Всё самое интересное из мира кибербезопасности /** с моими комментариями.
1) Масштабная атака на NPM: компрометация пакетов с 2,6 млрд загрузок в неделю.
8 сентября 2025 года произошёл очень неприятный киберинцидент, где атака на цепочку поставок поразила экосистему Node Package Manager (NPM). Злоумышленники получили доступ к учётной записи давнего мейнтейнера популярных пакетов (известного под псевдонимом «qix») через грамотно подготовленное фишинговое письмо от “службы поддержки”, а затем внедрили вредоносный код в ряд широко используемых библиотек NPM, включая debug и chalk.
Пишут, что произошедшее событие можно смело назвать крупнейшей атакой на цепочку поставок ПО за всю историю.
Согласно техническому анализу Aikido Security, в код был внедрен обфусцированный JavaScript, функционирующий как браузерный перехватчик криптовалютных транзакций.
Скрипт активировался исключительно на стороне клиента, отслеживая сетевой трафик и API-вызовы на предмет наличия адресов кошельков Ethereum, Bitcoin, Solana и других, после чего скрытно производил их подмену на адреса злоумышленников непосредственно перед подписанием транзакции пользователем.
/** Ниже привёл полный перечень скомпрометированных пакетов и их вредоносных версий, которые необходимо немедленно удалить из всех сред, включая локальные машины разработчиков, CI/CD пайплайны и производственные серверы.
-
ansi-styles@6.2.2
-
debug@4.4.2
-
chalk@5.6.1
-
supports-color@10.2.1
-
strip-ansi@7.1.1
-
ansi-regex@6.2.1
-
wrap-ansi@9.0.1
-
color-convert@3.1.1
-
color-name@2.0.1
-
is-arrayish@0.3.3
-
slice-ansi@7.1.1
-
color@5.0.1
-
color-string@2.1.1
-
simple-swizzle@0.2.3
-
supports-hyperlinks@4.1.1
-
has-ansi@6.0.1
-
chalk-template@1.1.1
-
backslash@0.2.1
-
error-ex@1.3.3
2) Новый вектор атак на ИИ — скрытые промпты в картинках.
Trail of Bits показали, что хакеры могут прятать инструкции в изображениях. Пока картинка оригинального размера — всё чисто.
Но как только сервис (например, Gemini CLI или Vertex AI Studio) автоматически сжимает её, проявляется скрытый текст. ИИ «видит» спрятанный промпт и исполняет его, думая, что это команда пользователя.
/** Интересный, хотя и предсказуемый вектор. Для защиты рекомендуют проводить многоуровневую проверку картинок. Получается, что для on-prem ИИ-решений подобные проверки нужно автоматизировать и проводить анализ картинок до их передачи в ИИ.
3) Руководитель отдела безопасности WhatsApp обвиняет Meta* в осознанном игнорировании уязвимостей, которые затрагивают миллиарды пользователей.
Бывший руководитель отдела безопасности WhatsApp Аттаулла Бейг подал в суд на Meta*, обвиняя её в сознательном игнорировании критических уязвимостей, затрагивающих миллиарды пользователей.
Согласно иску, поданному в Окружной суд Северного округа Калифорнии, внутреннее «red-teaming» тестирование выявило, что около 1500 сотрудников имели неограниченный доступ к конфиденциальным пользовательским данным, включая изображения профилей, местоположение, членство в группах и списки контактов.
В материалах дела говорится, что Meta систематически отклоняла предложения по усилению безопасности, включая внедрение дополнительного подтверждения для восстановления учётных записей и блокировку загрузки изображений профилей.
Официальный представитель WhatsApp Карл Вуг назвал обвинения искажёнными, заявив:
«К сожалению, это знакомый сценарий, в котором бывший сотрудник уволен за низкую производительность, а затем выступает публично с искажёнными заявлениями…»
По словам самого Бейга, его команда ежедневно фиксировала «реальный, фактический ущерб», включающий компрометации аккаунтов (в том числе через недостатки в механизмах восстановления доступа), скрейпинг данных, имперсонацию и целенаправленные атаки на журналистов.
/** WhatsApp такой WhatsApp ) Интересным в этой новости мне показался сам кейс, когда руководитель безопасности обвиняет компанию в том, что компания не позволяла ему выполнять работу, для которой его и нанимали. Первый раз вижу подобное, хотя не удивлён.
*Meta запрещена в РФ как экстремистская организация.
4) Сенатор США обвинил Microsoft в «грубой халатности в вопросах кибербезопасности».
Сенатор США Рон Уайден направил письмо в Федеральную торговую комиссию (FTC) с просьбой провести расследование в отношении компании Microsoft за неспособность обеспечить адекватную безопасность своих продуктов, что привело к атакам программ-вымогателей на организации здравоохранения.
Сенатор подчеркивает длительную неспособность Microsoft принять решительные меры для эффективного снижения хорошо документированных рисков безопасности в своих продуктах, что привело к таким атакам, как взлом Ascension Health в 2024 году, в результате которого были скомпрометированы данные 5,6 млн пациентов.
Уайден открыто называет действия Microsoft серьезной угрозой национальной безопасности, выражая уверенность в том, что если FTC не вмешается, то произойдет еще больше серьезных инцидентов.
/** Чёрный PR – это тоже PR. MICROSOFT – огромная денежная машина, которая всегда делает только то, что им выгодно. Мне вот интересно, а в России будут когда-то подобные новости, когда сенатор и депутат какой-нибудь подадут в суд на какую-то ИТ-компанию по причине слабой информационной безопасности? Звучит пока как фантастика )
5) Вьетнам взломан. Кредиты, налоги и военные ID всей страны украдены.
Группа ShinyHunters заявила, что смогла атаковать и выгрузить свыше 160 миллионов записей из Института кредитной информации Вьетнама, который управляет государственным Национальным центром кредитных сведений (CIC). Эта организация подчиняется Центробанку страны и отвечает за регистрацию кредитной информации, её сбор, обработку и хранение, а также за анализ рисков и предоставление кредитных отчётов как по гражданам, так и по юридическим лицам. Деятельность центра также включает присвоение кредитных рейтингов и выпуск специализированных информационных продуктов.
Национальные катастрофы кроме этого случая — в 2019-м из-за некорректной конфигурации базы оказались раскрыты почти все жители Эквадора, в 2006-м инсайдерский инцидент затронул почти всё население Израиля, в 2016-м открытая база избирателей обнажила сведения более чем о 75% граждан Мексики, а в 2024-м атака на UnitedHealth Change Healthcare лишила конфиденциальности более 190 млн. американцев.
/** Надо чётко понимать, что неугомонное желание централизовать все данные в одном месте может привести к подобным инцидентам. Интересно, а будет ли коллективный иск к данной структуре или замнут? К тому же, хакеры явно указали, что взлом произошёл через систему, которую давно сняли с поддержки. Т.е. вина фактически доказана…
6) Новости одной строкой:
-
Apple вместе c iPhone 17 и iPhone Air анонсировала новую функцию обеспечения целостности памяти (MIE), которая реализует постоянную защиту памяти для новейших телефонов и охватывает основные поверхности сложных spyware атак, включая ядро и более 70 пользовательских.
-
Google выпустила обновление стабильной версии Chrome для Windows, macOS и Linux, закрыв два серьёзных уязвимости. Главная проблема — критическая уязвимость CVE-2025-10200 в компоненте ServiceWorker.
-
Microsoft выпустили сентябрьский Patch Tuesday с исправлениями для 81 уязвимости, в том числе двух публично раскрытых 0-day.
-
Русский хакер представил новую методику эксплуатации сложнейшей уязвимости в ядре Linux, превратив случайность в правило.
-
В даркнете стремительно растёт интерес к аренде аккаунтов пользователей мессенджера МАХ. По данным аналитиков, ежедневно фиксируется до тысячи подобных запросов, а стоимость аренды отдельных учётных записей достигает 250 долларов. Эксперты отмечают, что спрос на такие услуги демонстрирует устойчивый рост.
Безопасной вам недели!
Поставьте лайк, если Вам понравился дайджест! Больше новостей в моём Telegram. Подписывайтесь!
Предыдущая неделя <– weekSecNews
Автор: Chumikov
