Коллеги, завершился этап "Домашнее задание" в рамках испытаний статических анализаторов под патронажем ФСТЭК России.

По этому поводу команда PVS Studio совместно с ГК "Эшелон" и Positive Technologies готовит вебинар на тему: "Техническая сторона первого этапа испытаний статических анализаторов кода под эгидой ФСТЭК".
Акцент сделаем на технические аспекты и обсуждение полученного опыта.

🗓1 сентября в 15:00

Подробности и регистрация по ссылке 🔗

#вебинар

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-54117, обнаруженная в NamelessMC (версии до 2.2.3), приводит к Cross-Site Scripting (XSS). Существует возможность внедрения произвольный HTML или скриптов через компонент текстового редактора на дашборде. В исправлении была реализована фильтрация и экранирование пользовательского ввода.

🐛 CVE-2025-55731, обнаруженная в Frappe (версии до 15.74.2 и 14.96.15), приводит к SQL Injection. Специально сформированный запрос позволяет получить доступ к данным, к которым обычный пользователь не имеет прав. В исправлении исключена возможность вложенных SQL запросов и расширен "черный" список SQL функций.

🐛 CVE‑2025‑55733, обнаруженная в DeepChat (версии до 0.3.1), приводит к Remote Code Execution (RCE). В приложении существовала возможность с использованием SVG содержимого выполнить JavaScript-код, который позволял через переход на специально сформированный URL deepchat:// запустить DeepChat приложение, которое вызывало выполнение произвольных команд. В исправлении добавили санитизацию и проверку входных данных с использованием методов из класса SVGSanitizer.

🐛 CVE-2025-55291, обнаруженная в Shaarli (версии до 0.15.0), приводит к Cross‑Site Scripting (XSS). На странице тегов существует некорректная фильтрация параметра searchtags, что позволяет с использованием тега </title> внедрить произвольной JavaScript‑код. В исправлении реализована экранирование параметра searchtags с использованием функции escape().

🐛 CVE‑2025‑55294, обнаруженная в screenshot‑desktop (версии до 1.15.2), приводит к OS Command Injection. В функции screenshot() параметр format использовался без какой‑либо фильтрации и напрямую подставлялся в функцию exec(). В исправлении реализована строгая проверка и очистка значения format, которое используется в качестве списка аргументов в функции require('child_process').execFile().

👨‍💻 Киберпреступники целятся в разработчиков, распространяя ВПО через открытые репозитории и выдавая его за легитимные проекты

Наше исследование актуальных киберугроз за первое полугодие 2025 года показало, что использование вредоносного ПО — по-прежнему самый популярный метод успешных атак (63% случаев). При этом злоумышленники в два раза чаще, чем год назад, распространяют ВПО через сайты. По данным наших аналитиков, это связано с ростом популярности схем, нацеленных на разработчиков.

🪲 Атаки через открытые репозитории

Киберпреступники размещают на популярных платформах GitHub и GitLab фиктивные проекты. А потом обманом заставляют пользователей запускать вредоносную полезную нагрузку, отвечающую за извлечение дополнительных компонентов из контролируемого злоумышленником репозитория и их выполнение. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.

Например, в России, Бразилии и Турции от такой вредоносной кампании пострадали геймеры и криптовалютные инвесторы. На их устройства загружался инфостилер, крадущий адреса криптокошельков, личные и банковские данные. В США, Европе и Азии обнаружено не менее 233 жертв кампании группировки Lazarus: она внедряла JavaScript-имплант, предназначенный для сбора системной информации.

👾 Атаки с маскировкой под легальные пакеты

Также с начала года злоумышленники активно использовали в экосистемах с открытым исходным кодом технику тайпсквоттинга (создания вредоносных пакетов с названиями, похожими на легальные), рассчитывая на ошибки и опечатки пользователей при вводе этих названий.

Специалисты PT ESC выявили в репозитории PyPI вредоносную кампанию, нацеленную на разработчиков, ML-специалистов и энтузиастов, заинтересованных в интеграции DeepSeek в свои системы. Вредоносные пакеты deepseeek и deepseekai могли собирать данные о пользователе и его компьютере, а также похищать переменные окружения.

🔥 Мнение и советы наших экспертов

«Внедряя вредоносное ПО в процессы разработки, злоумышленники наносят двойной удар: поражают не только саму жертву, но и проекты, с которыми она связана. Мы прогнозируем, что этот тренд будет набирать обороты: атаки на ИТ-компании и разработчиков с целью подрыва цепочек поставок будут происходить чаще», — поделилась Анастасия Осипова, младший аналитик исследовательской группы Positive Technologies.

Эксперты рекомендуют вендорам, производящим ПО, выстроить процессы безопасной разработки и обеспечить защиту цепочки поставок. А именно — внедрить инструменты, позволяющие выявлять уязвимости в коде и тестировать безопасность приложений, а также решения для динамического анализа кода и анализаторы пакетов. Ну и конечно, нужно своевременно обновлять системы управления исходным кодом, которые используются в процессе разработки.

💡 Полный текст нового исследования со всеми подробностями ищите на сайте.

#PositiveЭксперты
@Positive_Technologies