Новости кибербезопасности за неделю с 8 по 14 сентября 2025

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

1) Масштабная атака на NPM: компрометация пакетов с 2,6 млрд загрузок в неделю.

8 сентября 2025 года произошёл очень неприятный киберинцидент ^[1], где атака на цепочку поставок поразила экосистему Node Package Manager (NPM). Злоумышленники получили доступ к учётной записи давнего мейнтейнера популярных пакетов (известного под псевдонимом «qix») через грамотно подготовленное фишинговое письмо от “службы поддержки”, а затем внедрили вредоносный код в ряд широко используемых библиотек NPM, включая debug и chalk.

Пишут, что произошедшее событие можно смело назвать крупнейшей атакой на цепочку поставок ПО за всю историю.

Согласно техническому анализу Aikido Security, в код был внедрен обфусцированный JavaScript, функционирующий как браузерный перехватчик криптовалютных транзакций.

Скрипт активировался исключительно на стороне клиента, отслеживая сетевой трафик и API-вызовы на предмет наличия адресов кошельков Ethereum, Bitcoin, Solana и других, после чего скрытно производил их подмену на адреса злоумышленников непосредственно перед подписанием транзакции пользователем.

/** Ниже привёл полный перечень скомпрометированных пакетов и их вредоносных версий, которые необходимо немедленно удалить из всех сред, включая локальные машины разработчиков, CI/CD пайплайны и производственные серверы.

• ansi-styles@6.2.2

• debug@4.4.2

• chalk@5.6.1

• supports-color@10.2.1

• strip-ansi@7.1.1

• ansi-regex@6.2.1

• wrap-ansi@9.0.1

• color-convert@3.1.1

• color-name@2.0.1

• is-arrayish@0.3.3

• slice-ansi@7.1.1

• color@5.0.1

• color-string@2.1.1

• simple-swizzle@0.2.3

• supports-hyperlinks@4.1.1

• has-ansi@6.0.1

• chalk-template@1.1.1

• backslash@0.2.1

• error-ex@1.3.3

2) Новый вектор атак на ИИ — скрытые промпты в картинках.

Trail of Bits показали ^[2], что хакеры могут прятать инструкции в изображениях. Пока картинка оригинального размера — всё чисто.

Но как только сервис (например, Gemini CLI или Vertex AI Studio) автоматически сжимает её, проявляется скрытый текст. ИИ «видит» спрятанный промпт и исполняет его, думая, что это команда пользователя.

/** Интересный, хотя и предсказуемый вектор. Для защиты рекомендуют проводить многоуровневую проверку картинок. Получается, что для on-prem ИИ-решений подобные проверки нужно автоматизировать и проводить анализ картинок до их передачи в ИИ.

3) Руководитель отдела безопасности WhatsApp обвиняет ^[3] Meta* в осознанном игнорировании уязвимостей, которые затрагивают миллиарды пользователей.

Бывший руководитель отдела безопасности WhatsApp Аттаулла Бейг подал в суд на Meta*, обвиняя её в сознательном игнорировании критических уязвимостей, затрагивающих миллиарды пользователей.

Согласно иску, поданному в Окружной суд Северного округа Калифорнии, внутреннее «red-teaming» тестирование выявило, что около 1500 сотрудников имели неограниченный доступ к конфиденциальным пользовательским данным, включая изображения профилей, местоположение, членство в группах и списки контактов.

В материалах дела говорится, что Meta систематически отклоняла предложения по усилению безопасности, включая внедрение дополнительного подтверждения для восстановления учётных записей и блокировку загрузки изображений профилей.

Официальный представитель WhatsApp Карл Вуг назвал обвинения искажёнными, заявив:

«К сожалению, это знакомый сценарий, в котором бывший сотрудник уволен за низкую производительность, а затем выступает публично с искажёнными заявлениями…»

По словам самого Бейга, его команда ежедневно фиксировала «реальный, фактический ущерб», включающий компрометации аккаунтов (в том числе через недостатки в механизмах восстановления доступа), скрейпинг данных, имперсонацию и целенаправленные атаки на журналистов.

/** WhatsApp такой WhatsApp ) Интересным в этой новости мне показался сам кейс, когда руководитель безопасности обвиняет компанию в том, что компания не позволяла ему выполнять работу, для которой его и нанимали. Первый раз вижу подобное, хотя не удивлён.

*Meta запрещена в РФ как экстремистская организация.

4) Сенатор США обвинил Microsoft в «грубой халатности в вопросах кибербезопасности».

Сенатор США Рон Уайден направил письмо ^[4] в Федеральную торговую комиссию (FTC) с просьбой провести расследование в отношении компании Microsoft за неспособность обеспечить адекватную безопасность своих продуктов, что привело к атакам программ-вымогателей на организации здравоохранения.

Сенатор подчеркивает длительную неспособность Microsoft принять решительные меры для эффективного снижения хорошо документированных рисков безопасности в своих продуктах, что привело к таким атакам, как взлом Ascension Health в 2024 году, в результате которого были скомпрометированы данные 5,6 млн пациентов.

Уайден открыто называет действия Microsoft серьезной угрозой национальной безопасности, выражая уверенность в том, что если FTC не вмешается, то произойдет еще больше серьезных инцидентов.

/** Чёрный PR – это тоже PR. MICROSOFT – огромная денежная машина, которая всегда делает только то, что им выгодно. Мне вот интересно, а в России будут когда-то подобные новости, когда сенатор и депутат какой-нибудь подадут в суд на какую-то ИТ-компанию по причине слабой информационной безопасности? Звучит пока как фантастика )

5) Вьетнам взломан. Кредиты, налоги и военные ID всей страны украдены.

Группа ShinyHunters заявила ^[5], что смогла атаковать и выгрузить свыше 160 миллионов записей из Института кредитной информации Вьетнама, который управляет государственным Национальным центром кредитных сведений (CIC). Эта организация подчиняется Центробанку страны и отвечает за регистрацию кредитной информации, её сбор, обработку и хранение, а также за анализ рисков и предоставление кредитных отчётов как по гражданам, так и по юридическим лицам. Деятельность центра также включает присвоение кредитных рейтингов и выпуск специализированных информационных продуктов.

Национальные катастрофы кроме этого случая — в 2019-м из-за некорректной конфигурации базы оказались раскрыты почти все жители Эквадора, в 2006-м инсайдерский инцидент затронул почти всё население Израиля, в 2016-м открытая база избирателей обнажила сведения более чем о 75% граждан Мексики, а в 2024-м атака на UnitedHealth Change Healthcare лишила конфиденциальности более 190 млн. американцев.

/** Надо чётко понимать, что неугомонное желание централизовать все данные в одном месте может привести к подобным инцидентам. Интересно, а будет ли коллективный иск к данной структуре или замнут? К тому же, хакеры явно указали, что взлом произошёл через систему, которую давно сняли с поддержки. Т.е. вина фактически доказана…

6) Новости одной строкой:

• Apple вместе c iPhone 17 и iPhone Air анонсировала ^[6] новую функцию обеспечения целостности памяти ^[7] (MIE), которая реализует постоянную защиту памяти для новейших телефонов и охватывает основные поверхности сложных spyware атак, включая ядро и более 70 пользовательских.

• Google выпустила ^[8] обновление стабильной версии Chrome для Windows, macOS и Linux, закрыв два серьёзных уязвимости. Главная проблема — критическая уязвимость CVE-2025-10200 в компоненте ServiceWorker.

• Microsoft выпустили ^[9] сентябрьский Patch Tuesday с исправлениями для 81 уязвимости, в том числе двух публично раскрытых 0-day.

• Русский хакер представил ^[10] новую методику эксплуатации сложнейшей уязвимости в ядре Linux, превратив случайность ^[11] в правило.

• В даркнете стремительно растёт интерес ^[12] к аренде аккаунтов пользователей мессенджера МАХ. По данным аналитиков, ежедневно фиксируется до тысячи подобных запросов, а стоимость аренды отдельных учётных записей достигает 250 долларов. Эксперты отмечают, что спрос на такие услуги демонстрирует устойчивый рост.

Безопасной вам недели!

Поставьте лайк, если Вам понравился дайджест! Больше новостей в моём Telegram ^[13]. Подписывайтесь!

Предыдущая неделя ^[14] <– weekSecNews