Модульный ботнет от русских хакеров // dl // 20.05.26 21:05
Предположительно русская хакерская группа Secret Blizzard модифицировала вредоносное ПО Kazuar, превратив его из обычного бэкдора в мощный модульный p2p-ботнет. Основное изменение заключается в архитектуре управления: теперь вместо использования единого центрального командного сервера зараженные устройства обмениваются командами и данными напрямую друг с другом, что значительно усложняет обнаружение и блокировку инфраструктуры хакеров традиционными средствами сетевой защиты. Новая версия Kazuar обладает высокой степенью адаптивности благодаря модульной структуре. Это позволяет атакующим динамически загружать дополнительные компоненты для выполнения специфических задач, таких как кража конфиденциальных данных, шпионаж или проведение DDoS-атак. Благодаря внедрению механизмов p2p, ботнет демонстрирует высокую устойчивость к попыткам вывода из строя узлов связи, так как сеть продолжает функционировать даже при удалении части зараженных компьютеров.
Источник: Bleeping Computer

Торвальдс и вайбтестеры // dl // 20.05.26 16:20
Линус Торвальдс выразил серьезную обеспокоенность по поводу растущего объема спама и технических сообщений в списке рассылки безопасности ядра Linux. Основной причиной этого процесса он назвал использование инструментов на базе искусственного интеллекта для автоматического поиска уязвимостей и генерации отчетов. По его мнению, такие «автоматизированные охотники за багами» создают огромный поток низкокачественных уведомлений, которые крайне сложно обрабатывать вручную. Проблема заключается в том, что ИИ-агенты способны генерировать сотни сообщений о потенциальных проблемах, многие из которых не являются критическими или представляют собой ложноположительные результаты. Это приводит к перегрузке разработчиков и мешает им сосредоточиться на поиске действительно важных архитектурных уязвимостей. В результате процесс обсуждения безопасности становится практически невыносимым из-за невозможности отсеять информационный шум. Торвальдс подчеркивает, что текущая ситуация ставит под угрозу эффективность работы сообщества,...»»
Источник: The Register

Атака на GitHub // dl // 20.05.26 15:25
GitHub подтверждает масштабную утечка данных, затронувшую около 3800 репозиториев на GitHub. Причиной инцидента стала не прямая атака на серверы платформы, а использование вредоносного расширения для редактора VS Code — очередная атака на цепочку поставок. Злоумышленники разместили поддельное дополнение в официальном магазине расширений, которое разработчики устанавливали в свои рабочие среды, тем самым непреднамеренно открывая доступ к своим данным.

Механизм атаки был направлен на кражу конфиденциальной информации непосредственно с компьютеров программистов. Установленное расширение искало и похищало секретные ключи, SSH-токены и персональные токены доступа (PAT). Получив эти учетные данные, хакеры смогли авторизоваться в системе под видом легитимных пользователей и получить права на внесение изменений в программный код различных проектов.
Источник: Bleeping Computer

Девятилетняя эскалация привилегий в ядре Linux // dl // 30.04.26 20:37
Производители основных дистрибутивов Linux срочно выпускают патч, исправляющий существовавшую с 2017 года уязвимость в криптографической подсистеме, позволяющую любому локальному пользователю получить администраторские права. Работающая демонстрация уязвимости — десяток строчек на python.
Источник: The Register

Раздача вредоносных CPU-Z и HWMonitor // dl // 10.04.26 16:50
На Reddit заметили, что ссылки на скачивание популярных утилит CPU-Z и HWMonitor с официального сайта проекта CPUID ведут на хранящиеся в хранилище Cloudflare R2 вредоносные версии ("качественно затрояненные, с русским инсталлятором, завернутым в обертку из Inno Setup"). Предположительно атака стала возможной из-за получения доступа к API сайта; вредоносные версии раздавались 9-10 апреля в течение примерно 6 часов.
Источник: Bleeping Computer

На GitHub пугают ложными предупреждениями VS Code // dl // 28.03.26 03:23
На платформе GitHub развернулась масштабная кампания, в ходе которой разработчики получают поддельные уведомления от Visual Studio Code. Эти сообщения размещаются в разделе «Обсуждения» различных проектов и стилизованы под официальные предупреждения об уязвимостях. Злоумышленники используют убедительные заголовки вида «Серьезная уязвимость — требуется немедленное обновление», часто добавляя вымышленные идентификаторы обнаруженных уязвимостей и всячески подгоняя пользователей. Сообщения выглядят как настоящие предупреждения о критических ошибках, что заставляет многих программистов кликать по ссылкам внутри них и загружать маскирующиеся под исправленные расширения VS Code вредоносы со слегка предсказуемыми последствиями.
Источник: Bleeping Computer

Атака на пользователей больших моделей // dl // 25.03.26 11:04
Популярный python-пакет LiteLLM (более 3.4 млн загрузок в день), предназначенный для подключения к множеству поставщиков больших языковых моделей через единый API, стал жертвой атаки на цепочку поставок. Злоумышленники скомпрометировали репозиторий PyPI и опубликовали вредоносные версии библиотеки 1.82.7 и 1.82.8, которые при установке через pip автоматически внедряют в систему код, перехватывающий токены аутентификации, API-ключи, пароли и SSH-учетные записи из памяти процессов и конфигурационных файлов пользователей. Ответственность взяла на себя группа TeamTCP, реализовавшая недавно несколько аналогичных атак — внедрение в docker-образы Aqua Security, распространение скрипта, очищающего кластеры Kubernetes, настроенные для Ирана, и т.п.
Источник: Bleeping Computer

Notepad++ полгода раздавал зараженные обновления // dl // 02.02.26 14:36
С июня 2025 года взломанный хостинг популярного редактора Notepad++ перехватывал запросы на автообновление, перенаправляя их на вредоносные серверы, откуда уже приходил затрояненный инсталлятор в формате NSIS. Ситуацию усугубило отсутствие надежной проверки получаемых обновлений (в частности, использование самоподписанного корневого сертификата, открыто лежащего на GitHub). Хостер устранил взлом 2 сентября, но взломщики сохраняли возможность перенаправлять трафик до 2 декабря. Предположительно взлом является точечным и не направлен на рядовых пользователей (так себе утешение), среди мишеней называются "телекоммуникационные и финансовые компании восточной Азии". Признаками заражения могут быть:
- подозрительная активность процесса gup.exe, отправляющего запросы куда-нибудь помимо notepad-plus-plus.org;
- файлы AutoUpdater.exe либо update.exe во временном каталоге;
- каталог %AppData%\Bluetooth, содержащий в том числе файл BluetoothService.exe. Неожиданной защитой российских пользователей...»»
Источник: The Register

Китайский прорыв из ESXi // dl // 10.01.26 00:20
Не сказать, чтобы уязвимости в VMware ESXi были чем-то из ряда вон выходящим. В 2024 году, например, был обход аутентификации с получением прав администратора, в прошлом году несколько уязвимостей, потенциально дающих выйти за границы виртуальной машины. Но одно дело потенциальная возможность, другое — выявленный полноценный тулкит, да еще созданный за год до обнародования уязвимости. Исследователи из Huntress сообщили о выявленной в декабре атаке, следы которой ведут в Китай (судя по оставшимся в бинарниках именам каталогов на китайском). Первичное проникновение произошло с помощью скомпрометированного приложения SonicWall VPN, после чего атакующие получили доступ к администрированию домена и загрузили собственно тулкит, использующий ряд уязвимостей ESXi, о которых Broadcom сообщила в мае прошлого года. Что любопытно, все в тех же pdb-путях из бинарников засветился каталог с именем 2024_02_19, что как бы намекает на то, что часть уязвимостей использовалась еще за год с лишним до исправления. Среди прочих...»»
Источник: The Register