорщиком по зашедшим в тупик вымогательствам, кроме Karakurt светился также в кейсах полудюжины сопутствующих брендов...
1 неделю назад