 |  |
https://bugtraq.ru/rsn/ |
|
|||
|
|
|
||
| https://bugtraq.ru/rsn/ |
||||
| ||||
Раздача вредоносных CPU-Z и HWMonitor
dl // 10.04.26 16:50
На Reddit заметили, что ссылки на скачивание популярных утилит CPU-Z и HWMonitor с официального сайта проекта CPUID ведут на хранящиеся в хранилище Cloudflare R2 вредоносные версии ("качественно затрояненные, с русским инсталлятором, завернутым в обертку из Inno Setup").
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2026/04/01.html]
Предположительно атака стала возможной из-за получения доступа к API сайта; вредоносные версии раздавались 9-10 апреля в течение примерно 6 часов.
|
Источник: Bleeping Computer теги: spyware | обсудить | все отзывы (0) |
На GitHub пугают ложными предупреждениями VS Code
dl // 28.03.26 03:23
На платформе GitHub развернулась масштабная кампания, в ходе которой разработчики получают поддельные уведомления от Visual Studio Code.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2026/03/02.html]
Эти сообщения размещаются в разделе «Обсуждения» различных проектов и стилизованы под официальные предупреждения об уязвимостях. Злоумышленники используют убедительные заголовки вида «Серьезная уязвимость — требуется немедленное обновление», часто добавляя вымышленные идентификаторы обнаруженных уязвимостей и всячески подгоняя пользователей.
Сообщения выглядят как настоящие предупреждения о критических ошибках, что заставляет многих программистов кликать по ссылкам внутри них и загружать маскирующиеся под исправленные расширения VS Code вредоносы со слегка предсказуемыми последствиями.
|
Источник: Bleeping Computer теги: spyware | обсудить | все отзывы (0) |
Атака на пользователей больших моделей
dl // 25.03.26 11:04
Популярный python-пакет LiteLLM (более 3.4 млн загрузок в день), предназначенный для подключения к множеству поставщиков больших языковых моделей через единый API, стал жертвой атаки на цепочку поставок.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2026/03/7139.html]
Злоумышленники скомпрометировали репозиторий PyPI и опубликовали вредоносные версии библиотеки 1.82.7 и 1.82.8, которые при установке через pip автоматически внедряют в систему код, перехватывающий токены аутентификации, API-ключи, пароли и SSH-учетные записи из памяти процессов и конфигурационных файлов пользователей.
Ответственность взяла на себя группа TeamTCP, реализовавшая недавно несколько аналогичных атак — внедрение в docker-образы Aqua Security, распространение скрипта, очищающего кластеры Kubernetes, настроенные для Ирана, и т.п.
|
Источник: Bleeping Computer теги: python, supply chain | обсудить | все отзывы (0) |
Notepad++ полгода раздавал зараженные обновления
dl // 02.02.26 14:36
С июня 2025 года взломанный хостинг популярного редактора Notepad++ перехватывал запросы на автообновление, перенаправляя их на вредоносные серверы, откуда уже приходил затрояненный инсталлятор в формате NSIS.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2026/02/01.html]
Ситуацию усугубило отсутствие надежной проверки получаемых обновлений (в частности, использование самоподписанного корневого сертификата, открыто лежащего на GitHub).
Хостер устранил взлом 2 сентября, но взломщики сохраняли возможность перенаправлять трафик до 2 декабря.
Предположительно взлом является точечным и не направлен на рядовых пользователей (так себе утешение), среди мишеней называются "телекоммуникационные и финансовые компании восточной Азии".
Признаками заражения могут быть:
- подозрительная активность процесса gup.exe, отправляющего запросы куда-нибудь помимо notepad-plus-plus.org;
- файлы AutoUpdater.exe либо update.exe во временном каталоге;
- каталог %AppData%\Bluetooth, содержащий в том числе файл BluetoothService.exe.
Неожиданной защитой российских пользователей можно считать слегка мешающую автообновлениям блокировку домена notepad-plus-plus.org с января 2025 года.
|
Источник: The Register теги: spyware | обсудить | все отзывы (0) |
Китайский прорыв из ESXi
dl // 10.01.26 00:20
Не сказать, чтобы уязвимости в VMware ESXi были чем-то из ряда вон выходящим.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2026/01/01.html]
В 2024 году, например, был обход аутентификации с получением прав администратора, в прошлом году несколько уязвимостей, потенциально дающих выйти за границы виртуальной машины. Но одно дело потенциальная возможность, другое — выявленный полноценный тулкит, да еще созданный за год до обнародования уязвимости.
Исследователи из Huntress сообщили о выявленной в декабре атаке, следы которой ведут в Китай (судя по оставшимся в бинарниках именам каталогов на китайском). Первичное проникновение произошло с помощью скомпрометированного приложения SonicWall VPN, после чего атакующие получили доступ к администрированию домена и загрузили собственно тулкит, использующий ряд уязвимостей ESXi, о которых Broadcom сообщила в мае прошлого года. Что любопытно, все в тех же pdb-путях из бинарников засветился каталог с именем 2024_02_19, что как бы намекает на то, что часть уязвимостей использовалась еще за год с лишним до исправления.
Среди прочих файлов лежал readme с инструкциями по использованию, плюс сама структура тулкита оказалась модульной, потенциально дающей возможность переезда на другой набор уязвимостей. Что опять же намекает на коммерческую схему использования.
[ритуальные слова о необходимости обновляться и читать рекомендации производителя (даже с учетом очень специфического сценария проникновения) пропущены]
|
Источник: The Register теги: vmware | обсудить | все отзывы (0) |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10  » »» |
|
|
|