Удивительно, но Qwen 3.6 переводит с английского ИБ-тексты лучше чем платный Yandex Translate.

По моим ощущениям, полгода - год назад Translate и YandexGPT глубоко цензурировали. YandexGPT теперь часто вообще отказывается "говорить" на ИБ-шные темы и в этой области стал полностью бесполезен.

#ParsedReport #CompletenessHigh
06-05-2026

ClickFix campaign uses fake macOS utilities lures to deliver infostealers

https://www.microsoft.com/en-us/security/blog/2026/05/06/clickfix-campaign-uses-fake-macos-utilities-lures-deliver-infostealers/

Report completeness: High

Threats:
Clickfix_technique
Amos_stealer
Multiverze
Shubstealer
Macc_stealer
Mainhelper

Victims:
Macos users, Cryptocurrency

Geo:
Russian, Japanese

TTPs:
Tactics: 9
Technics: 0

IOCs:
Domain: 115
Url: 23
File: 4
IP: 2
Hash: 4

Soft:
macOS, Microsoft Defender, Microsoft Defender for Endpoint, icrosoft Defender An, curl, curl Microsoft Defender, Twitter, acOS us, Gatekeeper, Telegram, have more...

Wallets:
trezor, electrum, coinomi, exodus_wallet, wassabi, dashcore, electron_cash, guarda_wallet, ledger_wallet, metamask, have more...

Crypto:
monero, bitcoin, litecoin, dogecoin

Algorithms:
base64, gzip, zip, sha256

Languages:
php, applescript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix нацелена на пользователей macOS, используя инфостилеры, такие как SHub Stealer и AMOS, и применяя обманные команды терминала для установки вредоносного ПО, замаскированного под утилитарные рекомендации. Этот метод позволяет осуществлять масштабный сбор данных, включая учетные данные браузеров и информацию о криптокошельках, сохраняя при этом скрытность благодаря механизмам закрепления, таким как LaunchAgents, и стиранию следов после эксфильтрации. Злоумышленники используют поддельные сообщения о поиске решений для выполнения вредоносных скриптов, которые взаимодействуют с динамическими командными серверами, стремясь к долгосрочному доступу и краже учетных данных.
-----

Кампания ClickFix нацелена на пользователей macOS с использованием инфостилеров, таких как SHub Stealer и AMOS.

Злоумышленники используют поддельные инструкции для утилит macOS для выполнения команд в терминале, что способствует установке ВПО.

ВПО собирает данные из истории команд bash, учетных данных браузера, записей Связки ключей и криптовалютных кошельков.

Операция использует AppleScripts, выполняемые через команды Terminal, что позволяет обойти традиционные проверки безопасности.

Первоначальный доступ осуществляется через поддельные сообщения о поиске и устранении неисправностей, которые побуждают пользователей запускать вредоносные команды.

Выполняемые команды извлекают исполняемые файлы с удалённых серверов для развёртывания дополнительных полезной нагрузки.

ВПО удаляет пути временного хранения после эксфильтрации данных, чтобы скрыть свою деятельность.

Оно манипулирует локальными приложениями для перехвата конфиденциальной информации и устанавливает закрепление с помощью конфигураций LaunchAgent.

ВПО функционирует через загрузчик разведки, взаимодействующий с жёстко закодированной инфраструктурой C2.

Этот загрузчик может динамически обнаруживать командные серверы, обеспечивая сохранение доступа в различных средах.

Сбор данных происходит во временных файлах, а проверка учётных данных использует локальные системные утилиты.

Собранная информация выводится с помощью curl и HTTP POST-запросов.

Кампания нацелена на получение высокоценных учетных данных и финансовых данных, особенно из криптоприложений.

Microsoft Defender задокументировал обнаружения, связанные с подозрительными выполнениями команд оболочки и поведением ВПО.

#ParsedReport #CompletenessHigh
07-05-2026

ClickFix distributing Vidar Stealer via WordPress targeting Australian infrastructure

https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/clickfix-distributing-vidar-stealer-via-wordpress-targeting-australian-infrastructure

Report completeness: High

Threats:
Vidar_stealer
Clickfix_technique
Dead_drop_technique

Victims:
Australian infrastructure, Australian organisations, Australian businesses

Industry:
Government

Geo:
Australian

TTPs:
Tactics: 2
Technics: 16

IOCs:
Hash: 17
Domain: 32
IP: 10
Url: 10

Soft:
WordPress, elegram bo, team pr, Telegram, Steam

Algorithms:
sha256

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix, выявленная Австралийским центром кибербезопасности, использует скомпрометированные сайты WordPress для распространения вредоносного ПО Vidar Stealer, нацеливаясь на австралийскую инфраструктуру с помощью тактик социальной инженерии, таких как поддельные CAPTCHA. Злоумышленники внедряют вредоносный JavaScript для манипуляции взаимодействиями пользователей, что приводит к выполнению зашифрованных команд PowerShell, устанавливающих вредоносное ПО скрытно для эксфильтрации конфиденциальной информации. Vidar применяет техники уклонения, такие как самоуничтожение, и использует URL-адреса мертвых дропов для коммуникаций управления, смешивая эксфильтрованные данные с легитимным трафиком.
-----

Австралийский центр кибербезопасности (ACSC) выявил кампанию под названием ClickFix, которая использует скомпрометированные сайты на платформе WordPress для распространения вредоносного ПО Vidar Stealer, в первую очередь нацеленного на австралийскую инфраструктуру в различных секторах. Эта кампания включает манипулятивные тактики социальной инженерии, в частности поддельные CAPTCHA, чтобы убедить пользователей выполнять вредоносные скрипты, приводящие к установке вредоносного ПО. Исследования показывают, что активность ClickFix продолжается с начала 2024 года и эволюционировала, как наблюдал ACSC, описывая инциденты, связанные с эксплуатацией легитимных австралийских компаний.

Операционная методология атаки ClickFix включает внедрение злоумышленниками вредоносного домена в скомпрометированный веб-сайт и загрузку JavaScript-кода, который изменяет контент, отображаемый пользователям. Этот JavaScript-код вызывает обманный запрос на проверку Cloudflare. При взаимодействии с ним пользователям предлагается запустить как администратор скрытую команду PowerShell, скопированную в буфер обмена, которая затем загружает и выполняет Vidar Stealer. Данное ВПО предназначено для кражи конфиденциальной информации, такой как учетные данные, данные браузеров и криптокошельки с систем под управлением Windows.

Поведение стиллера Vidar включает техники уклонения, такие как самоуничтожение его исходного исполняемого файла, что позволяет ему оставаться работоспособным, не оставляя следов в файловой системе. Кроме того, Vidar устанавливает регулярные каналы управления (C2) с использованием URL-адресов мертвых дропов, которые часто используют такие платформы, как Телеграм и Steam, для сокрытия деталей соединения. Украденные данные отправляются обратно злоумышленникам через HTTP/S POST-запросы, смешиваясь с нормальным трафиком для уклонения от обнаружения.

Для снижения рисков, связанных с ClickFix и Vidar Stealer, рекомендуется принять ряд мер безопасности. К ним относятся ограничение выполнения несанкционированных приложений и скриптов, регулярное обновление WordPress и его компонентов, а также внедрение стратегий усиления защиты пользовательских приложений. Кроме того, организациям рекомендуется использовать многофакторную аутентификацию для снижения воздействия кражи учетных данных и регулярно выполнять резервное копирование для восстановления данных после потенциальных заражений.

Различные техники из фреймворка MITRE ATT&CK связаны с инцидентами ClickFix, такие как использование скомпрометированной инфраструктуры для атак, эксплуатация Веб-сервисы, выполнение команд PowerShell для развертывания ВПО и применение тактик социальной инженерии, которые опираются на действия пользователей для распространения ВПО. ACSC указывает, что строгие сетевые и DNS-контроли, а также ограничения PowerShell и стратегии предотвращения утечек данных дополнительно укрепят защиту от таких угроз. В целом, повышение осведомленности пользователей относительно тактик социальной инженерии и потенциальных методов доставки ВПО играет ключевую роль в предотвращении успешных эксплойтов, возникающих из кампании ClickFix.

#ParsedReport #CompletenessHigh
06-05-2026

5 Malicious NuGet Packages Impersonate Chinese UI Libraries to Distribute Crypto Wallet and Credential Stealer

https://socket.dev/blog/5-malicious-nuget-packages-impersonate-chinese-ui-libraries

Report completeness: High

Threats:
Dotnet_reactor_tool
Typosquatting_technique
Reactor_tool
Supply_chain_technique
Necrobit_technique
Credential_harvesting_technique
Process_injection_technique
Lumma_stealer
Arrow_rat

Victims:
Developers, Developer workstations, Build servers, Chinese enterprise dotnet ecosystems

Geo:
Chinese

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 12
BrowserExtension: 5
Url: 2
Domain: 6
IP: 2
Hash: 7

Soft:
NuGet, NET Reactor, Outlook, Chromium, Linux, Visual Studio, macOS, Microsoft Edge, Chrome, avgbrowser, have more...

Wallets:
metamask, tronlink, coinbase, electrum, coinomi, jaxx

Crypto:
binance

Algorithms:
rsa-1024, base64, sha256

Functions:
Windows

Win API:
OpenProcess, WriteProcessMemory, VirtualAlloc, LdrLoadDll, CoCreateInstance

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пять вредоносных пакетов NuGet, использующих Маскировка под настоящие китайские библиотеки пользовательского интерфейса .NET, нацелены на развертывание стиллера, который собирает конфиденциальные данные, такие как учетные данные браузеров и криптовалютные кошельки, с использованием техники typosquatting. Стиллер усилен с помощью .NET Reactor для сокрытия своего поведения и спроектирован так, чтобы активироваться через инициализатор модулей .NET, что позволяет ему обходить меры безопасности и работать на нескольких платформах, включая Windows, Linux и macOS. Эти пакеты набрали значительную популярность, получив около 65 000 загрузок, что усложняет обнаружение и представляет серьезную угрозу для разработчиков и сред CI/CD, использующих технологии .NET.
-----

Пять вредоносных пакетов NuGet были выявлены под аккаунтом 'bmrxntfj', которые имитируют легитимные китайские библиотеки .NET UI для развертывания стиллера, нацеленного на конфиденциальные пользовательские данные, включая учетные данные браузеров, криптовалютные кошельки, SSH-ключи и локальные файлы. Эти пакеты используют технику, известную как тайпсквоттинг, выбирая имитацию широко используемых китайских библиотек .NET с целью обмануть разработчиков в средах, где применяются такие библиотеки.

Стиллер, упакованный в эти вредоносные библиотеки NuGet, усиливается с помощью .NET Reactor, скрывая свою функциональность через упаковку, которая делает его похожим на легитимную библиотеку. Пакеты включают множество версий (всего 224), большинство из которых намеренно скрыты в публичных поисках, вводя разработчиков в заблуждение, заставляя их воспринимать эти пакеты как ресурсы с низкой активностью, потенциально легитимные. В результате они набрали около 65 000 загрузок, заразив десятки тысяч рабочих станций разработчиков и серверов сборки CI/CD. Пакеты остаются в реестре NuGet, несмотря на их вредоносный характер.

При выполнении полезная нагрузка использует инициализатор модулей .NET для активации до запуска любого кода приложения, что позволяет ей работать просто за счет восстановления зависимости пакета. Эта инициализация включает механизмы перехвата, позволяющие актору проверять целостность сборки, выделять области памяти для своей полезной нагрузки и выполнять ключевые процедуры, эффективно обходя традиционные меры безопасности. Полезная нагрузка обладает кроссплатформенной возможностью, активируясь в средах Windows, Linux и macOS, тем самым расширяя потенциальное воздействие.

Функционал стиллера включает методы извлечения сохраненных учетных данных из различных источников, включая 12 популярных браузеров на базе Chromium, пять различных расширений для криптокошельков и набор файлов на локальных системах. Он может работать скрытно в любой среде, принимающей .NET-сборки, что затрудняет его выявление и нейтрализацию. Это программное обеспечение также использует техники обфускации и маскирует свое вредоносное поведение внутри легитимных структур каталогов, дополнительно усложняя усилия по обнаружению.

Злоумышленники, по-видимому, тщательно структурировали свою инфраструктуру управления (C2), используя конкретные зарегистрированные домены для эксфильтрации, маскируя свою деятельность под видом легитимных операций. Эта операция имеет несколько индикаторов, которые команды безопасности могут использовать для защитных мер, таких как блокировка разрешений DNS для известных доменов C2 и оповещение о подозрительном создании файлов или исходящих соединениях, указывающих на вредоносную активность. В целом, сложность атаки и целенаправленный подход к различным средам разработки подчеркивают значительную угрозу для организаций, использующих технологии .NET.

#ParsedReport #CompletenessHigh
07-05-2026

Salat Stealer Analysis: Go-Based RAT, C2 Resilience, and Info-Stealing Capabilities

https://darkatlas.io/blog/salat-stealer-analysis-go-based-rat-c2-resilience-and-info-stealing-capabilities

Report completeness: High

Threats:
Salatstealer
Credential_harvesting_technique
Uac_bypass_technique

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1008, T1010, T1027, T1041, T1047, T1053.005, T1056.001, T1059, T1070.004, have more...

IOCs:
File: 34
Url: 5
Registry: 1
Hash: 3

Soft:
Discord, Steam, Chromium, Chrome

Algorithms:
sha1, xor, zip, aes-gcm, sha256, aes, md5

Functions:
Direct

Win API:
OpenFile

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salat Stealer — это продвинутая Троянская программа (RAT), написанная на Go, обладающая обширным набором инструментов для пост-эксплуатации, включая C2 на базе WebSocket и QUIC, регистрацию нажатий клавиш и потоковую передачу с веб-камеры. Она использует сложные методы обфускации и шифрования для обеспечения безопасности, включая технику отпечатка, специфичную для жертвы, которая отправляет идентификатор в виде хеш-значения на сервер C2. ВПО поддерживает закрепление различными способами, такими как копирование самого себя в легитимные места и изменение системных настроек.
-----

Salat Stealer — это сложная Троянская программа (RAT), созданная на языке Go, обладающая расширенными возможностями по краже информации. В отличие от обычных стилеров, она функционирует как комплексный фреймворк для пост-эксплуатации, включающий различные функции, такие как механизмы управления (C2) на основе WebSocket и QUIC, удаленный доступ к оболочке, системы потоковой передачи рабочего стола и видеопотоков с веб-камеры, регистрация нажатий клавиш, кража данных из буфера обмена, а также перемещение через прокси-серверы SOCKS5.

ВПО использует шестимодальную технику обфускации строк и механизм вывода ключей на основе параметров конкретной машины, что привязывает процесс расшифровки к имени хоста и аппаратному профилю жертвы. Такая архитектура усложняет статический анализ и повышает устойчивость ВПО. При запуске Salat Stealer извлекает свой путь к файлу и выводит начальный ключ расшифровки из жёстко закодированной строки, который используется совместно с другими ключами для расшифровки методами AES-128-GCM и XOR.

Вредоносное ПО использует уникальный метод идентификации жертвы, который объединяет данные, специфичные для жертвы, в хеш-значение, служащее идентификатором агента и отправляемое на C2-сервер с каждым бекеном. Кроме того, оно пытается повысить привилегии для получения более широкого доступа к скомпрометированной системе. Salat Stealer работает в различных режимах в зависимости от аргументов командной строки, позволяя ему функционировать либо как кейлоггер, либо как полноценный RAT в зависимости от переданных параметров.

Инфраструктура C2 Salat Stealer отличается устойчивостью: она использует двойное шифрование URL-адресов C2 и реализует механизмы резервирования с помощью блокчейна TON. Такой подход не только помогает получать оперативные команды, но и гарантирует возможность динамического восстановления связи, если основные конечные точки C2 будут скомпрометированы. Связь с сервером C2 защищена шифрованием RSA, что обеспечивает недоступность перехваченных данных без закрытых ключей.

Возможности вредоносного ПО по краже данных обширны: оно собирает конфиденциальную информацию с системы жертвы, включая данные браузеров и зашифрованные учетные данные. Оно создает ZIP-архивы украденных данных и отправляет эту информацию обратно на сервер C2. Команды, получаемые от C2, охватывают широкий спектр функций удаленного управления, включая выполнение команд, загрузку файлов, кражу данных и повышение привилегий.

Salat Stealer обеспечивает закрепление с помощью различных техник, включая копирование самого себя в места, замаскированные под легитимные системные файлы, создание запланированных задач и изменение настроек реестра для обеспечения запуска при входе пользователей. Каждый из этих механизмов закрепления повышает вероятность его продолжительной работы на зараженных системах.

#ParsedReport #CompletenessLow
07-05-2026

CVE-2026-23918: Apache HTTP Server HTTP/2 Double Free With Possible RCE

https://socradar.io/blog/cve-2026-23918-apache-http-server-http-2/

Report completeness: Low

Victims:
Apache http server users

CVEs:
CVE-2026-23918 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http_server (2.4.66)

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-23918 — это уязвимость высокой степени серьезности в реализации HTTP/2 сервера Apache HTTP Server, имеющая оценку CVSS 8.8. Ошибка, классифицируемая как CWE-415, возникает из-за условия двойного освобождения памяти (double free), что может привести к сбоям приложения и потенциальному выполнению произвольного кода, особенно через неконтролируемый атакующим трафик HTTP/2 без привилегий. Серверы, обрабатывающие несколько соединений, особенно уязвимы, поскольку для эксплуатации не требуется аутентификация, что делает эту уязвимость критической для таких сред.
-----

CVE-2026-23918 — это уязвимость, обнаруженная в Apache HTTP Server (httpd), конкретно в его реализации HTTP/2, с оценкой CVSS 8.8, указывающей на высокий уровень серьезности. Эта уязвимость возникает из-за условия двойного освобождения (double free), классифицируемого как CWE-415, которое происходит, когда программное обеспечение пытается освободить один и тот же участок памяти дважды. Такие сценарии могут привести к повреждению структур кучи, потенциально вызывая сбои приложения или, в более серьезных случаях, выполнение произвольного кода под контролем злоумышленника.

Эксплуатация данной уязвимости не требует аутентификации или повышенных привилегий, поскольку она может быть выполнена через управляемый атакующим трафик HTTP/2, достигающий сервера httpd. Даже если фронтенды Apache используют различные методы аутентификации — такие как базовая аутентификация, сеансы приложений или аутентификация обратного прокси-сервера — эти меры не предотвращают возможность установления вредоносных соединений HTTP/2. Экземпляры Apache, обычно участвующие в обработке контента для нескольких арендаторов или пользовательского контента, могут находиться под особой угрозой, поскольку атакующие могут создавать множество соединений и потоков для эксплуатации уязвимости.

Меры по устранению уязвимости CVE-2026-23918 заключаются в обновлении до версии Apache httpd 2.4.67 или более поздней, в которой данная ошибка исправлена. Настоятельно рекомендуется выполнить это обновление немедленно, поскольку оно полностью устраняет уязвимый путь выполнения кода, в отличие от попыток просто применить патч или ограничить риск на периметре сервера. Поскольку Apache продолжает широко использоваться в различных серверных средах, своевременное внимание к данной уязвимости повысит общий уровень безопасности и снизит риск успешной эксплуатации.

#ParsedReport #CompletenessLow
07-05-2026

FEMITBOT: Abuse of Telegram Mini Apps for Large-Scale Fraud Campaigns

https://cdn.prod.website-files.com/66fbdb04ee8bb0436308fc15/69f6093b2b8fcc3f49102d63_FEMITBOT%20-%20Report%20by%20CTM360%20-%202026.pdf

Report completeness: Low

Threats:
Femitbot
Golden_mine

Victims:
Media, Entertainment, Cryptocurrency, Telegram users

Industry:
Financial

Geo:
Bahrain

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1476, T1656

IOCs:
Domain: 5
File: 12

Soft:
Telegram, TikTok, Android, Chrome

Crypto:
binance

Algorithms:
gzip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция FEMITBOT представляет собой серьезную киберугрозу, использующую Telegram Mini Apps для мошеннических кампаний, имитирующих легитимные сервисы. Этот модульный набор, проанализированный CTM360, применяет тактики, такие как имперсонация брендов, ссылки на фишинговые веб-сайты и взаимодействие с пользователями через ботов Телеграм, что облегчает извлечение персональных данных. Кроме того, FEMITBOT может распространять ВПО через файлы Android APK, замаскированные под легитимные приложения, применяя техники, которые скрывают вредоносную активность, одновременно оптимизируя процессы мошенничества посредством отслеживания пользователей.
-----

Операция FEMITBOT представляет собой значительную киберугрозу, использующую Telegram Mini Apps для проведения масштабных мошеннических кампаний. Используя эти легкие веб-приложения, киберпреступники создают обманные среды, имитирующие легитимные сервисы. Набор инструментов FEMITBOT, идентифицированный CTM360, представляет собой модульную инфраструктуру, обеспечивающую бесперебойное выполнение и масштабирование различных мошеннических схем. Анализ показывает, что несколько мошеннических Telegram Mini Apps питаются от общей бэкенд-системы, что подтверждается повторяющимся ответом API «Welcome to join the FEMITBOT platform», указывающим на скоординированные действия в рамках различных доменов.

Тактики мошенничества, применяемые в наборе FEMITBOT, часто включают имперсонацию известных брендов, таких как BBC, Netflix и Binance, тем самым используя знакомые логотипы для создания фасада достоверности и повышения вовлеченности пользователей. Связанные фишинговые сайты тесно связаны с ботами Телеграм, которые обеспечивают взаимодействие с потенциальными жертвами через последовательность, начинающуюся с нежелательной рекламы на таких платформах, как Meta, и продолжающуюся структурированным взаимодействием с ботом Телеграм.

При взаимодействии с ботом жертвы получают сильно кастомные приветственные сообщения через среду Mini App. Система использует строку Telegram.WebApp.initData для скрытого извлечения данных идентификации пользователя и помощи в дальнейших процедурах аутентификации. Такая модульная архитектура позволяет быстро развертывать новые мошеннические схемы без необходимости создания полностью отдельных конфигураций, повышая разнообразие угроз.

Техническая архитектура операции FEMITBOT интегрирует SDK Telegram WebApp для обеспечения бесшовного пользовательского опыта, который маскирует вредоносную активность. Когда пользователи получают доступ к фишинговым сайтам, они направляются на использование встроенного браузера, что создает видимость легитимной среды. Кроме того, операция включает отслеживающие пиксели от Meta и TikTok, которые контролируют взаимодействия пользователей для оптимизации процессов мошенничества.

Важно отметить, что набор FEMITBOT оснащен возможностью распространения ВПО, в частности через APK-файлы Android, предлагаемые жертвам под видом обычных взаимодействий с приложениями. Этот механизм распространения модулируется с использованием таких функций, как запросы «добавить на главный экран» и просмотр внутри приложения, что повышает вероятность согласия пользователей с вредоносными инструкциями. Эти тактики подчеркивают изощренный подход, который злоумышленники применяют для сбора и эксплуатации пользовательских данных в целях финансовой выгоды, эффективно используя технологии для сокрытия своих действий.

#ParsedReport #CompletenessLow
07-05-2026

CVE-2026-26956: vm2 Sandbox Escape Enables Host RCE in Node.js 25

https://socradar.io/blog/cve-2026-26956-vm2-sandbox-escape-rce-node-js-25/

Report completeness: Low

Victims:
Plugin execution systems, Continuous integration platforms, Automation platforms, Workflow platforms, Services running untrusted javascript

CVEs:
CVE-2026-26956 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007

IOCs:
File: 3

Soft:
Node.js, Linux

Functions:
Symbol

Languages:
javascript

Platforms:
x64

Links:
https://github.com/patriksimek/vm2/security/advisories/GHSA-ffh4-j6h5-pg66

#ParsedReport #GeneratedSchema
Generated with GPT-4