This media is not supported in your browser
VIEW IN TELEGRAM
📦 Что произошло с банками — пока не знаем. Зато можем рассказать о вредоносном коде в Axios
В последний день марта стало известно об атаке на одну из самых популярных JavaScript-библиотек — Axios. Это HTTP-клиент с более чем 100 млн загрузок в неделю из npm — сервиса распространения программных модулей для разработчиков.
Злоумышленник скомпрометировал аккаунт главного специалиста, ответственного за развитие и работоспособность IT-проекта — мейнтейнера — и опубликовал две вредоносные версии пакета, содержащие троян удаленного доступа (RAT). Инцидент обнаружили исследователи StepSecurity.
🔎 Подробностями делится Владимир Кочетков, руководитель исследований AppSec в Positive Technologies.
Атакующий получил доступ к npm-аккаунту мейнтейнера
В обе версии была добавлена фантомная зависимость
👾 Как работает вредоносная нагрузка
Скрипт
🍏 macOS — бинарник маскировался под системный процесс Apple и размещался в
🖥 Windows — через VBScript и PowerShell разворачивался исполняемый файл
🖥 Linux — Python-бэкдор сохранялся во временной директории
После выполнения вредоносный модуль зачищал следы: удалял собственные файлы, а
😵 Масштаб и последствия
Вредоносные версии были доступны в npm менее трех часов —
Что важно: конечные пользователи браузерных приложений напрямую не затронуты — заражение происходило на этапе установки и сборки, а не в рантайме приложения.
🛡 Как защититься
✅ Проверьте lock-файлы (
✅ Если вредоносные версии обнаружены — откатитесь к безопасным
✅ Ротируйте все секреты: API-ключи, облачные токены, deploy-ключи, npm-токены — все, к чему мог получить доступ вредоносный процесс.
✅ Проверьте наличие IoCs: сетевые обращения к
🧑🏫 Уроки для разработчиков
Этот инцидент — очередное напоминание о том, что без AppSec-инструментов под реальной угрозой оказываются качество кода и его защищенность. Одного скомпрометированного аккаунта мейнтейнера достаточно для внедрения вредоносного кода в проекты по всему миру.
Для снижения рисков стоит использовать фиксированные версии зависимостей вместо диапазонов, включить двухфакторную аутентификацию (2FA) на npm, применять
@Positive_Technologies
В последний день марта стало известно об атаке на одну из самых популярных JavaScript-библиотек — Axios. Это HTTP-клиент с более чем 100 млн загрузок в неделю из npm — сервиса распространения программных модулей для разработчиков.
Злоумышленник скомпрометировал аккаунт главного специалиста, ответственного за развитие и работоспособность IT-проекта — мейнтейнера — и опубликовал две вредоносные версии пакета, содержащие троян удаленного доступа (RAT). Инцидент обнаружили исследователи StepSecurity.
Атакующий получил доступ к npm-аккаунту мейнтейнера
jasonsaayman, сменил привязанный email и опубликовал версии axios@1.14.1 и axios@0.30.4 напрямую в npm — минуя CI/CD-пайплайн и GitHub. Именно поэтому зараженные релизы не появились среди тегов репозитория на GitHub, что стало одним из первых признаков подмены.В обе версии была добавлена фантомная зависимость
plain-crypto-js@4.2.1 — пакет-обманка, маскирующийся под легитимную библиотеку crypto-js с идентичным описанием и ссылкой на оригинальный репозиторий. Эта зависимость нигде не импортировалась в исходном коде Axios. Ее единственное назначение — выполнить postinstall-скрипт setup.js при установке пакета.Скрипт
setup.js использовал двухслойную обфускацию (XOR-шифр с ключом OrDeR_7077 и base64). После деобфускации он обращался к C2-серверу sfrclak.com и загружал платформенно-специфичный RAT:🍏 macOS — бинарник маскировался под системный процесс Apple и размещался в
/Library/Caches/com.apple.act.mond🖥 Windows — через VBScript и PowerShell разворачивался исполняемый файл
wt.exe в %PROGRAMDATA% с механизмом персистентности/tmp/ld.pyПосле выполнения вредоносный модуль зачищал следы: удалял собственные файлы, а
package.json подменял на «чистую» заглушку с номером версии 4.2.0 вместо 4.2.1 — намеренное расхождение для затруднения расследования.Вредоносные версии были доступны в npm менее трех часов —
axios@1.14.1 около 2 часов 53 минут, axios@0.30.4 около 2 часов 15 минут. Тем не менее любой проект, в котором зависимость была указана как ^1.14.0 или ^0.30.0, мог автоматически установить зараженную версию при сборке. А учитывая 100 млн загрузок Axios в неделю, потенциальный охват атаки огромен. По данным Malwarebytes, любой CI/CD-процесс, запустивший установку с включенными скриптами, мог привести к утечке всех инжектированных секретов.Что важно: конечные пользователи браузерных приложений напрямую не затронуты — заражение происходило на этапе установки и сборки, а не в рантайме приложения.
✅ Проверьте lock-файлы (
package-lock.json, yarn.lock) на наличие axios@1.14.1, axios@0.30.4 или plain-crypto-js@4.2.1. Обратите внимание, что npm audit может не выявить компрометацию — вредонос зачищает следы после установки.✅ Если вредоносные версии обнаружены — откатитесь к безопасным
axios@1.14.0 или axios@0.30.3, а затронутые машины (локальные и CI/CD-раннеры) считайте потенциально скомпрометированными.✅ Ротируйте все секреты: API-ключи, облачные токены, deploy-ключи, npm-токены — все, к чему мог получить доступ вредоносный процесс.
✅ Проверьте наличие IoCs: сетевые обращения к
sfrclak.com (IP 142.11.206.73, порт 8000) и характерные файлы на диске.🧑🏫 Уроки для разработчиков
Этот инцидент — очередное напоминание о том, что без AppSec-инструментов под реальной угрозой оказываются качество кода и его защищенность. Одного скомпрометированного аккаунта мейнтейнера достаточно для внедрения вредоносного кода в проекты по всему миру.
Для снижения рисков стоит использовать фиксированные версии зависимостей вместо диапазонов, включить двухфакторную аутентификацию (2FA) на npm, применять
--ignore-scripts при установке пакетов и мониторить изменения зависимостей специализированными инструментами — SCA-анализаторами.@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👏15❤🔥10❤7🔥6
Задачка не самая простая, учитывая, что отреверсить, то есть взломать, его можно довольно просто. При помощи бесплатных инструментов декомпиляции злоумышленник может получить код, близкий к исходному. Останется лишь запустить сканер статического анализа — и вуаля: все возможные уязвимости как на ладони.
💪 Но нам есть, что противопоставить взломщикам. Наши эксперты написали для Positive Research статью, в которой на примере 94 (!) популярных в России приложений показали, как работает наш облачный протектор PT MAZE, скрывая уязвимости и выстраивая механизмы защиты.
Если говорить про до и после, эффект налицо: после применения протектора общее число уязвимостей, обнаруженных с помощью сканера MobSF, сократилось на 40%. А при должной настройке этот показатель можно довести до 100%.
👉 Как это работает (с подробностями и графиками), читайте в материале на сайте нашего медиа.
#PTMAZE #PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥7❤6💯2
PT NGFW защищает сетевую инфраструктуру Карачаровского механического завода 🛗
Скорее всего, вы хотя бы раз ездили в лифте этого предприятия — по всему миру их установлено более 290 тысяч. Каждый год завод выпускает около 5 тысяч лифтов, и за этим стоит команда из более чем 1600 сотрудников. КМЗ работает в структуре Правительства Москвы, и требования к надежности и безопасности здесь очень высокие.
За привычным комфортом использования лифтов стоит не только инженерия, но и киберустойчивость предприятия — без нее невозможно обеспечить стабильное производство. Перед компанией стояли конкретные вызовы:
• Обеспечить полноценную защиту периметра с глубоким анализом трафика и высоким качеством обнаружения атак.
• Гарантировать отказоустойчивость без простоев, без потери данных и пользовательских сессий.
• Выстроить защищенные каналы связи между площадками и заложить основу для дальнейшего развития, включая remote access VPN для удаленных пользователей.
🔥 Чтобы решить эти задачи, после сравнения с другими российскими NGFW компания выбрала PT NGFW. Для КМЗ была спроектирована трехуровневая отказоустойчивая архитектура с разделением ролей между моделями:
• Кластер на PT NGFW 2050 — ядро сети. Устройства обеспечивают обработку трафика, терминирование подключений и применение ключевых политик безопасности.
• Кластер на PT NGFW 2010 — периметр и связь между площадками. Отвечает за доступ в интернет, site-to-site VPN и фильтрацию трафика.
• Кластер PT NGFW 1050 — задел на будущее. Зарезервирован под remote access VPN для удаленных пользователей.
Для всего этого были настроены правила межсетевого экранирования, система предотвращения вторжений (IPS) и контроль приложений. Централизованное журналирование событий позволило ИТ-команде получить полную картину сетевого трафика.
🤝 В результате КМЗ получил то, что было критически важно: надежную защиту периметра и гарантированную отказоустойчивость. Отдельно в команде отметили качество и скорость технической поддержки.
Мы продолжаем развивать продукт, и в ближайшее время КМЗ сможет использовать remote access VPN и другие возможности из дорожной карты. Подробности — на нашем сайте.
#PTNGFW #КМЗ
@Positive_Technologies
Скорее всего, вы хотя бы раз ездили в лифте этого предприятия — по всему миру их установлено более 290 тысяч. Каждый год завод выпускает около 5 тысяч лифтов, и за этим стоит команда из более чем 1600 сотрудников. КМЗ работает в структуре Правительства Москвы, и требования к надежности и безопасности здесь очень высокие.
За привычным комфортом использования лифтов стоит не только инженерия, но и киберустойчивость предприятия — без нее невозможно обеспечить стабильное производство. Перед компанией стояли конкретные вызовы:
• Обеспечить полноценную защиту периметра с глубоким анализом трафика и высоким качеством обнаружения атак.
• Гарантировать отказоустойчивость без простоев, без потери данных и пользовательских сессий.
• Выстроить защищенные каналы связи между площадками и заложить основу для дальнейшего развития, включая remote access VPN для удаленных пользователей.
🔥 Чтобы решить эти задачи, после сравнения с другими российскими NGFW компания выбрала PT NGFW. Для КМЗ была спроектирована трехуровневая отказоустойчивая архитектура с разделением ролей между моделями:
• Кластер на PT NGFW 2050 — ядро сети. Устройства обеспечивают обработку трафика, терминирование подключений и применение ключевых политик безопасности.
• Кластер на PT NGFW 2010 — периметр и связь между площадками. Отвечает за доступ в интернет, site-to-site VPN и фильтрацию трафика.
• Кластер PT NGFW 1050 — задел на будущее. Зарезервирован под remote access VPN для удаленных пользователей.
Для всего этого были настроены правила межсетевого экранирования, система предотвращения вторжений (IPS) и контроль приложений. Централизованное журналирование событий позволило ИТ-команде получить полную картину сетевого трафика.
🤝 В результате КМЗ получил то, что было критически важно: надежную защиту периметра и гарантированную отказоустойчивость. Отдельно в команде отметили качество и скорость технической поддержки.
Мы продолжаем развивать продукт, и в ближайшее время КМЗ сможет использовать remote access VPN и другие возможности из дорожной карты. Подробности — на нашем сайте.
#PTNGFW #КМЗ
@Positive_Technologies
🔥17❤6👍5👏2🐳1
This media is not supported in your browser
VIEW IN TELEGRAM
Однодневные киберучения Standoff для бизнеса ⚡️
Представьте: перед вашей машиной внезапно возникает препятствие. У вас доля секунды на маневр — и только отточенные навыки помогут его выполнить. В кибербезопасности так же: знать и успеть среагировать — это разные вещи.
🔥 Сегодня мы запускаем киберучения Standoff — однодневный аудит зрелости команды защиты.
Тренировки помогут отточить навыки и наладить быстрое взаимодействие внутри. Они построены на ретроспективном анализе реальных атак: в отличие от синтетических сценариев, наш продукт показывает, как команда действует в условиях, максимально приближенных к реальной атаке, когда счет идет на минуты.
Доступны два формата — стандартный и продвинутый — для специалистов с разным уровнем подготовки. По итогу киберучений вы будете уверены, что ваша команда сможет эффективно действовать в условиях неполной информации и дефицита времени.
Все подробности — на сайте.
#Standoff
@Positive_Technologies
Представьте: перед вашей машиной внезапно возникает препятствие. У вас доля секунды на маневр — и только отточенные навыки помогут его выполнить. В кибербезопасности так же: знать и успеть среагировать — это разные вещи.
🔥 Сегодня мы запускаем киберучения Standoff — однодневный аудит зрелости команды защиты.
Тренировки помогут отточить навыки и наладить быстрое взаимодействие внутри. Они построены на ретроспективном анализе реальных атак: в отличие от синтетических сценариев, наш продукт показывает, как команда действует в условиях, максимально приближенных к реальной атаке, когда счет идет на минуты.
Доступны два формата — стандартный и продвинутый — для специалистов с разным уровнем подготовки. По итогу киберучений вы будете уверены, что ваша команда сможет эффективно действовать в условиях неполной информации и дефицита времени.
Все подробности — на сайте.
#Standoff
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤18🔥17👍14❤🔥3
Forwarded from IT's positive investing
Positive Technologies по итогам 2025 года увеличила объем отгрузок на 40% 😎
Друзья, в прошлом году мы провели качественную трансформацию бизнеса, сосредоточившись на возвращении к привычным темпам роста, опережающим динамику рынка, а также на обеспечении высокой финансовой эффективности и прибыльности.
В результате нам удалось достичь всех целей, озвученных в начале прошлого года, в том числе вернуть возможность выплачивать дивиденды.
Коротко о ключевых цифрах 💼
✅ Объем оплаченных отгрузок составил 33,6 млрд рублей — рост на 40% к прошлому году. Часть отгрузок, осуществленных в 2025-м, но не оплаченных до 31 марта этого года, будет отнесена к финансовому результату 2026 года.
✅ NIC — в положительной зоне: итоговый показатель чистой управленческой прибыли составил 2,7 млрд рублей. На фоне восстановления высокой динамики роста бизнеса при строгом контроле за расходами совет директоров рекомендовал утвердить выплату дивидендов в размере 2 млрд рублей (технически — за первый квартал 2026 года, фактически — по итогам 2025-го).
✅ Общая сумма расходов составила 29,9 млрд рублей — это соответствует ранее озвученному плану и является результатом системной работы по оптимизации расходов, не влияющих на масштабирование бизнеса и повышение финансовой эффективности.
✅ EBITDA компании составила 12,3 млрд рублей при уровне маржинальности 40%, что на 14 п. п. выше, чем годом ранее. EBITDAC, управленческий показатель, который отличается от EBITDA на сумму разниц между отгрузками и выручкой, а также сумму капитализируемых расходов, составил 7,1 млрд рублей — годом ранее значение было отрицательным.
✅ Отношение чистого долга к EBITDA по состоянию на конец 2025 года составило 1,66 (на конец 2024 года — 2,97). Это стало возможным за счет роста прибыли и EBITDA, погашения части облигационного долга и более дорогих банковских кредитов. По состоянию на конец первого квартала 2026 года показатель традиционно снизился — до 0,59. Будем стремиться поддерживать низкий уровень долговой нагрузки.
🤝 Продолжаем развитие бизнеса в дружественных зарубежных странах. В прошлом году реализовано 302 сделки в 22 странах, в том числе в 15 странах дальнего зарубежья. Объем продаж в странах дальнего зарубежья вырос в 5 раз. В пяти странах реализуется страновой трек, который предполагает целостный подход к построению и развитию национальных систем кибербезопасности с учетом локальной специфики рынка.
Цели на 2026 год🎯
➡️ Мы намерены сохранить темпы роста бизнеса, превышающие динамику рынка кибербезопасности в России. Этому будут способствовать дальнейшее расширение клиентской базы, запуск новых продуктов, объектов и форм продаж, развитие международного бизнеса.
➡️ Продолжим фокусироваться на финансовой эффективности бизнеса. Операционные расходы планируется сохранить на уровне 2025 года, что позволит приблизиться к росту рентабельности по NIC до целевых значений в среднесрочной перспективе.
➡️ Финансовый план коммерческого блока — ожидаемый диапазон отгрузок на уровне 40–45 млрд рублей. Эти ожидания могут быть актуализированы в течение года, оставляем возможность апсайда. План определен исходя из динамики роста рынка и текущей макроэкономической ситуации.
➡️ Планируем продолжить выплату дивидендов в соответствии с действующей дивидендной политикой.
▶️ Подробностями результатов за прошлый год и планами на этот мы поделимся прямо сейчас в прямом эфире — смотрите его на YouTube, в «VK Видео», в «Пульсе» или на платформе Московской биржи.
Полный отчет — на сайте для инвесторов.
#POSI
Друзья, в прошлом году мы провели качественную трансформацию бизнеса, сосредоточившись на возвращении к привычным темпам роста, опережающим динамику рынка, а также на обеспечении высокой финансовой эффективности и прибыльности.
В результате нам удалось достичь всех целей, озвученных в начале прошлого года, в том числе вернуть возможность выплачивать дивиденды.
Коротко о ключевых цифрах 💼
✅ Объем оплаченных отгрузок составил 33,6 млрд рублей — рост на 40% к прошлому году. Часть отгрузок, осуществленных в 2025-м, но не оплаченных до 31 марта этого года, будет отнесена к финансовому результату 2026 года.
✅ NIC — в положительной зоне: итоговый показатель чистой управленческой прибыли составил 2,7 млрд рублей. На фоне восстановления высокой динамики роста бизнеса при строгом контроле за расходами совет директоров рекомендовал утвердить выплату дивидендов в размере 2 млрд рублей (технически — за первый квартал 2026 года, фактически — по итогам 2025-го).
✅ Общая сумма расходов составила 29,9 млрд рублей — это соответствует ранее озвученному плану и является результатом системной работы по оптимизации расходов, не влияющих на масштабирование бизнеса и повышение финансовой эффективности.
✅ EBITDA компании составила 12,3 млрд рублей при уровне маржинальности 40%, что на 14 п. п. выше, чем годом ранее. EBITDAC, управленческий показатель, который отличается от EBITDA на сумму разниц между отгрузками и выручкой, а также сумму капитализируемых расходов, составил 7,1 млрд рублей — годом ранее значение было отрицательным.
✅ Отношение чистого долга к EBITDA по состоянию на конец 2025 года составило 1,66 (на конец 2024 года — 2,97). Это стало возможным за счет роста прибыли и EBITDA, погашения части облигационного долга и более дорогих банковских кредитов. По состоянию на конец первого квартала 2026 года показатель традиционно снизился — до 0,59. Будем стремиться поддерживать низкий уровень долговой нагрузки.
🤝 Продолжаем развитие бизнеса в дружественных зарубежных странах. В прошлом году реализовано 302 сделки в 22 странах, в том числе в 15 странах дальнего зарубежья. Объем продаж в странах дальнего зарубежья вырос в 5 раз. В пяти странах реализуется страновой трек, который предполагает целостный подход к построению и развитию национальных систем кибербезопасности с учетом локальной специфики рынка.
Цели на 2026 год
➡️ Мы намерены сохранить темпы роста бизнеса, превышающие динамику рынка кибербезопасности в России. Этому будут способствовать дальнейшее расширение клиентской базы, запуск новых продуктов, объектов и форм продаж, развитие международного бизнеса.
➡️ Продолжим фокусироваться на финансовой эффективности бизнеса. Операционные расходы планируется сохранить на уровне 2025 года, что позволит приблизиться к росту рентабельности по NIC до целевых значений в среднесрочной перспективе.
➡️ Финансовый план коммерческого блока — ожидаемый диапазон отгрузок на уровне 40–45 млрд рублей. Эти ожидания могут быть актуализированы в течение года, оставляем возможность апсайда. План определен исходя из динамики роста рынка и текущей макроэкономической ситуации.
➡️ Планируем продолжить выплату дивидендов в соответствии с действующей дивидендной политикой.
«Сейчас компания находится в очень хорошей форме. Во-первых, мы обогнали рынок по темпам роста, как и планировали. Во-вторых, наша команда — одна из лучших по составу на всех уровнях — и в индустрии, и в стране в целом. Это позволяет нам снова брать на себя задачи по приведению капитализации к справедливой оценке: в этом году мы будем стремиться к тому, чтобы рыночная капитализация и акционерная стоимость соответствовали темпам роста бизнеса и отражали внутренний потенциал компании», — отметил генеральный директор Positive Technologies Денис Баранов.
Полный отчет — на сайте для инвесторов.
#POSI
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥37❤23🎉15😁4👌2👍1🤔1
Forwarded from Минэкономразвития России
А значит, в Сети много ваших данных — и они лакомый кусок для мошенников.
Как себя обезопасить во Всемирной паутине? Дельные советы в День Рунета дают эксперты Positive Technologies. Читайте, делитесь с близкими!
И смотрите наши комиксы с Глинчем, тогда будете в курсе даже самых изощрённых методах взлома!
❤️ — чтобы ваши данные всегда были в безопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🔥6🥰4⚡2