Notepad++ полгода раздавал зараженные обновления
dl // 02.02.26 14:36
С июня 2025 года взломанный хостинг популярного редактора Notepad++ перехватывал запросы на автообновление, перенаправляя их на вредоносные серверы, откуда уже приходил затрояненный инсталлятор в формате NSIS.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2026/02/01.html]
Ситуацию усугубило отсутствие надежной проверки получаемых обновлений (в частности, использование самоподписанного корневого сертификата, открыто лежащего на GitHub).

Хостер устранил взлом 2 сентября, но взломщики сохраняли возможность перенаправлять трафик до 2 декабря.

Предположительно взлом является точечным и не направлен на рядовых пользователей (так себе утешение), среди мишеней называются "телекоммуникационные и финансовые компании восточной Азии".

Признаками заражения могут быть:
- подозрительная активность процесса gup.exe, отправляющего запросы куда-нибудь помимо notepad-plus-plus.org;
- файлы AutoUpdater.exe либо update.exe во временном каталоге;
- каталог %AppData%\Bluetooth, содержащий в том числе файл BluetoothService.exe.

Неожиданной защитой российских пользователей можно считать слегка мешающую автообновлениям блокировку домена notepad-plus-plus.org с января 2025 года.

Источник: The Register теги: spyware  |  обсудить  |  все отзывы (0)

Китайский прорыв из ESXi
dl // 10.01.26 00:20
Не сказать, чтобы уязвимости в VMware ESXi были чем-то из ряда вон выходящим.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2026/01/01.html]
В 2024 году, например, был обход аутентификации с получением прав администратора, в прошлом году несколько уязвимостей, потенциально дающих выйти за границы виртуальной машины. Но одно дело потенциальная возможность, другое — выявленный полноценный тулкит, да еще созданный за год до обнародования уязвимости.

Исследователи из Huntress сообщили о выявленной в декабре атаке, следы которой ведут в Китай (судя по оставшимся в бинарниках именам каталогов на китайском). Первичное проникновение произошло с помощью скомпрометированного приложения SonicWall VPN, после чего атакующие получили доступ к администрированию домена и загрузили собственно тулкит, использующий ряд уязвимостей ESXi, о которых Broadcom сообщила в мае прошлого года. Что любопытно, все в тех же pdb-путях из бинарников засветился каталог с именем 2024_02_19, что как бы намекает на то, что часть уязвимостей использовалась еще за год с лишним до исправления.

Среди прочих файлов лежал readme с инструкциями по использованию, плюс сама структура тулкита оказалась модульной, потенциально дающей возможность переезда на другой набор уязвимостей. Что опять же намекает на коммерческую схему использования.

[ритуальные слова о необходимости обновляться и читать рекомендации производителя (даже с учетом очень специфического сценария проникновения) пропущены]

Источник: The Register теги: vmware  |  обсудить  |  все отзывы (0)

С наступающим
dl // 31.12.25 23:59
Всех причастных — с неуклонно надвигающейся второй четвертью XXI века.

теги: ny  |  обсудить  |  все отзывы (2)

libmdbx => MithrilDB
dl // 30.12.25 17:49
Текущее состояние и перспективы развития libmdbx:
юбилейный пост на форуме
слайды с комментариями

Источник: Леонид Юрьев теги: programming  |  обсудить  |  все отзывы (2)

700 с лишним git-серверов пострадало из-за атаки нулевого дня на Gogs
dl // 11.12.25 23:47
В популярном легковесном сервисе для самостоятельного развертывания git-репозитариев Gogs обнаружилась неприятная уязвимость, ставшая развитием предыдущей, исправление которой не учло возможности использования атакующими символических ссылок.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2025/12/01.html]
Из 1400 экземпляров Gogs с открытым доступом половина уже была инфицирована.

Источник: The Register теги: уязвимости  |  обсудить  |  все отзывы (0)

1  |  2  |  3  |  4  |  5  |  6  |  7  |  8  |  9  |  10   »    »»

Предложить свою новость