Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Мы собрали ключевые события из мира кибербезопасности за прошедшую неделю
Обновлённая версия криптостилера обошла защиту Apple
Хакеры проникли в тысячи репозиториев GitHub
Интерпол провёл масштабные задержания на Ближнем Востоке и в Северной Африке
В базе данных для разработчиков ИИ ChromaDB обнаружена опасная уязвимость
Новая версия ПО для кражи криптовалют обошла защиту Apple
Обновлённый инфостилер Reaper обходит защиту macOS, показывая поддельное уведомление о безопасности. Его цель — конфиденциальные сведения из браузеров и криптокошельков. Угрозу выявили специалисты SentinelOne.
В отличие от предыдущих атак с ранней версией SHub, где применялась тактика ClickFix, в этой кампании используется ссылка формата applescript://. При клике на компьютере автоматически запускается встроенное приложение macOS для работы со скриптами и выполняется вредоносный код.
По данным SentinelOne, злоумышленники распространяли вредонос через фальшивые установщики WeChat и Miro. Некоторые поддельные домены, маскирующиеся под сервисы Microsoft и QQ, оставались активны на момент публикации.
Перед запуском AppleScript вредоносные сайты собирают цифровой отпечаток устройства посетителя, чтобы отсеять исследователей и терминалы с русской локализацией. Код проверяет наличие виртуальных машин и VPN, а также установленные браузерные расширения для менеджеров паролей и криптокошельков. Все данные передаются злоумышленнику через Telegram-бота.
После запуска пользователь видит фальшивое уведомление об обновлении Apple. Программа загружает shell-скрипт и запрашивает пароль macOS.
Далее инфостилер нацеливается на:
данные браузеров Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc и Orion
браузерные расширения криптовалютных кошельков, в том числе MetaMask и Phantom
браузерные расширения менеджеров паролей 1Password, Bitwarden и LastPass
десктопные приложения криптокошельков, включая Exodus, Atomic Wallet, Ledger Live, Electrum и Trezor Suite
данные учётной записи iCloud и Telegram
конфигурационные файлы, связанные с программированием
В состав Reaper также входит модуль Filegrabber, который ищет на рабочем столе и в папке «Документы» файлы, потенциально содержащие конфиденциальную информацию. Он собирает целевые файлы размером менее 2 МБ (или до 6 МБ для PNG-изображений), при этом общий лимит объёма данных установлен на уровне 150 МБ.
Специалисты предупредили, что вредонос закрепляется в системе, маскируясь под обновления Google.
В SentinelOne отметили, что операторы SHub расширяют возможности стилера, добавляя функции удалённого доступа к взломанным устройствам, что в будущем позволит распространять дополнительную нагрузку.
Хакеры получили доступ к тысячам репозиториев на GitHub
19 мая хакеры взломали 3800 внутренних репозиториев GitHub, получив к ним доступ через вредоносное расширение для редактора VS Code. Об этом сообщила директор по информационной безопасности компании Алексис Уэйлс.
Инцидент произошёл из-за того, что один из сотрудников GitHub установил заражённую версию популярного плагина Nx Console (версия 18.95.0). Вредоносный код был нацелен на кражу учётных данных разработчиков и секретов для облачных платформ, включая AWS, Kubernetes, GitHub и Docker.
Ответственность за взлом взяла на себя киберпреступная группировка TeamPCP. Хакеры выставили украденный код на продажу на теневом форуме Breached, требуя за него не менее $50 000. До инцидента эту же группу связывали с атаками на Mistral AI, UiPath, OpenSearch и сотрудников OpenAI.
Разработчики Nx Console пояснили, что один из их собственных сотрудников ранее пострадал от атаки на цепочку поставок npm-пакетов проекта TanStack. Через утилиту GitHub CLI хакеры украли его токены, вошли в рабочий аккаунт и внедрили вредоносный код в обновление расширения.
Заражённая версия Nx Console пробыла в официальном магазине Visual Studio Marketplace всего 18 минут (и 36 минут на платформе OpenVSX). За это время её успели скачать менее 70 раз.
В GitHub заявили, что оперативно изолировали взломанное устройство и провели экстренную ротацию всех критически важных секретов и ключей доступа.
Интерпол провёл масштабные аресты на Ближнем Востоке и в Северной Африке
Правоохранители из 13 стран Ближнего Востока и Северной Африки арестовали 201 подозреваемого в ходе операции Ramz. Её цель — борьба с киберпреступностью, сообщает Интерпол.
Во время операции были установлены личности 382 подозреваемых в Алжире, Бахрейне, Египте, Ираке, Иордании, Ливане, Ливии, Марокко, ОАЭ, Омане, Палестине, Катаре и Тунисе.
Кроме того, правоохранители изъяли 53 сервера, использовавшихся для фишинга, распространения вредоносного ПО и интернет-мошенничества. Анализ данных, полученных с этого оборудования, показал, что жертвами злоумышленников стали 3867 человек.
Для отслеживания хакерской инфраструктуры Интерпол привлёк частные компании в сфере кибербезопасности, включая «Лабораторию Касперского», Group-IB, The Shadowserver Foundation, Team Cymru и TrendAI.
В базе данных для ИИ-разработчиков ChromaDB нашли критическую уязвимость
В базе данных ChromaDB, активно применяемой при разработке ИИ-приложений, нашли критическую уязвимость наивысшего уровня. Об этом сообщили специалисты HiddenLayer.
ChromaDB — векторная база с открытым исходным кодом и бэкенд для поиска данных, который активно используется в агентных ИИ-системах и смежных приложениях.
Согласно HiddenLayer, уязвимость затрагивает Python-версию API (на базе FastAPI) и кроется в нарушенной логике проверок безопасности. При получении запроса система сначала скачивает и запускает указанную ML-модель (например, вредоносную полезную нагрузку с платформы Hugging Face), и лишь затем проверяет подлинность пользователя. Сервер ожидаемо выдаёт ошибку авторизации, но к этому моменту хакерский код уже успевает успешно отработать.
По данным специалистов, около 73% узлов Chroma работают на уязвимых версиях. Локальные сборки и проекты, использующие фронтенд на Rust, находятся вне опасности. Команда ChromaDB игнорирует запросы исследователей, и на данный момент неясно, устранена ли уязвимость в последнем релизе 1.5.9.
До появления официальных разъяснений и патчей эксперты рекомендовали пользователям:
изолировать Python-сервер от публичного доступа (ограничить доступ к порту API с помощью брандмауэра)
использовать Rust-фронтенд в качестве альтернативы для открытых сред
внимательно проверять сторонние ML-модели на наличие закладок перед их запуском, особенно если активен параметр доверия к удалённому коду
Европол ликвидировал First VPN за частое использование мошенниками
Правоохранители отключили виртуальную частную сеть First VPN, использовав
Популярные новости: