Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Вот перефразированная новость на русском языке:
Главные события недели в сфере кибербезопасности
Мы подготовили обзор самых важных инцидентов из мира цифровой безопасности за последние семь дней.
* Обновленная программа-похититель криптовалют смогла обойти защиту Apple.
* Злоумышленники получили несанкционированный доступ к тысячам репозиториев на GitHub.
* Интерпол провел крупную операцию по задержанию киберпреступников на Ближнем Востоке и в Северной Африке.
* В системе ChromaDB, используемой разработчиками искусственного интеллекта, обнаружена опасная уязвимость.
1. Вредонос Reaper: новая угроза для macOS
Эксперты компании SentinelOne обнаружили новую версию инфостилера Reaper. Эта программа обходит защиту операционной системы macOS, маскируясь под уведомление об обновлении безопасности. Главная цель злоумышленников — похищение данных из браузеров и криптовалютных кошельков.
В отличие от предыдущих атак, где использовалась тактика ClickFix, новая кампания применяет специальную ссылку формата applescript://. При переходе по ней на устройстве автоматически запускается встроенное приложение для работы со скриптами, которое выполняет вредоносный код.
Вредонос распространялся через поддельные установщики популярных приложений, таких как WeChat и Miro. Некоторые фейковые сайты, копирующие сервисы Microsoft и QQ, оставались активными на момент публикации отчета.
Перед активацией вредоносного скрипта сайты собирают цифровой отпечаток устройства, чтобы отсеять исследователей безопасности и пользователей с русскоязычной локализацией. Программа проверяет, не запущена ли система на виртуальной машине, не используется ли VPN, а также сканирует установленные расширения браузера для менеджеров паролей и криптокошельков. Все собранные данные отправляются злоумышленнику через Telegram-бота.
После запуска пользователь видит поддельное окно обновления Apple. В это время программа загружает shell-скрипт и запрашивает пароль от macOS.
Затем Reaper начинает сбор информации из:
* браузеров Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc и Orion;
* расширений для криптокошельков, включая MetaMask и Phantom;
* расширений менеджеров паролей 1Password, Bitwarden и LastPass;
* десктопных приложений криптокошельков (Exodus, Atomic Wallet, Ledger Live, Electrum, Trezor Suite);
* учетных записей iCloud и Telegram;
* конфигурационных файлов, связанных с программированием.
В состав Reaper также входит модуль Filegrabber, который ищет на рабочем столе и в папке «Документы» файлы, которые могут содержать конфиденциальную информацию. Он собирает файлы размером до 2 МБ (или до 6 МБ для PNG-изображений), при этом общий объем похищенных данных не превышает 150 МБ.
Специалисты предупреждают, что вредонос закрепляется в системе, маскируясь под обновления Google. Кроме того, операторы SHub расширяют возможности стилера, добавляя функции удаленного доступа к зараженным устройствам, что в будущем позволит им устанавливать дополнительное вредоносное ПО.
2. Взлом репозиториев GitHub
19 мая хакеры получили доступ к 3800 внутренним репозиториям GitHub. Причиной стала установка одним из сотрудников компании зараженной версии популярного плагина Nx Console (версия 18.95.0). Вредоносный код был нацелен на кражу учетных данных разработчиков и секретов для облачных платформ, таких как AWS, Kubernetes, GitHub и Docker.
Ответственность за взлом взяла на себя группировка TeamPCP. Злоумышленники выставили украденный код на продажу на теневом форуме Breached, запросив за него не менее $50 000. Ранее эту же группу связывали с атаками на Mistral AI, UiPath, OpenSearch и сотрудников OpenAI.
Разработчики Nx Console пояснили, что один из их сотрудников стал жертвой атаки на цепочку поставок npm-пакетов проекта TanStack. Используя утилиту GitHub CLI, хакеры украли его токены, вошли в рабочий аккаунт и внедрили вредоносный код в обновление расширения.
Зараженная версия Nx Console находилась в официальном магазине Visual Studio Marketplace всего 18 минут (и 36 минут на платформе OpenVSX). За это время ее скачали менее 70 раз. В GitHub заявили, что оперативно изолировали взломанное устройство и провели экстренную замену всех критически важных секретов и ключей доступа.
3. Операция Интерпола «Ramz»
Правоохранители из 13 стран Ближнего Востока и Северной Африки арестовали 201 подозреваемого в ходе операции «Ramz», направленной на борьбу с киберпреступностью. Об этом сообщил Интерпол.
В ходе операции были установлены личности 382 подозреваемых в Алжире, Бахрейне, Египте, Ираке, Иордании, Ливане, Ливии, Марокко, ОАЭ, Омане, Палестине, Катаре и Тунисе.
Правоохранители также изъяли 53 сервера, которые использовались для фишинга, распространения вредоносного ПО и интернет-мошенничества. Анализ данных с этих серверов показал, что жертвами злоумышленников стали 3867 человек. Для отслеживания хакерской инфраструктуры Интерпол привлек частные компании в сфере кибербезопасности, включая «Лабораторию Касперского», Group-IB, The Shadowserver Foundation, Team Cymru и TrendAI.
4. Критическая уязвимость в ChromaDB
Специалисты HiddenLayer обнаружили критическую уязвимость в базе данных ChromaDB, которая активно используется при разработке ИИ-приложений. ChromaDB — это векторная база данных с открытым исходным кодом, используемая в агентных ИИ-системах.
Уязвимость затрагивает Python-версию API (на базе FastAPI) и связана с нарушением логики проверок безопасности. При получении запроса система сначала загружает и запускает указанную ML-модель (например, вредоносную нагрузку с платформы Hugging Face), и только затем проверяет подлинность пользователя. Сервер выдает ошибку авторизации, но вредоносный код уже успевает выполниться.
По данным специалистов, около 73% узлов Chroma работают на уязвимых версиях. Локальные сборки и проекты, использующие фронтенд на Rust, находятся вне опасности. Команда ChromaDB игнорирует запросы исследователей, и на данный момент неясно, устранена ли уязвимость в последнем релизе 1.5.9.
До появления официальных патчей эксперты рекомендуют пользователям:
* изолировать Python-сервер от публичного доступа (ограничить доступ к порту API с помощью брандмауэра);
* использовать Rust-фронтенд в качестве альтернативы для открытых сред;
* тщательно проверять сторонние ML-модели на наличие закладок перед их запуском.
5. Европол ликвидировал First VPN
Правоохранители отключили виртуальную частную сеть First VPN, которая часто использовалась мошенниками для вымогательства и кражи данных. Об этом сообщил Европол.
По данным полиции, сервис рекламировался на хакерских форумах как инструмент, ориентированный на конфиденциальность, который не ведет журналы активности пользователей и игнорирует запросы правоохра
Популярные лонгриды:
