👮Европол закрыл киберпреступный First VPN, который пользовался популярностью у ransomware-группировок

В результате международной операции под руководством Франции и Нидерландов ликвидирован VPN-сервис First VPN, который киберпреступники использовали для сокрытия атак с использованием программ-вымогателей, кражи данных и других тяжких правонарушений. В операции, прошедшей 19 и 20 мая 2026 года, приняли участие Европол и Евроюст. В течение нескольких лет этот сервис активно продвигался на теневых форумах как надежный инструмент для обеспечения анонимности. По заявлению правоохранительных органов, данный ресурс фигурировал практически во всех крупных расследованиях киберпреступлений, которые велись при поддержке Европола в последнее время.

В ходе международного правоохранительного и судебного сотрудничества целевые доменные имена были закрыты, а домены 1vpns[.]com, 1vpns[.]net, 1vpns[.]org и связанные с ними адреса в сети Onion были изъяты. На территории 🇺🇦Украины правоохранительные органы допросили администратора сервиса, провели обыск по месту его жительства и заключили его под стражу, а также ликвидировали 33 сервера и нарушили работу инфраструктуры, использовавшейся для поддержки киберпреступности по всему миру. Пользователи платформы получили уведомления о прекращении работы сервиса и о том, что их личности установлены. Данная ликвидация стала итогом расследования, начатого в декабре 2021 года, в рамках которого следователи получили доступ к сервису, завладели базой данных его пользователей и выявили VPN-соединения, использовавшиеся киберпреступниками для сокрытия своей деятельности. В работе также принимали участие эксперты компании Bitdefender, специализирующейся на кибербезопасности.

✋ @Russian_OSINT

🥷❗️Подробности атаки TeamPCP на GitHub

Как сообщалось ранее, в рамках масштабной кампании Mini Shai-Hulud, которую развернули хакеры из группировки TeamPCP, произошел взлом экосистемы TanStack. Злоумышленники внедрили вредоносный код в десятки ее npm-пакетов, а также в репозитории Mistral AI. Это спровоцировало каскадную цепную реакцию, в ходе которой пострадали сторонние проекты и 2 сотрудника OpenAI.

Согласно новым сведениям, инцидент привел к утечке учетных данных GitHub через интерфейс командной строки GitHub CLI у одного из разработчиков проекта Nx, отвечающего за выпуск популярного расширения Nx Console.

Используя полученные данные, 18 мая злоумышленники загрузили скрытый неподписанный orphan-коммит 558b09d7 в легитимный репозиторий nrwl/nx, замаскировав его под угрозу активации вайпера. Далее в официальном каталоге VS Code Marketplace была опубликована скомпрометированная версия расширения Nx Console 18.95.0. Вредоносное обновление оставалось доступным в магазине Visual Studio Marketplace в течение 18 минут и порядка 36 минут на платформе OpenVSX. Этого времеи и встроенной функции автоматического обновления редакторов (включая VS Code и Cursor) хватило для компрометации 6 000 рабочих станций разработчиков.

Вредоносная полезная нагрузка незаметно активировалась при открытии любого рабочего пространства. Она выполняла команду npx для фоновой загрузки пакета nx-next из скрытого коммита с помощью среды Bun. Обфусцированный скрипт index.js весом около 498 КБ содержал встроенные защитные проверки для обхода изолированных сред и разворачивал параллельные классы-коллекторы для кражи учетных данных. На хостах Linux программное обеспечение сканировало оперативную память процессов через каталог /proc/*/mem для обхода маскировки секретов. На целевых системах macOS инструмент создавал Python-бэкдор в каталоге эмулятора терминала Kitty, после чего прописывался в автозапуск через агент запуска и опрашивал поисковый интерфейс GitHub 1 раз в час.

Жертвой этого вектора стал сотрудник компании GitHub, чье скомпрометированное рабочее устройство послужило плацдармом для несанкционированного клонирования и эксфильтрации примерно 3 800 приватных внутренних репозиториев организации. Данные хранилища содержали исходный код и выдержки из обращений клиентов в службу поддержки.

Публичное раскрытие инцидента произошло 19 мая 2026 года. Руководство платформы экстренно изолировало хост и инициировало масштабную ротацию секретов для минимизации рисков для внешних пользовательских сред, тогда как вредоносную версию расширения с маркетплейса удалили сами разработчики проекта Nx.

Ответственность за инцидент публично взяла на себя группировка TeamPCP, которая выставила украденный массив данных на теневой площадке Breached за $50 000.

Источники: [1,2,3,4].

✋ @Russian_OSINT

🎩Массовая атака БПЛА на Москву и МО активизировала мошенников

Как сообщают специалисты F6, xерез домовые чаты распространяются 🔗ссылки на сомнительные Telegram-каналы с оповещениями об атаках.

1️⃣ Злоумышленники заранее под видом «соседей» (чаще — девушек) вступают в районные и домовые чаты и в ходе обсуждения атаки БПЛА в чате присылают ссылки на якобы тематические каналы. Обычно они содержат в названии слова «Радар» и «Москва», на аватарках может стоять официальная символика города. Число подписчиков достигает 300 тыс.

2️⃣ В одном из исследованных специалистами F6 Telegram-каналов каждое сообщение сопровождается предложением воспользоваться Telegram-ботом под названием «Обход белых списков». Для активации бота якобы необходим небольшой разовый платеж.

3️⃣‼️ Подключаясь к любому боту, пользователь предоставляет доступ к данным аккаунта, а впоследствии такой бот под видом уже «знакомого» сервиса может прислать фишинговую ссылку или вредоносный файл, при открытии которого устройство будет заражено.

👆Специалисты рекомендуют пользователям не подписываться на каналы с оповещениями об атаках по ссылкам из непроверенных источников, а модераторам чатов — отключить возможность добавления пользователей по общедоступной ссылке-приглашению.

✋ @Russian_OSINT

📄 ExploitGym: Могут ли ИИ-агенты превратить уязвимости в реальные атаки?

Исследователи представили бенчмарк ExploitGym для оценки способностей ИИ-агентов превращать программные уязвимости в рабочие эксплойты. Эксплуатация уязвимостей остается исключительно сложной задачей из-за необходимости понимать низкоуровневую структуру памяти, адаптироваться во время выполнения программы и выстраивать длинные цепочки действий.

База данных бенчмарка включает 898 уязвимостей из реальных проектов. Из них 520 относятся к пользовательскому программному обеспечению. Еще 185 затрагивают движок V8 от компании Google. Остальные 193 проблемы находятся в ядре операционной системы Linux. Каждая ИИ-модель получает контейнеризированную среду исполнения вместе со входными данными для активации исследуемой уязвимости. Успех попытки взлома оценивается по успешному извлечению скрытого флага и обязательно подтверждается другим независимым ИИ-агентом в роли судьи.

Тестирование доказало способность современных ИИ-моделей успешно разрабатывать эксплойты для значительной части реальных уязвимостей при отключенных стандартных средствах защиты. Данный факт подтверждает, что автономная разработка эксплойтов передовыми ИИ-агентами больше не является гипотетической возможностью.

↘️ Абсолютным лидером испытаний стала ИИ-модель Claude Mythos Preview от компании Anthropic с результатом 157 успешных эксплойтов за 2 часа. Второе место заняла система компании OpenAI под названием GPT-5.5 со 120 успешно решенными задачами.

↘️ ИИ-агенты продемонстрировали высокую самостоятельность в процессе поиска уязвимостей. Алгоритмы регулярно находят и успешно эксплуатируют совершенно новые уязвимости вместо работы с предложенными изначально векторами атак.

Анализ результатов выявил четкое разделение сложности работы по доменам. Пользовательские программы поддаются взлому легче всего, тогда как успешная эксплуатация ядра Linux является показателем наиболее продвинутых аналитических способностей ИИ-модели. Увеличение времени работы по-разному влияет на итоговую результативность систем. Алгоритм Claude Mythos Preview продолжает непрерывно наращивать количество успешных эксплойтов после 2 часов тестирования, тогда как модель Claude Opus 4.6 быстро достигает предела своих возможностей и прекращает прогресс.

Разные ИИ-модели применяют уникальные стратегии разработки эксплойтов и успешно справляются с дополняющими друг друга наборами задач. Совместное использование сразу нескольких алгоритмов способно существенно расширить общий охват взломанных уязвимостей. Включение стандартных механизмов защиты вроде рандомизации адресов предсказуемо снижает общую результативность ИИ-агентов. Подчёркивается, что традиционные методы укрепления систем остаются эффективными, но требуют обязательной оценки и усиления с учетом автономных атак.

😘https://arxiv.org/pdf/2605.11086

✋ @Russian_OSINT

💻Белые хакеры заработали более 23 млн рублей на Standoff Hacks в Китае

Как сообщают Positive Technologies, в Шанхае завершился седьмой Standoff Hacks — международное мероприятие для бизнеса и багхантеров площадки Standoff Bug Bounty. Событие установило рекорд по выплатам независимым исследователям за всю историю проекта: участники заработали более 23 млн рублей в рамках исследования багбаунти-программ от VK, Т-Банка, «Инфосистемы Джет» и «1С-Битрикс». Такой результат позволил впервые превзойти выплаты live-hacking-ивента от международной платформы HackerOne (H1-361), который проходил в начале года в Индонезии. 

В Standoff Hacks в Шанхае приняли участие 30 независимых исследователей. За 14 дней они отправили 353 отчета об уязвимостях разного уровня опасности, из которых 175 были признаны валидными и оплачены. Участникам удалось обнаружить 38 критически опасных уязвимостей (12 из них были подтверждены), а также 86 уязвимостей высокого уровня опасности, из которых 39 были приняты. Общая сумма выплат составила более 23 млн рублей, что в три раза превосходит показатели предыдущего Standoff Hacks в Индии.

🏆Победителем Standoff Hacks в Шанхае и обладателем титула самого результативного багхантера (MVP) стал исследователь r0hack. Второе место занял freeman, третье — BlackFan. Кроме того, каждая компания отметила наиболее активных участников в своих программах. 🫶

👍 Поздравляем!

✋ @Russian_OSINT

❗️Атака на цепочки поставок под названием 🦈Megalodon привела к компрометации более 5 000 публичных репозиториев на платформе GitHub

Масштабная кампания Megalodon всего за 6 часов привела к компрометации более 5 000 публичных репозиториев на платформе GitHub посредством внедрения в рабочие процессы CI/CD вредоносной полезной нагрузки, закодированной в формате Base64. Для обеспечения максимальной скрытности злоумышленники замаскировали вредоносные коммиты под рутинное техническое обслуживание, используя поддельные имена служебных ботов и жестко закодированную историческую дату 17 сентября 2001 года. Данная кампания была изначально обнаружена специалистами OX Security и впоследствии проанализирована экспертами SafeDep, их материалы показывают, что целью злоумышленников стала массовая кража конфиденциальных данных и токенов из среды GitHub Actions, включая ключи AWS, токены GCP OAuth, приватные ключи SSH и токены GitHub OIDC.

Специалисты компании Hudson Rock провели анализ, чтобы установить первопричины компрометации учетных записей, которые использовались для отправки вредоносного программного обеспечения в репозитории. Исследователи сопоставили эти имена пользователей GitHub со своей базой данных киберразведки и обнаружили, что 331 из 978 уникальных учетных имен, что составляет более 33%, прямо указывают на компьютеры, зараженные вредоносными программами-инфостилерами. Углубленный ручной анализ аккаунтов, которые изначально числились чистыми, включая профиль разработчика Брайана Александера Сантосо, показал скрытую связь с данными инфостилеров через старые адреса электронной почты, позволяя оценить реальный уровень компрометации как близкий к 100%.

Согласно собранным сведениям, при анализе платформы GitHub обнаружилось, что более чем у 24 000 компаний есть сотрудники со скомпрометированными учетными данными для этого ресурса.

В зоне повышенного риска находятся крупные международные корпорации, включая Anheuser-Busch InBev и Accenture, причем у последней компании выявлено более 10 сотрудников, чьи устройства были заражены программами-инфостилерами.

Кроме того, в партнерской экосистеме компании Dell обнаружено более 11 000 партнерских организаций, компьютеры сотрудников которых были заражены инфостилерами, что привело к краже учетных данных для доступа к инфраструктуре Dell.

✋ @Russian_OSINT

❗️ Компания Microsoft заблокировала Nightmare-Eclipse на ❗️ GitHub

Администрация платформы GitHub заблокировала и удалила учетную запись независимого исследователя под псевдонимом Nightmare-Eclipse [1,2]. Ограничения были введены после публикации PoC для продуктов, связанных с Microsoft. Из-за блокировки специалист, также известный в сети под именем Dead Eclipse, был вынужден перенести свои проекты на платформу GitLab.

В общей сложности автор представил 6 рабочих PoC, среди которых находятся YellowKey, GreenPlasma, MiniPlasma, BlueHammer, RedSun и UnDefend. Некоторые эксперты отмечают, что эти разработки нельзя в полной мере назвать уязвимостями нулевого дня, так как некоторые из них основаны на старых или тайно исправленных дефектах системы.

Аналитики компании Barracuda подчеркивают, что глубина технических знаний автора указывает на его возможное отношение к числу бывших сотрудников Microsoft. По их мнению, стороннему разработчику крайне сложно обнаружить столь специфические ошибки в архитектуре ядра Windows, тем более что исследователь проводил аудит безопасности самостоятельно и принципиально не использовал ИИ-модели.

Поводом для публичного скандала стали действия представителей центра Microsoft Security Response Center. Автор заявил, что руководство этой структуры заблокировало его профиль для отправки багов, проигнорировало все официальные запросы и публично обвинило его в нарушении правил ответственного разглашения. Исследователь расценил такие шаги как умышленную клевету и попытку уничтожить его репутацию в сообществе. Кроме того, якобы 🎩сотрудники центра Microsoft Security Response Center даже сыпали угрозами разрушить его жизнь.

Первоначально хакер планировал устроить крупный сюрприз во время июньского вторника обновлений, однако позже скорректировал свои намерения. В своих последних заявлениях исследователь анонсировал публикацию пакета секретных документов и перенес все главные действия на середину лета. Он установил финальную дату на 14 июля 2026 года и заявил, что обнародованные доказательства полностью разрушат репутацию корпорации Microsoft.

✋ @Russian_OSINT

Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователи из Лаборатории Касперского поделились подробностями об уязвимости CVE-2026-3102 в ExifTool, рассказав, как одно изображение может привести к компрометации Mac.

ExifTool - это популярная утилита для чтения и записи метаданных в файлах изображений, PDF, аудио и видео. Она доступна как в виде отдельного приложения командной строки, так и в виде библиотеки, которую можно встраивать в другое ПО.

CVE-2026-3102 в ExifTool была обнаружена экспертами глобального центра исследований и анализа угроз (GReAT) Лаборатории Касперского в феврале 2026 года и исправлена разработчиками в том же месяце.

Проблема затрагивает системы macOS с ExifTool 13.49 и более ранних версий. В основе уязвимости лежит недостаточная очистка (санитизация) входных данных в ExifTool при обработке некоторых тегов метаданных в macOS.

Подготовив изображение с вредоносными командами, встроенными в поле даты в метаданных, злоумышленник может спровоцировать выполнение кода при обработке файла.

Найти новую проблему удалось после повторного анализа уязвимости CVE-2021-22204, с которой в ЛК впервые столкнулись много лет назад. Она позволяла использовать недостаточную очистку на основе регулярных выражений перед передачей пользовательского ввода в функцию-приемник eval.

В ходе анализа соседних функций валидации ввода в кодовой базе ExifTool на предмет аналогичных упущений специалисты ЛК и обнаружили CVE-2026-3102.

В случае успешной эксплуатации CVE-2026-3102 злоумышленник может выполнять произвольные shell-команды с привилегиями пользователя, запустившего ExifTool, что потенциально может привести к полной компрометации системы.

Все технические подробности и детальный разбор проблемы - в отчете.

🥷 Компрометация пакетов локализации Laravel Lang кодом удаленного выполнения команд затронула более 700 версий

Исследовательские группы компаний Socket и Aikido Security зафиксировали компрометацию сторонних пакетов локализации Laravel Lang, не входящих в состав официального фреймворка Laravel. Злоумышленники распространили вредоносный код удаленного выполнения команд более чем через 700 версий библиотек посредством массовой автоматизированной публикации и перепривязки тегов 22 и 23 мая 2026 года. Аналитики предполагают компрометацию учетных данных организации или релизной инфраструктуры, однако исследователи пока не подтвердили точный первоначальный вектор атаки.

Злоумышленники реализовали вредоносный механизм через файл src/helpers.php, прописанный в секции autoload.files конфигурационного файла composer.json. Из-за этого бэкдор автоматически подключался при запуске автозагрузчика Composer и выполнялся при каждом PHP-запросе, который обрабатывало зараженное приложение. Для обхода статического анализа строк вредоносный код динамически собирал адрес командного сервера flipboxstudio[.]info непосредственно во время выполнения.

Вредоносная нагрузка второго этапа со стороннего сервера представляет собой сложный многофункциональный кроссплатформенный PHP-стилер, работающий в средах Linux, macOS и Windows. По данным Socket, вредоносный код инициализирует 17 специализированных коллекторов, нацеленных на извлечение секретов облачной инфраструктуры Amazon Web Services, токенов Kubernetes, ключей HashiCorp Vault и данных платформ непрерывной интеграции и развертывания (CI/CD). Особую опасность представляет встроенный исполняемый файл DebugChromium.exe, который обходит механизмы защиты App-Bound Encryption в браузере Google Chrome версии 127 и выше с целью кражи мастер-ключа расшифровки.

Эксперты рекомендуют командам разработчиков немедленно проверить содержимое файлов composer.lock и удалить либо заменить скомпрометированные версии пакетов до подтверждения их безопасности. С учетом профиля угрозы специалистам необходимо провести полную ротацию облачных учетных данных, ключей API, SSH-ключей, секретов платформ непрерывной интеграции и развертывания (CI/CD), а также токенов систем контроля версий. Для исключения рисков скрытых модификаций инфраструктуры и последующего запуска вредоносного кода целесообразно пересобрать скомпрометированные серверы и контейнеры из доверенных чистых образов.

✋ @Russian_OSINT