Скопрометирована система обновления плагина Smart Slider 3 Pro для WordPress и Joomla, которая теперь используется для распространили вредоносной версии с множеством бэкдоров.
Разработчик заявляет, что проблема затрагивает только Pro-версию плагина 3.5.1.35, и рекомендует немедленно перейти на последнюю версию, в настоящее время 3.5.1.36, или 3.5.1.34 и более ранние.
Smart Slider 3 для WordPress используется более чем на 900 000 сайтах для создания адаптивных слайдеров с помощью редактора слайдеров в режиме реального времени, предлагающего большой выбор макетов и дизайнов.
PatchStack отмечает, что вредоносное ПО представляет собой полнофункциональный многоуровневый набор инструментов, встроенный в основной файл плагина, при этом сохраняя обычную функциональность Smart Slider.
Исследователи заметили, что вредоносный набор позволяет удаленному злоумышленнику выполнять команды без аутентификации с помощью специально сформированных HTTP-заголовков.
Он также включает в себя второй бэкдор с аутентификацией, позволяющий выполнять как PHP-выполнение команд, так и команды ОС, а также автоматическую кражу учетных данных.
Вредоносная ПО обеспечивает свое постоянное присутствие в сети за счет нескольких уровней защиты, одним из которых является создание скрытой учетной записи администратора и хранение учетных данных в базе данных.
Кроме того, создает каталог mu-plugins и создает обязательный для использования плагин с именем файла, который имитирует легитимный компонент кэширования.
PatchStack отмечает, что вредоносный набор также внедряет бэкдор в файл functions.php активной темы, что позволяет ему сохраняться до тех пор, пока тема активна.
Ещё один уровень обеспечения постоянного хранения данных заключается во внедрении в каталог wp-includes PHP-файла с именем, имитирующим имя легитимного класса ядра WordPress.
Как объясняют исследователи, в отличие от других уровней обеспечения постоянного доступа, этот бэкдор не зависит от базы данных WordPress, а считывает ключ аутентификации из .cache_key файла, хранящегося в том же каталоге.
Таким образом, изменение учетных данных базы данных не влияет на бэкдор, который продолжает работать, даже если WordPress не сможет полностью загрузиться.
Поставщик выпустил аналогичное предупреждение для Joomla, заявляя, что вредоносный код, присутствующий в версии 3.5.1.35 плагина, может создать скрытую учетную запись администратора (обычно с префиксом wpsvc_ ), установить дополнительные бэкдоры в каталогах /cache и /media, а также украсть информацию о сайте и учетные данные.
Вредоносное обновление было распространено среди пользователей 7 апреля, однако разработчики Smart Slider рекомендуют 5 апреля в качестве наиболее безопасной даты для восстановления резервных копий, чтобы во всех случаях учитывать разницу во времени.
Если резервная копия недоступна, рекомендуется удалить скомпрометированный плагин и установить чистую версию (3.5.1.36).
Администраторам, обнаружившим скомпрометированную версию плагина, должны исходить из предположения о полной компрометации сайта и предпринять все необходимые в этом случае действия.
Поставщик также предоставляет многоэтапное руководство по ручной очистке для WordPress и Joomla, которое начинается с перевода сайта в режим обслуживания и его резервного копирования.
Администраторам следует очистить сайт от неавторизованных пользователей, удалить все вредоносные компоненты и установить все основные файлы, плагины и темы, а также сбросить все пароли и выполнить сканирование на наличие дополнительных вредоносных ПО.
Разработчик заявляет, что проблема затрагивает только Pro-версию плагина 3.5.1.35, и рекомендует немедленно перейти на последнюю версию, в настоящее время 3.5.1.36, или 3.5.1.34 и более ранние.
Smart Slider 3 для WordPress используется более чем на 900 000 сайтах для создания адаптивных слайдеров с помощью редактора слайдеров в режиме реального времени, предлагающего большой выбор макетов и дизайнов.
PatchStack отмечает, что вредоносное ПО представляет собой полнофункциональный многоуровневый набор инструментов, встроенный в основной файл плагина, при этом сохраняя обычную функциональность Smart Slider.
Исследователи заметили, что вредоносный набор позволяет удаленному злоумышленнику выполнять команды без аутентификации с помощью специально сформированных HTTP-заголовков.
Он также включает в себя второй бэкдор с аутентификацией, позволяющий выполнять как PHP-выполнение команд, так и команды ОС, а также автоматическую кражу учетных данных.
Вредоносная ПО обеспечивает свое постоянное присутствие в сети за счет нескольких уровней защиты, одним из которых является создание скрытой учетной записи администратора и хранение учетных данных в базе данных.
Кроме того, создает каталог mu-plugins и создает обязательный для использования плагин с именем файла, который имитирует легитимный компонент кэширования.
PatchStack отмечает, что вредоносный набор также внедряет бэкдор в файл functions.php активной темы, что позволяет ему сохраняться до тех пор, пока тема активна.
Ещё один уровень обеспечения постоянного хранения данных заключается во внедрении в каталог wp-includes PHP-файла с именем, имитирующим имя легитимного класса ядра WordPress.
Как объясняют исследователи, в отличие от других уровней обеспечения постоянного доступа, этот бэкдор не зависит от базы данных WordPress, а считывает ключ аутентификации из .cache_key файла, хранящегося в том же каталоге.
Таким образом, изменение учетных данных базы данных не влияет на бэкдор, который продолжает работать, даже если WordPress не сможет полностью загрузиться.
Поставщик выпустил аналогичное предупреждение для Joomla, заявляя, что вредоносный код, присутствующий в версии 3.5.1.35 плагина, может создать скрытую учетную запись администратора (обычно с префиксом wpsvc_ ), установить дополнительные бэкдоры в каталогах /cache и /media, а также украсть информацию о сайте и учетные данные.
Вредоносное обновление было распространено среди пользователей 7 апреля, однако разработчики Smart Slider рекомендуют 5 апреля в качестве наиболее безопасной даты для восстановления резервных копий, чтобы во всех случаях учитывать разницу во времени.
Если резервная копия недоступна, рекомендуется удалить скомпрометированный плагин и установить чистую версию (3.5.1.36).
Администраторам, обнаружившим скомпрометированную версию плагина, должны исходить из предположения о полной компрометации сайта и предпринять все необходимые в этом случае действия.
Поставщик также предоставляет многоэтапное руководство по ручной очистке для WordPress и Joomla, которое начинается с перевода сайта в режим обслуживания и его резервного копирования.
Администраторам следует очистить сайт от неавторизованных пользователей, удалить все вредоносные компоненты и установить все основные файлы, плагины и темы, а также сбросить все пароли и выполнить сканирование на наличие дополнительных вредоносных ПО.
Patchstack
Critical Supply Chain Compromise in Smart Slider 3 Pro: Full Malware Analysis - Patchstack
This blog post is a technical analysis of the supply chain compromise affecting Smart Slider 3 Pro version 3.5.1.35 for WordPress. An unauthorized party gained
Новости шоу-бизнеса.
На прошедшей неделе российские инфосек-вендоры привычно мерялись МСФО-пинусами. В синхронном помахивании достоинствами по результатам 2025 года приняли участие Касперские, Позитивы и Солары. Бизоны осторожно поделились данными о выручке, кадавр F6 смотрит и молчит.
Первыми трололо устроили Позитивы, которые стали задорно (на самом деле не очень) тыкать палочкой в Касперских, демонстрируя свою увеличившуюся вдвое прибыль против показанного российским филиалом Лаборатории убытка.
Касперские включили антикриз и сообщили, что это вовсе не убыток, а "резервы под инвестиции" и, вообще, во всем виноват Мой Офис. (Кстати, когда-нибудь админы нашего канала уйдут на пенсию и напишут в мемуарах о сомнительных ИБ-практиках команды Комиссарова, когда в релизе могли забить на исправление уязвимости в пользу отрисовки новой красивой кнопочки)
Антикриз получился не очень и тогда Лаборатория обратила внимание на то, что в ее широких штанинах притаилась вторая часть выручки, международная. А в общем она у нее45 сантиметров почти миллиард долларов. Получилось лучше, размер впечатлил.
На этом развлекательная часть закончилась.
Позади стояли Солары и застенчиво показывали свое OIBDA. Нет бы сразу чистую прибыль предъявить.
Мы, как специалисты по устраиванию развеселых срачей, не одобряем такой унылый подход, без огонька все как-то. Уж если публику эпатировать, то с размахом, битьем посуды и выкидыванием стульев в окно.
Мельчаем-с, господа…
На прошедшей неделе российские инфосек-вендоры привычно мерялись МСФО-пинусами. В синхронном помахивании достоинствами по результатам 2025 года приняли участие Касперские, Позитивы и Солары. Бизоны осторожно поделились данными о выручке, кадавр F6 смотрит и молчит.
Первыми трололо устроили Позитивы, которые стали задорно (на самом деле не очень) тыкать палочкой в Касперских, демонстрируя свою увеличившуюся вдвое прибыль против показанного российским филиалом Лаборатории убытка.
Касперские включили антикриз и сообщили, что это вовсе не убыток, а "резервы под инвестиции" и, вообще, во всем виноват Мой Офис. (Кстати, когда-нибудь админы нашего канала уйдут на пенсию и напишут в мемуарах о сомнительных ИБ-практиках команды Комиссарова, когда в релизе могли забить на исправление уязвимости в пользу отрисовки новой красивой кнопочки)
Антикриз получился не очень и тогда Лаборатория обратила внимание на то, что в ее широких штанинах притаилась вторая часть выручки, международная. А в общем она у нее
На этом развлекательная часть закончилась.
Позади стояли Солары и застенчиво показывали свое OIBDA. Нет бы сразу чистую прибыль предъявить.
Мы, как специалисты по устраиванию развеселых срачей, не одобряем такой унылый подход, без огонька все как-то. Уж если публику эпатировать, то с размахом, битьем посуды и выкидыванием стульев в окно.
Мельчаем-с, господа…
Forwarded from историк-алкоголик
Говорят, среди адептов запрещенной в РФ экстремистской организации «ЛГБТ» новая мода, они в тексте тг-постов ставят стикеры «чистовик» или «черновик», тем самым дают понять, что сегодня свободны и находятся в поисках партнера на вечер.
Официальный сайт CPUID, по всей видимости, был скомпрометирован, а все пользователи, которые пытались загрузить HWMonitor и CPU-Z получали установочные файлы с вредоносным ПО.
CPUID, разработчик HWMonitor и CPU-Z, - французская компания, известная своими инструментами профилирования и мониторинга систем, широко используемыми ИТ-специалистами и производителями оборудования. Только у CPU-Z десятки миллионов пользователей по всему миру.
Первые сообщения о проблема появились на Reddit. Один из пользователей, обновлявших HWMonitor до версии 1.63, был перенаправлен с официального сайта CPUID на загрузку подозрительного файла с именем HWiNFO_Monitor_Setup.exe.
Аномалия сразу же привлекла внимание, поскольку HWiNFO - это совершенно отдельный инструмент для мониторинга оборудования, разработанный другим поставщиком.
После запуска установщик, как сообщается, запустил интерфейс установки на русском языке, что побудило пользователя прервать установку.
Дальнейшее расследование показало, что ссылка для скачивания, встроенная в официальную страницу HWMonitor на CPUID, перенаправляла на внешний домен, размещенный в хранилище Cloudflare R2, вместо стандартной инфраструктуры CPUID.
На этом домене хостился троянизированный установщик, упакованный в модифицированный пакет Inno Setup - широко распространенный метод маскировки вредоносных ПО и противодействия анализу. Легитимные же установщики HWMonitor используют стандартные, легко извлекаемые конфигурации Inno Setup.
По результатам изучения образца на VirusTotal наличие вредоносного поведения было подтверждено. При этом чистые версии HWMonitor не демонстрировали подобных признаков, что указывает на органиченность взлома определенными путями загрузки или динамически распространяемыми полезными нагрузками.
Последовавшие затем сообщения указывают на то, что CPU-Z также могла быть затронута (заграждение также фиксировалась антивирусами).
Кроме того, пользователи отмечали нестабильность системы и возможные симптомы заражения, соответствующие выполнению вредоносного ПО. Один пользователь утверждал, что установка CPU-Z с официального сайта привела к серьезному повреждению работоспособности Windows.
В свою очередь, исследователи VX-Underground также подтвердили все предположения и задокументировали, что на момент своего расследования компания cpuid.com активно распространяла вредоносное ПО.
Согласно их отчету, вредоносная ПО представляет собой не типичную угрозу массового распространения, а сложный многоступенчатый имплант, разработанный для скрытного и постоянного присутствия.
Вредоносное ПО работает преимущественно в оперативной памяти, что уменьшает количество артефактов для криминалистического анализа на диске, и использует передовые методы обхода защиты, включая проксирование Windows NTDLL через сборку .NET для обхода EDR-систем.
Исследователи также выявили инфраструктуру C2, связанную с известной группой злоумышленников, которая ранее, в марте 2026 года, распространяла троянизированные версии FileZilla.
Пока остается неясно, как злоумышленники получили доступ к инфраструктуре CPUID и удалось ли полностью локализовать последствия инцидента. Так что будем следить.
CPUID, разработчик HWMonitor и CPU-Z, - французская компания, известная своими инструментами профилирования и мониторинга систем, широко используемыми ИТ-специалистами и производителями оборудования. Только у CPU-Z десятки миллионов пользователей по всему миру.
Первые сообщения о проблема появились на Reddit. Один из пользователей, обновлявших HWMonitor до версии 1.63, был перенаправлен с официального сайта CPUID на загрузку подозрительного файла с именем HWiNFO_Monitor_Setup.exe.
Аномалия сразу же привлекла внимание, поскольку HWiNFO - это совершенно отдельный инструмент для мониторинга оборудования, разработанный другим поставщиком.
После запуска установщик, как сообщается, запустил интерфейс установки на русском языке, что побудило пользователя прервать установку.
Дальнейшее расследование показало, что ссылка для скачивания, встроенная в официальную страницу HWMonitor на CPUID, перенаправляла на внешний домен, размещенный в хранилище Cloudflare R2, вместо стандартной инфраструктуры CPUID.
На этом домене хостился троянизированный установщик, упакованный в модифицированный пакет Inno Setup - широко распространенный метод маскировки вредоносных ПО и противодействия анализу. Легитимные же установщики HWMonitor используют стандартные, легко извлекаемые конфигурации Inno Setup.
По результатам изучения образца на VirusTotal наличие вредоносного поведения было подтверждено. При этом чистые версии HWMonitor не демонстрировали подобных признаков, что указывает на органиченность взлома определенными путями загрузки или динамически распространяемыми полезными нагрузками.
Последовавшие затем сообщения указывают на то, что CPU-Z также могла быть затронута (заграждение также фиксировалась антивирусами).
Кроме того, пользователи отмечали нестабильность системы и возможные симптомы заражения, соответствующие выполнению вредоносного ПО. Один пользователь утверждал, что установка CPU-Z с официального сайта привела к серьезному повреждению работоспособности Windows.
В свою очередь, исследователи VX-Underground также подтвердили все предположения и задокументировали, что на момент своего расследования компания cpuid.com активно распространяла вредоносное ПО.
Согласно их отчету, вредоносная ПО представляет собой не типичную угрозу массового распространения, а сложный многоступенчатый имплант, разработанный для скрытного и постоянного присутствия.
Вредоносное ПО работает преимущественно в оперативной памяти, что уменьшает количество артефактов для криминалистического анализа на диске, и использует передовые методы обхода защиты, включая проксирование Windows NTDLL через сборку .NET для обхода EDR-систем.
Исследователи также выявили инфраструктуру C2, связанную с известной группой злоумышленников, которая ранее, в марте 2026 года, распространяла троянизированные версии FileZilla.
Пока остается неясно, как злоумышленники получили доступ к инфраструктуре CPUID и удалось ли полностью локализовать последствия инцидента. Так что будем следить.
Reddit
From the pcmasterrace community on Reddit
Explore this post and more from the pcmasterrace community
Нарисовались подробности в отношении исправленной к настоящему времени уязвимости в широко используемом SDK для Android под названием EngageLab SDK, которая потенциально ставит под угрозу миллионы пользователей криптокошельков.
Занавес приоткрыли участники исследовательская группы Microsoft Defender Security Research Team, предъявив соответствующий отчет.
Как заявляют исследователи, упомянутая уязвимость позволяет приложениям на одном устройстве обходить песочницу безопасности Android и получать несанкционированный доступ к личным данным.
EngageLab SDK предназначен для управления обменом сообщениями и push-уведомлениями в мобильных приложениях. После интеграции в приложение реализует возможность отправлять персонализированные уведомления и стимулировать взаимодействие в режиме реального времени.
По данным Microsoft, значительное число приложений, использующих SDK, являются частью экосистемы криптовалют и цифровых кошельков, имеют более 30 миллионов загрузок. С учетом иных нетематических приложений на основе того же SDK, количество установок переваливает за 50.
Microsoft не раскрывает точный перечень приложений, но отмечает, что все приложения с уязвимыми версиями SDK, были удалены из Google Play Store.
После ответственного раскрытия информации в апреле 2025 года, EngageLab в ноябре 2025 года выпустила обновленную версию 5.2.1 с исправлениями всех обнаруженных проблем.
В необновлённых версиях EngageSDK обнаружена уязвимость, связанная с интентами Android, которые обеспечивают взаимодействие между различными приложениями и обмен данными между компонентами одного и того же приложения.
Исследователи Microsoft выявили уязвимость в механизме перенаправления намерений, которая позволяет злоумышленнику манипулировать содержимым намерений, отправляемых уязвимыми приложениями.
Злоумышленник может использовать вредоносное приложение, работающее на целевом устройстве, для отправки специально сформированных намерений, которые, используя уязвимость приложения, позволяют обойти песочницу безопасности Android и получить доступ к конфиденциальным данным, включая личную информацию, учетные данные пользователей и финансовую информацию.
Нет никаких доказательств того, что уязвимость когда-либо использовалась в злонамеренных целях. Тем не менее, разработчикам, интегрировавшим SDK, рекомендуется как можно скорее обновить его до последней версии.
Особенно следует учесть, что даже незначительные недостатки в исходных библиотеках могут иметь каскадные последствия и затронуть миллионы устройств.
Занавес приоткрыли участники исследовательская группы Microsoft Defender Security Research Team, предъявив соответствующий отчет.
Как заявляют исследователи, упомянутая уязвимость позволяет приложениям на одном устройстве обходить песочницу безопасности Android и получать несанкционированный доступ к личным данным.
EngageLab SDK предназначен для управления обменом сообщениями и push-уведомлениями в мобильных приложениях. После интеграции в приложение реализует возможность отправлять персонализированные уведомления и стимулировать взаимодействие в режиме реального времени.
По данным Microsoft, значительное число приложений, использующих SDK, являются частью экосистемы криптовалют и цифровых кошельков, имеют более 30 миллионов загрузок. С учетом иных нетематических приложений на основе того же SDK, количество установок переваливает за 50.
Microsoft не раскрывает точный перечень приложений, но отмечает, что все приложения с уязвимыми версиями SDK, были удалены из Google Play Store.
После ответственного раскрытия информации в апреле 2025 года, EngageLab в ноябре 2025 года выпустила обновленную версию 5.2.1 с исправлениями всех обнаруженных проблем.
В необновлённых версиях EngageSDK обнаружена уязвимость, связанная с интентами Android, которые обеспечивают взаимодействие между различными приложениями и обмен данными между компонентами одного и того же приложения.
Исследователи Microsoft выявили уязвимость в механизме перенаправления намерений, которая позволяет злоумышленнику манипулировать содержимым намерений, отправляемых уязвимыми приложениями.
Злоумышленник может использовать вредоносное приложение, работающее на целевом устройстве, для отправки специально сформированных намерений, которые, используя уязвимость приложения, позволяют обойти песочницу безопасности Android и получить доступ к конфиденциальным данным, включая личную информацию, учетные данные пользователей и финансовую информацию.
Нет никаких доказательств того, что уязвимость когда-либо использовалась в злонамеренных целях. Тем не менее, разработчикам, интегрировавшим SDK, рекомендуется как можно скорее обновить его до последней версии.
Особенно следует учесть, что даже незначительные недостатки в исходных библиотеках могут иметь каскадные последствия и затронуть миллионы устройств.
Microsoft News
Intent redirection vulnerability in third-party SDK exposed millions of Android wallets to potential risk
A severe Android intent‑redirection vulnerability in a widely deployed SDK exposed sensitive user data across millions of apps. Microsoft researchers detail how the flaw works, why it matters, and how developers can mitigate similar risks by updating affected…
Adobe выпустила экстренные обновления для устранения критической уязвимости в Acrobat Reader, которая активно использовалась злоумышленниками в реальных условиях.
CVE-2026-34621 имеет оценку CVSS 8,6 из 10,0, а ее успешная эксплуатация позволяет злоумышленнику запустить вредоносный код на затронутых установках.
Проблема связана с «загрязнением прототипов», которое может привести к выполнению произвольного кода. Ошибка относится к уязвимости безопасности JavaScript, которая позволяет злоумышленнику манипулировать объектами и свойствами приложения.
Данная проблема затрагивает следующие продукты и версии как для Windows, так и для macOS:
- Acrobat DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat Reader DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat 2024 версий 24.001.30356 и более ранних (исправлено в версии 24.001.30362 для Windows и 24.001.30360 для macOS).
При этом Adobe подтвердила, что ей «известно об использовании уязвимости CVE-2026-34621 в реальных условиях».
Обновления вышли спустя несколько дней после того, как исследователь и основатель EXPMON Хайфэй Ли раскрыл подробности использования 0-day для запуска вредоносного кода JavaScript при открытии специально созданных PDF-документов через Adobe Reader.
По имеющимся данным, уязвимость могла использоваться еще с декабря 2025 года, а утечки информации она также активно применялась для RCE, что согласуется с выводами и других исследователей, которые последовали в течении последних нескольких дней.
CVE-2026-34621 имеет оценку CVSS 8,6 из 10,0, а ее успешная эксплуатация позволяет злоумышленнику запустить вредоносный код на затронутых установках.
Проблема связана с «загрязнением прототипов», которое может привести к выполнению произвольного кода. Ошибка относится к уязвимости безопасности JavaScript, которая позволяет злоумышленнику манипулировать объектами и свойствами приложения.
Данная проблема затрагивает следующие продукты и версии как для Windows, так и для macOS:
- Acrobat DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat Reader DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat 2024 версий 24.001.30356 и более ранних (исправлено в версии 24.001.30362 для Windows и 24.001.30360 для macOS).
При этом Adobe подтвердила, что ей «известно об использовании уязвимости CVE-2026-34621 в реальных условиях».
Обновления вышли спустя несколько дней после того, как исследователь и основатель EXPMON Хайфэй Ли раскрыл подробности использования 0-day для запуска вредоносного кода JavaScript при открытии специально созданных PDF-документов через Adobe Reader.
По имеющимся данным, уязвимость могла использоваться еще с декабря 2025 года, а утечки информации она также активно применялась для RCE, что согласуется с выводами и других исследователей, которые последовали в течении последних нескольких дней.
Adobe
Adobe Security Bulletin
Prenotification Security Advisory for Adobe Acrobat and Reader | APSB26-43
Всего через 10 часов после ее публичного раскрытия критической уязвимости в платформе с открытым исходным кодом Marimo началась эксплуатация.
Уязвимость позволяет удаленно выполнять код без аутентификации в Marimo 0.20.4 и более ранних версиях. Проблема отслеживается как CVE-2026-39987 и GitHub оценил её в 9,3 из 10.
По данным исследователей Sysdig, злоумышленники создали эксплойт на основе уведомления разработчика и без промедления задействовали его в атаках, в результате которых была украдена конфиденциальная информация.
Marimo - это среда разработки блокнотов на Python с открытым исходным кодом, которая обычно используется датасайнтистами, ИИ-специалистами, исследователями и разработчиками. В целом, это довольно популярный проект, имеющий 20 000 звезд на GitHub и 1000 форков.
CVE-2026-39987 обусловлена тем, что конечная точка WebSocket /terminal/ws предоставляет доступ к интерактивному терминалу без надлежащей проверки аутентификации, что позволяет устанавливать соединения с любого неаутентифицированного клиента.
Это обеспечивает прямой доступ к полноценной интерактивной оболочке, работающей с теми же привилегиями, что и процесс Marimo.
Marimo сообщила об уязвимости 8 апреля и выпустила версию 0.23.0 для её устранения.
Разработчики отмечают, что уязвимость затрагивает пользователей, которые развернули Marimo как редактируемый блокнот, а также тех, кто предоставляет доступ к Marimo через общую сеть, используя параметр --host 0.0.0.0 в режиме редактирования.
По данным Sysdig, в течение первых 12 часов после публикации подробностей об уязвимости удалось задетектить 125 IP, с которых реализуется разведактивность.
Менее чем через 10 часов после публикации результатов исследования ученые зафиксировали первую попытку использования уязвимости в операции по краже учетных данных.
Злоумышленник сначала проверил наличие уязвимости, подключившись к конечной точке /terminal/ws и выполнив короткую последовательность скриптов для подтверждения удаленного выполнения команд, после чего отключился через несколько секунд.
Вскоре после этого хакеры восстановили соединение и начали ручную разведку, выполняя базовые команды, такие как pwd, whoami и ls, чтобы понять окружение, а затем пытались перемещаться по каталогам и проверяли наличие SSH.
Далее злоумышленник сосредоточился на сборе учетных данных, сразу же атаковав .env для извлечения переменных среды, включая учетные данные облачного сервиса и секретные ключи приложений. Затем он попытался считать дополнительные файлы в рабочем каталоге и продолжил поиск SSH-ключей.
Согласно отчету Sysdig, весь этап получения доступа к учетным данным был завершен менее чем за три минуты. Примерно через час злоумышленник вернулся для совершения второй попытки эксплуатации уязвимости, используя ту же последовательность эксплойтов.
Исследователи утверждают, что за атакой, по всей видимости, стоит «методичный оператор», использующий практический подход, а не автоматизированные скрипты, и сосредоточенный на таких важных целях, как кража учетных данных .env и ключей SSH.
Злоумышленники не пытались установить средства обеспечения постоянного присутствия в системе, развернуть криптомайнеры или бэкдоры, что говорит о быстрой и скрытной операции.
Пользователям Marimo рекомендуется немедленно обновиться до версии 0.23.0, отслеживать соединения WebSocket с /terminal/ws, ограничить внешний доступ с помощью брандмауэра и ротировать все раскрытые секреты.
Уязвимость позволяет удаленно выполнять код без аутентификации в Marimo 0.20.4 и более ранних версиях. Проблема отслеживается как CVE-2026-39987 и GitHub оценил её в 9,3 из 10.
По данным исследователей Sysdig, злоумышленники создали эксплойт на основе уведомления разработчика и без промедления задействовали его в атаках, в результате которых была украдена конфиденциальная информация.
Marimo - это среда разработки блокнотов на Python с открытым исходным кодом, которая обычно используется датасайнтистами, ИИ-специалистами, исследователями и разработчиками. В целом, это довольно популярный проект, имеющий 20 000 звезд на GitHub и 1000 форков.
CVE-2026-39987 обусловлена тем, что конечная точка WebSocket /terminal/ws предоставляет доступ к интерактивному терминалу без надлежащей проверки аутентификации, что позволяет устанавливать соединения с любого неаутентифицированного клиента.
Это обеспечивает прямой доступ к полноценной интерактивной оболочке, работающей с теми же привилегиями, что и процесс Marimo.
Marimo сообщила об уязвимости 8 апреля и выпустила версию 0.23.0 для её устранения.
Разработчики отмечают, что уязвимость затрагивает пользователей, которые развернули Marimo как редактируемый блокнот, а также тех, кто предоставляет доступ к Marimo через общую сеть, используя параметр --host 0.0.0.0 в режиме редактирования.
По данным Sysdig, в течение первых 12 часов после публикации подробностей об уязвимости удалось задетектить 125 IP, с которых реализуется разведактивность.
Менее чем через 10 часов после публикации результатов исследования ученые зафиксировали первую попытку использования уязвимости в операции по краже учетных данных.
Злоумышленник сначала проверил наличие уязвимости, подключившись к конечной точке /terminal/ws и выполнив короткую последовательность скриптов для подтверждения удаленного выполнения команд, после чего отключился через несколько секунд.
Вскоре после этого хакеры восстановили соединение и начали ручную разведку, выполняя базовые команды, такие как pwd, whoami и ls, чтобы понять окружение, а затем пытались перемещаться по каталогам и проверяли наличие SSH.
Далее злоумышленник сосредоточился на сборе учетных данных, сразу же атаковав .env для извлечения переменных среды, включая учетные данные облачного сервиса и секретные ключи приложений. Затем он попытался считать дополнительные файлы в рабочем каталоге и продолжил поиск SSH-ключей.
Согласно отчету Sysdig, весь этап получения доступа к учетным данным был завершен менее чем за три минуты. Примерно через час злоумышленник вернулся для совершения второй попытки эксплуатации уязвимости, используя ту же последовательность эксплойтов.
Исследователи утверждают, что за атакой, по всей видимости, стоит «методичный оператор», использующий практический подход, а не автоматизированные скрипты, и сосредоточенный на таких важных целях, как кража учетных данных .env и ключей SSH.
Злоумышленники не пытались установить средства обеспечения постоянного присутствия в системе, развернуть криптомайнеры или бэкдоры, что говорит о быстрой и скрытной операции.
Пользователям Marimo рекомендуется немедленно обновиться до версии 0.23.0, отслеживать соединения WebSocket с /terminal/ws, ограничить внешний доступ с помощью брандмауэра и ротировать все раскрытые секреты.
GitHub
Pre-Auth Remote Code Execution via Terminal WebSocket Authentication Bypass
## Summary
Marimo (19.6k stars) has a Pre-Auth RCE vulnerability. The terminal WebSocket endpoint `/terminal/ws` lacks authentication validation, allowing an unauthenticated attacker to obtain a f...
Marimo (19.6k stars) has a Pre-Auth RCE vulnerability. The terminal WebSocket endpoint `/terminal/ws` lacks authentication validation, allowing an unauthenticated attacker to obtain a f...
Forwarded from Russian OSINT
Компания OpenAI выявила проблему безопасности, связанную со сторонним инструментом для разработчиков под названием Axios, о которой говорилось ранее [1,2]. Принимаются меры по защите процесса сертификации, подтверждающего подлинность её приложений для macOS. Компания Сэма Альтмана сообщила об отсутствии доказательств несанкционированного доступа к пользовательским данным, компрометации систем или интеллектуальной собственности.
В результате этой атаки рабочий процесс (workflow) GitHub Actions, используемый OpenAI, загрузил и запустил «вредоносную» версию Axios. Данный рабочий процесс имел доступ к сертификату и материалам нотаризации, используемым для подписания приложений под macOS, включая ChatGPT Desktop, Codex, Codex-cli и Atlas.
Компания заявила, что обновляет свои сертификаты безопасности и требует от всех пользователей macOS обновить Desktop приложения OpenAI до последних версий, чтобы предотвратить любые риски, связанные с попытками распространения поддельных приложений.
Начиная с 8 мая старые версии Desktop приложений OpenAI для macOS больше не будут получать обновления или поддержку, а также могут перестать функционировать, отметил разработчик ChatGPT.
Please open Telegram to view this post
VIEW IN TELEGRAM
Как нам подсказали подписчики, исследователи из Лаборатории Касперского разобрались в кейсе с компрометацией веб-сайта cpuid[.]com, на котором размещались установщики популярных ПО для администрирования систем CPU-Z, HWMonitor (и Pro) и Perfmonitor 2.
В ЛК обнаружили, что примерно с 9 апреля, 15:00 UTC, до 10 апреля, 10:00 UTC, легитимные URL для загрузки установщиков этого ПО были заменены URL-адресами на следующие вредоносные веб-сайты: cahayailmukreatif.web[.]id, pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev, transitopalermo[.]com и vatrobran[.]hr.
Злоумышленники распространяли вредоносные дистрибутивы различного популярного ПО для администрирования систем через cpuid[.]com, включая: CPU-Z (версия 2.19), HWMonitor Pro (версия 1.57), HWMonitor (версия 1.63) и PerfMonitor (версия 2.04).
Вирус распространялся как в виде ZIP-архивов, так и в виде отдельных установщиков. Файлы содержат легитимный подписанный исполняемый файл для соответствующего продукта и вредоносную DLL-библиотеку CRYPTBASE.dll, созданную с использованием метода боковой загрузки DLL.
Вредоносная DLL отвечает за подключение к C2 и дальнейшее выполнение полезной нагрузки. Перед этим она также выполняет ряд проверок на предмет соответствия требованиям песочницы, и если все проверки пройдены, она подключается к серверу C2.
Примечательно, что злоумышленники повторно использовали как адрес C2, так и конфигурацию подключения из кампании марта 2026 года, где они разместили фейковый сайт FileZilla, распространяющий вредоносные файлы.
Загрузчик также содержит огромный массив MAC-адресов (представленных в виде строк), которые впоследствии формируют полезную нагрузку следующего этапа путем преобразования шестнадцатеричных символов в MAC-адресах в их байтовые значения. После набора вспомогательных загрузчиков цепочка выполнения приводит к созданию сложной системы RAT.
Однако RAT на заключительном этапе не является чем-то новым. Злоумышленник решил повторно использовать так называемый STX RAT, о котором сообщала Esentire, тем самым совершив еще одну ошибку.
Как отмечают в ЛК, заключительный этап полностью обнаруживается правилами YARA, представленными у eSentire. Злоумышленники приложили усилия для взлома популярного сайта с ПО, но не смогли избежать обнаружения с помощью известных индикаторов взлома.
Согласно телеметрии ЛК, выявлено более 150 пострадавших, в основном - частные лица. Однако заразились и организаций различных секторов, включая торговлю, производство, консалтинг, телеком и сельское хозяйство. Большинство заражений - в Бразилии, России и Китае.
По сравнению с другими недавними атаками типа watering hole и атаками на цепочки поставок, как в случае с Notepad++, атака на cpuid[.]com была организована крайне плохо.
Самая серьёзная ошибка злоумышленников заключалась в повторном использовании той же цепочки заражения с использованием STX RAT и тех же доменных имён для связи C2, что и в предыдущей атаке, связанной с поддельными установщиками FileZilla.
Общий уровень разработки/развертывания вредоносного ПО и OpSec злоумышленников довольно низок, что, в свою очередь, позволило обнаружить компрометацию на ранней стадии.
Индикаторы компрометации и рекомендации - в отчете.
В ЛК обнаружили, что примерно с 9 апреля, 15:00 UTC, до 10 апреля, 10:00 UTC, легитимные URL для загрузки установщиков этого ПО были заменены URL-адресами на следующие вредоносные веб-сайты: cahayailmukreatif.web[.]id, pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev, transitopalermo[.]com и vatrobran[.]hr.
Злоумышленники распространяли вредоносные дистрибутивы различного популярного ПО для администрирования систем через cpuid[.]com, включая: CPU-Z (версия 2.19), HWMonitor Pro (версия 1.57), HWMonitor (версия 1.63) и PerfMonitor (версия 2.04).
Вирус распространялся как в виде ZIP-архивов, так и в виде отдельных установщиков. Файлы содержат легитимный подписанный исполняемый файл для соответствующего продукта и вредоносную DLL-библиотеку CRYPTBASE.dll, созданную с использованием метода боковой загрузки DLL.
Вредоносная DLL отвечает за подключение к C2 и дальнейшее выполнение полезной нагрузки. Перед этим она также выполняет ряд проверок на предмет соответствия требованиям песочницы, и если все проверки пройдены, она подключается к серверу C2.
Примечательно, что злоумышленники повторно использовали как адрес C2, так и конфигурацию подключения из кампании марта 2026 года, где они разместили фейковый сайт FileZilla, распространяющий вредоносные файлы.
Загрузчик также содержит огромный массив MAC-адресов (представленных в виде строк), которые впоследствии формируют полезную нагрузку следующего этапа путем преобразования шестнадцатеричных символов в MAC-адресах в их байтовые значения. После набора вспомогательных загрузчиков цепочка выполнения приводит к созданию сложной системы RAT.
Однако RAT на заключительном этапе не является чем-то новым. Злоумышленник решил повторно использовать так называемый STX RAT, о котором сообщала Esentire, тем самым совершив еще одну ошибку.
Как отмечают в ЛК, заключительный этап полностью обнаруживается правилами YARA, представленными у eSentire. Злоумышленники приложили усилия для взлома популярного сайта с ПО, но не смогли избежать обнаружения с помощью известных индикаторов взлома.
Согласно телеметрии ЛК, выявлено более 150 пострадавших, в основном - частные лица. Однако заразились и организаций различных секторов, включая торговлю, производство, консалтинг, телеком и сельское хозяйство. Большинство заражений - в Бразилии, России и Китае.
По сравнению с другими недавними атаками типа watering hole и атаками на цепочки поставок, как в случае с Notepad++, атака на cpuid[.]com была организована крайне плохо.
Самая серьёзная ошибка злоумышленников заключалась в повторном использовании той же цепочки заражения с использованием STX RAT и тех же доменных имён для связи C2, что и в предыдущей атаке, связанной с поддельными установщиками FileZilla.
Общий уровень разработки/развертывания вредоносного ПО и OpSec злоумышленников довольно низок, что, в свою очередь, позволило обнаружить компрометацию на ранней стадии.
Индикаторы компрометации и рекомендации - в отчете.
Securelist
CPU-Z and HWMonitor watering hole infection – a copy-pasted attack
On April 9, 2026, the website cpuid[.]com, hosting installers for popular system administration software CPU-Z, HWMonitor (HWMonitor Pro) and Perfmonitor 2, was compromised.
Booking взломали: хакеры получили доступ к информации о пользователях, сколько именно клиентов лишились доступа к информации о своих бронированиях не разглашается;
Согласно заявлениям компании, проблема локализована, некоторых пострадавших из Амстердама уведомили, что что хакеры могли получить доступ к информации, связанной с бронированиями поездок.
Как отмечается, неавторизованная третья сторона могла получить доступ к такой информации, включая имена, адреса электронной почты, номера телефонов и другие данные, которыми пользователи делились в рамках размещений.
В ответ на запросы Booking уточняет, что учетные записи клиентов не были взломаны, тем не менее был скомпрометирован доступ к информации о «бронировании некоторых гостей».
К настоящему времени, компания не предоставила никаких разъяснений по поводу инцидента, и остается неясным, были ли взломаны ее системы или злоумышленники получили доступ к данным другими способами. Также неясно, сколько пользователей пострадало от этого инцидента.
В Booking ограничились лишь упоминанием об оперативной локализации и обновлении PIN-кодов бронирований.
Несмотря на заявления о безопасности финансовой или платежной информации, компания все же рекомендовала клиентам сохранять бдительность в отношении потенциальных фишинговых атак, нацеленных на платежные данные. Будем следить, в общем.
Согласно заявлениям компании, проблема локализована, некоторых пострадавших из Амстердама уведомили, что что хакеры могли получить доступ к информации, связанной с бронированиями поездок.
Как отмечается, неавторизованная третья сторона могла получить доступ к такой информации, включая имена, адреса электронной почты, номера телефонов и другие данные, которыми пользователи делились в рамках размещений.
В ответ на запросы Booking уточняет, что учетные записи клиентов не были взломаны, тем не менее был скомпрометирован доступ к информации о «бронировании некоторых гостей».
К настоящему времени, компания не предоставила никаких разъяснений по поводу инцидента, и остается неясным, были ли взломаны ее системы или злоумышленники получили доступ к данным другими способами. Также неясно, сколько пользователей пострадало от этого инцидента.
В Booking ограничились лишь упоминанием об оперативной локализации и обновлении PIN-кодов бронирований.
Несмотря на заявления о безопасности финансовой или платежной информации, компания все же рекомендовала клиентам сохранять бдительность в отношении потенциальных фишинговых атак, нацеленных на платежные данные. Будем следить, в общем.
Reddit
From the Bookingcom community on Reddit: Serious security breach - confirmed by booking.com
Explore this post and more from the Bookingcom community
Критическая уязвимость в библиотеке wolfSSL SSL/TLS приводит к снижению защищенности в виду некорректной проверки алгоритма хеширования или его размера при проверке цифровых подписей на основе эллиптических кривых (ECDSA).
Исследователи предупреждают, что злоумышленник может использовать эту уязвимость, чтобы заставить целевое устройство или приложение принимать поддельные сертификаты для вредоносных серверов или соединений.
wolfSSL - это облегчённая реализация TLS/SSL на C, предназначенная для встраиваемых систем, IoT, систем промышленного управления, маршрутизаторов, бытовой техники, датчиков, автомобильных систем и даже аэрокосмического или военного оборудования.
Согласно официальной информации, wolfSSL используется более чем в 5 миллиардах приложений и устройств по всему миру.
Уязвимость обнаружена Николасом Карлини из Anthropic и отслеживается как CVE-2026-5194. Устранена wolfSSL 5.9.1, выпущенной 8 апреля.
Она представляет собой криптографическую ошибку проверки, затрагивающую несколько алгоритмов подписи в wolfSSL, что позволяет принимать некорректно слабые дайджесты во время проверки сертификата.
Проблема затрагивает несколько алгоритмов, включая ECDSA/ECC, DSA, ML-DSA, Ed25519 и Ed448. Для сборок, в которых активны одновременно ECC и EdDSA или ML-DSA, рекомендуется обновить WolfSSL до последней версии.
Согласно уведомлению по безопасности, отсутствие проверки размера хеша/дайджеста и OID позволяет функциям проверки подписи принимать дайджесты меньшего размера, чем разрешено при проверке сертификатов ECDSA, или меньшего размера, чем это подходит для соответствующего типа ключа.
Это может привести к снижению безопасности аутентификации на основе сертификатов ECDSA, если также известен открытый ключ центра сертификации (CA).
По мнению исследователя Лукаша Олейника, использование CVE-2026-5194 позволяет обмануть приложения или устройства, заставив их «принять поддельную цифровую идентификацию как подлинную, доверяя вредоносному серверу, файлу или соединению, которые они должны были отклонить».
Злоумышленник может использовать эту уязвимость, предоставив поддельный сертификат с меньшим по размеру дайджестом, чем это допустимо с точки зрения криптографии, в результате чего система принимает подпись, которую легче подделать или воспроизвести.
Несмотря на то, что уязвимость затрагивает основную процедуру проверки подписи, могут существовать предварительные условия и условия, специфичные для развертывания, которые могут ограничить возможность ее эксплуатации.
Системным администраторам, управляющим средами, которые не используют исходные релизы wolfSSL, а вместо этого полагаются на пакеты дистрибутива Linux, встроенное ПО поставщиков и встроенные SDK, следует обращаться за разъяснениями к поставщикам.
В частности, в уведомлении Red Hat, присваивающем уязвимости максимальный уровень серьезности, отмечается, что MariaDB не затронута, поскольку использует OpenSSL, а не wolfSSL для криптографических операций.
Организациям, использующим wolfSSL, рекомендуется проверить свои развертывания и незамедлительно установить обновления, дабы обеспечить надежную проверку сертификатов.
Исследователи предупреждают, что злоумышленник может использовать эту уязвимость, чтобы заставить целевое устройство или приложение принимать поддельные сертификаты для вредоносных серверов или соединений.
wolfSSL - это облегчённая реализация TLS/SSL на C, предназначенная для встраиваемых систем, IoT, систем промышленного управления, маршрутизаторов, бытовой техники, датчиков, автомобильных систем и даже аэрокосмического или военного оборудования.
Согласно официальной информации, wolfSSL используется более чем в 5 миллиардах приложений и устройств по всему миру.
Уязвимость обнаружена Николасом Карлини из Anthropic и отслеживается как CVE-2026-5194. Устранена wolfSSL 5.9.1, выпущенной 8 апреля.
Она представляет собой криптографическую ошибку проверки, затрагивающую несколько алгоритмов подписи в wolfSSL, что позволяет принимать некорректно слабые дайджесты во время проверки сертификата.
Проблема затрагивает несколько алгоритмов, включая ECDSA/ECC, DSA, ML-DSA, Ed25519 и Ed448. Для сборок, в которых активны одновременно ECC и EdDSA или ML-DSA, рекомендуется обновить WolfSSL до последней версии.
Согласно уведомлению по безопасности, отсутствие проверки размера хеша/дайджеста и OID позволяет функциям проверки подписи принимать дайджесты меньшего размера, чем разрешено при проверке сертификатов ECDSA, или меньшего размера, чем это подходит для соответствующего типа ключа.
Это может привести к снижению безопасности аутентификации на основе сертификатов ECDSA, если также известен открытый ключ центра сертификации (CA).
По мнению исследователя Лукаша Олейника, использование CVE-2026-5194 позволяет обмануть приложения или устройства, заставив их «принять поддельную цифровую идентификацию как подлинную, доверяя вредоносному серверу, файлу или соединению, которые они должны были отклонить».
Злоумышленник может использовать эту уязвимость, предоставив поддельный сертификат с меньшим по размеру дайджестом, чем это допустимо с точки зрения криптографии, в результате чего система принимает подпись, которую легче подделать или воспроизвести.
Несмотря на то, что уязвимость затрагивает основную процедуру проверки подписи, могут существовать предварительные условия и условия, специфичные для развертывания, которые могут ограничить возможность ее эксплуатации.
Системным администраторам, управляющим средами, которые не используют исходные релизы wolfSSL, а вместо этого полагаются на пакеты дистрибутива Linux, встроенное ПО поставщиков и встроенные SDK, следует обращаться за разъяснениями к поставщикам.
В частности, в уведомлении Red Hat, присваивающем уязвимости максимальный уровень серьезности, отмечается, что MariaDB не затронута, поскольку использует OpenSSL, а не wolfSSL для криптографических операций.
Организациям, использующим wolfSSL, рекомендуется проверить свои развертывания и незамедлительно установить обновления, дабы обеспечить надежную проверку сертификатов.
GitHub
Releases · wolfSSL/wolfssl
The wolfSSL library is a small, fast, portable implementation of TLS/SSL for embedded devices to the cloud. wolfSSL supports up to TLS 1.3 and DTLS 1.3! - wolfSSL/wolfssl
Rockstar Games вновь стала жертвой киберподполья в рамках недавнего инцидента с Anodot, на этот раз постарались ShinyHunters, которые вывалили украденные данные на своем сайте DLS.
Злоумышленники утверждают, что данные были похищены из среды Snowflake с использованием токенов аутентификации, украденных во время недавнего инцидента Anodot. Опубликованные данные Rockstar Games включают более 78,6 млн. записей.
В Rockstar Games пока отмалчиваются на этот счет. Однако в заявлении изданию Kotaku, компания подтвердила, что «в связи с утечкой данных третьей стороны был получен доступ к ограниченному объему несущественной информации компании», а сам «инцидент никак не влияет на организацию или игроков».
Злоумышленники сообщили, что утечка данных в основном состоит из внутренней аналитики, используемой для мониторинга онлайн-сервисов Rockstar и заявок в службу поддержки.
Слитые данные, предположительно, включают показатели выручки и покупок, отслеживание поведения игроков и данные об игровой экономике для Grand Theft Auto Online и Red Dead Online, а также, по всей видимости, аналитику службы поддержки клиентов для системы Zendesk.
Кроме того, в числе украденных файлов содержались ссылки на системы обнаружения мошенничества и тестирование моделей противодействия мошенничеству.
Инцидент является частью более масштабной кампании, связанной с недавним инцидентом в компании Anodot, специализирующейся на выявлении аномалий данных и интегрирующейся с широким спектром облачных SaaS-платформ.
Как сообщается, злоумышленники украли токены аутентификации из сервиса и использовали их для доступа к данным клиентов, хранящимся в подключенных экземплярах Snowflake, S3 и Amazon Kinesis.
На прошлой неделе Snowflake, в свою очередь, подтвердила, что обнаружила необычную активность, затрагивающую небольшое количество учетных записей клиентов, связанных с интеграцией стороннего сервиса, в ответ заблокировав затронутые учетные записи и уведомив клиентов.
Позже компания подтвердила, что интегратором выступила компания Anodot. ShinyHunters не осталась в стороне и взяла ответственность за атаки, заявляя о краже данных у десятков компаний с использованием скомпрометированных токенов.
Ранее, в 2022 году, Rockstar Games уже сталкивалась с утечкой данных, когда группа Lapsus$ слила в сеть видеоролики с Grand Theft Auto 6 вместе с исходным кодом игры. Так что им не уже привыкать, но каждый раз неприятно.
Злоумышленники утверждают, что данные были похищены из среды Snowflake с использованием токенов аутентификации, украденных во время недавнего инцидента Anodot. Опубликованные данные Rockstar Games включают более 78,6 млн. записей.
В Rockstar Games пока отмалчиваются на этот счет. Однако в заявлении изданию Kotaku, компания подтвердила, что «в связи с утечкой данных третьей стороны был получен доступ к ограниченному объему несущественной информации компании», а сам «инцидент никак не влияет на организацию или игроков».
Злоумышленники сообщили, что утечка данных в основном состоит из внутренней аналитики, используемой для мониторинга онлайн-сервисов Rockstar и заявок в службу поддержки.
Слитые данные, предположительно, включают показатели выручки и покупок, отслеживание поведения игроков и данные об игровой экономике для Grand Theft Auto Online и Red Dead Online, а также, по всей видимости, аналитику службы поддержки клиентов для системы Zendesk.
Кроме того, в числе украденных файлов содержались ссылки на системы обнаружения мошенничества и тестирование моделей противодействия мошенничеству.
Инцидент является частью более масштабной кампании, связанной с недавним инцидентом в компании Anodot, специализирующейся на выявлении аномалий данных и интегрирующейся с широким спектром облачных SaaS-платформ.
Как сообщается, злоумышленники украли токены аутентификации из сервиса и использовали их для доступа к данным клиентов, хранящимся в подключенных экземплярах Snowflake, S3 и Amazon Kinesis.
На прошлой неделе Snowflake, в свою очередь, подтвердила, что обнаружила необычную активность, затрагивающую небольшое количество учетных записей клиентов, связанных с интеграцией стороннего сервиса, в ответ заблокировав затронутые учетные записи и уведомив клиентов.
Позже компания подтвердила, что интегратором выступила компания Anodot. ShinyHunters не осталась в стороне и взяла ответственность за атаки, заявляя о краже данных у десятков компаний с использованием скомпрометированных токенов.
Ранее, в 2022 году, Rockstar Games уже сталкивалась с утечкой данных, когда группа Lapsus$ слила в сеть видеоролики с Grand Theft Auto 6 вместе с исходным кодом игры. Так что им не уже привыкать, но каждый раз неприятно.
Kotaku
GTA 6 Developer Rockstar Reportedly Hacked, Data Being Ransomed
Well known hacking group ShinyHunters claims to have breached the GTA 6 developers cloud servers
Исследователи Гонконгского политехнического университета и Китайского университета Гонконга на симпозиуме NDSS 2026 рассказали, что стандартные оптоволоконные кабели можно незаметно перепрофилировать в высокочувствительные подслушивающие устройства.
Исследование показало, что в реальных условиях злоумышленники могут использовать существующую телекоммуникационную инфраструктуру для акустического прослушивания и съема другой конфиденциальной информации без применения традиционного оборудования для слежки.
Основной целью исследования было изучение возможности утечки акустической информации через оптические волокна, которые считаются неуязвимыми для прослушивания, посредством едва заметных физических эффектов.
В основе атаки тот факт, что оптические волокна, хотя и предназначены для передачи световых сигналов, также чувствительны к мельчайшим физическим вибрациям.
Звуковые волны в окружающей среде могут слегка деформировать волокно, вызывая измеримые фазовые сдвиги света, проходящего через него.
Подключив один конец волокна к имеющейся в продаже системе распределенного акустического зондирования (DAS), злоумышленник может проанализировать эти фазовые изменения и восстановить исходный звук.
Угроза становится особенно актуальной в контексте развертывания оптоволоконных сетей до зданий (FTTH), где оптоволоконные кабели прокладываются непосредственно в жилые и офисные помещения.
В таких сетях часто используются «темные волокна» и излишки кабеля, хранящиеся в распределительных коробках, которые могут быть использованы для видеонаблюдения.
Исследователи показывают, что злоумышленник, имеющий доступ к сетевой инфраструктуре, например, злонамеренный сотрудник или подрядчик, может удаленно подключиться к оптоволоконной линии жертвы и начать сбор акустических данных.
Чтобы преодолеть естественное ограничение, заключающееся в низкой чувствительности неизолированных оптических волокон к звукам, распространяющимся по воздуху, команда разработала «сенсорный рецептор» - небольшую цилиндрическую структуру, вокруг которой плотно намотано волокно.
Такая конструкция усиливает вибрации, вызванные звуком, эффективно преобразуя слабые изменения давления воздуха в измеримую деформацию вдоль волокна.
Рецептор может быть замаскирован под стандартную распределительную коробку для оптоволокна, что затрудняет обнаружение атаки во время плановых проверок.
В контролируемых экспериментах система продемонстрировала способность обнаруживать бытовые действия, такие как набор текста или кашель, локализовать источники звука в помещении с точностью до метра и восстанавливать речь с заметной точностью.
Исследователи сообщают, что более 80% речевого контента удалось восстановить в пределах 2 метров, а системы автоматического распознавания речи достигли низкого уровня ошибок распознавания слов на небольшом расстоянии.
В исследовании также рассматривались реальные сценарии, включая офисную обстановку, где две комнаты были соединены более чем 50 метрами оптоволокна.
Даже в условиях сильного шума система восстанавливала разборчивую речь, при этом производительность варьировалась в зависимости от того, как вибрации передавались через такие поверхности, как столы или стены.
Примечательно, что технология оказалась устойчивой к ультразвуковым помехам, поскольку она основана исключительно на оптических и механических эффектах, а не на электронных датчиках.
Несмотря на свою эффективность, эта атака имеет практические ограничения. Качество звука ухудшается с расстоянием, фоновый шум вблизи оптоволокна может значительно снизить точность, а метод требует физического доступа к оптоволоконной инфраструктуре.
Однако исследователи утверждают, что в случае с такими важными объектами, как корпоративные офисы или государственные учреждения, эти препятствия не остановят целеустремленных злоумышленников.
Исследование показало, что в реальных условиях злоумышленники могут использовать существующую телекоммуникационную инфраструктуру для акустического прослушивания и съема другой конфиденциальной информации без применения традиционного оборудования для слежки.
Основной целью исследования было изучение возможности утечки акустической информации через оптические волокна, которые считаются неуязвимыми для прослушивания, посредством едва заметных физических эффектов.
В основе атаки тот факт, что оптические волокна, хотя и предназначены для передачи световых сигналов, также чувствительны к мельчайшим физическим вибрациям.
Звуковые волны в окружающей среде могут слегка деформировать волокно, вызывая измеримые фазовые сдвиги света, проходящего через него.
Подключив один конец волокна к имеющейся в продаже системе распределенного акустического зондирования (DAS), злоумышленник может проанализировать эти фазовые изменения и восстановить исходный звук.
Угроза становится особенно актуальной в контексте развертывания оптоволоконных сетей до зданий (FTTH), где оптоволоконные кабели прокладываются непосредственно в жилые и офисные помещения.
В таких сетях часто используются «темные волокна» и излишки кабеля, хранящиеся в распределительных коробках, которые могут быть использованы для видеонаблюдения.
Исследователи показывают, что злоумышленник, имеющий доступ к сетевой инфраструктуре, например, злонамеренный сотрудник или подрядчик, может удаленно подключиться к оптоволоконной линии жертвы и начать сбор акустических данных.
Чтобы преодолеть естественное ограничение, заключающееся в низкой чувствительности неизолированных оптических волокон к звукам, распространяющимся по воздуху, команда разработала «сенсорный рецептор» - небольшую цилиндрическую структуру, вокруг которой плотно намотано волокно.
Такая конструкция усиливает вибрации, вызванные звуком, эффективно преобразуя слабые изменения давления воздуха в измеримую деформацию вдоль волокна.
Рецептор может быть замаскирован под стандартную распределительную коробку для оптоволокна, что затрудняет обнаружение атаки во время плановых проверок.
В контролируемых экспериментах система продемонстрировала способность обнаруживать бытовые действия, такие как набор текста или кашель, локализовать источники звука в помещении с точностью до метра и восстанавливать речь с заметной точностью.
Исследователи сообщают, что более 80% речевого контента удалось восстановить в пределах 2 метров, а системы автоматического распознавания речи достигли низкого уровня ошибок распознавания слов на небольшом расстоянии.
В исследовании также рассматривались реальные сценарии, включая офисную обстановку, где две комнаты были соединены более чем 50 метрами оптоволокна.
Даже в условиях сильного шума система восстанавливала разборчивую речь, при этом производительность варьировалась в зависимости от того, как вибрации передавались через такие поверхности, как столы или стены.
Примечательно, что технология оказалась устойчивой к ультразвуковым помехам, поскольку она основана исключительно на оптических и механических эффектах, а не на электронных датчиках.
Несмотря на свою эффективность, эта атака имеет практические ограничения. Качество звука ухудшается с расстоянием, фоновый шум вблизи оптоволокна может значительно снизить точность, а метод требует физического доступа к оптоволоконной инфраструктуре.
Однако исследователи утверждают, что в случае с такими важными объектами, как корпоративные офисы или государственные учреждения, эти препятствия не остановят целеустремленных злоумышленников.
NDSS Symposium
Hiding an Ear in Plain Sight: On the Practicality and Implications of Acoustic Eavesdropping with Telecom Fiber Optic Cables -…
Исследователи из Лаборатории Касперского продолжают отслеживать эволюцию JanelaRAT, который остается активной угрозой для финсектора стран Латинской Америки, к настоящему времени - Бразилии и Мексики.
Причем новые вариации затрагивают как само вредоносное ПО, так и цепочку его заражения, включая целевые варианты для конкретных стран. Данные телеметрии ЛК показывают, что в 2025 году в Бразилии было зафиксировано 14 739 атак, а в Мексике - 11 695.
Модифицированная версия BX RAT, JanelaRAT, известна тем, что крадет финансовые и криптовалютные данные, связанные с конкретными организациями, а также отслеживает действия мыши, записывает нажатия клавиш, делает снимки экрана и собирает метаданные системы.
Одно из ключевых отличий этих троянов заключается в том, что JanelaRAT использует собственный механизм обнаружения заголовка окна для идентификации нужных сайтов в браузерах жертв и выполнения вредоносных действий.
Впервые обнаруженный Zscaler в июне 2023 года, троян JanelaRAT использовал ZIP-архивы со скриптом VBScript, для загрузки второго ZIP, который, в свою очередь, содержал легитимный исполняемый файл и DLL. Методом загрузки DLL запускался сам троян.
Согласно отчету KPMG в 2025 году, вредоносное ПО распространялось через фейковые файлы MSI, маскирующиеся под легитимное ПО на доверенных платформах, таких как GitLab. Атаки в основном были направлены на Чили, Колумбию и Мексику.
При запуске установщик инициировал многоэтапный процесс заражения с помощью скриптов на Go, PowerShell и пакетных файлов. Эти скрипты распаковывали ZIP с исполняемым файлом RAT, вредоносное расширение для браузера Chromium и вспомогательные компоненты.
Скрипты также предназначены для идентификации установленных браузеров Chromium и скрытого изменения их параметров запуска для установки расширения. После чего оно собирало системную информацию, cookie, историю, установленные расширения и метаданные вкладок, а также запускало определенные действия на основе совпадений с шаблонами URL.
Последняя цепочка атак, задокументированная ЛК, показывает, что фишинговые электронные письма, замаскированные под неоплаченные счета, используются для обмана получателей и загрузки PDF по ссылке, в результате чего загружается ZIP, который запускает вышеупомянутую цепочку атак, включающую установку DLL JanelaRAT.
С мая 2024 кампании JanelaRAT перешли от скриптов Visual Basic к установщикам MSI, которые действуют как загрузчики вредоносного ПО, используя загрузку DLL и обеспечивая постоянное присутствие на хосте путем создания ярлыка Windows (LNK) в папке автозагрузки.
После запуска вредоносная ПО устанавливает связь с C2 через TCP-сокет для регистрации заражения и отслеживает действия жертвы с целью перехвата конфиденциальных банковских операций.
Главная цель JanelaRAT — перехватить заголовок активного окна и сравнить его с жестко закодированным списком финансовых учреждений. В случае выявления проходит 12 секунд, прежде чем открывается выделенный канал управления и выполнения вредоносных задач.
Перечень команд достаточно широк и включает: отправку скринов, извлечение изображений, имитацию диалоговых окон с помощью наложений, клавиатуры и мыши, захват нажатий клавиш, завершение работы, выполнение команд с помощью cmd.exe и скриптов PowerShell, сокрытие окна диспетчера задач Windows, выявление антифрод систем, песочницы, автоматизации и др.
Вредоносная ПО определяет, был ли компьютер жертвы неактивен более 10 минут, вычисляя время, прошедшее с момента последнего ввода данных пользователем.
Если период неактивности превышает 10 минут, она уведомляет С2, отправляя соответствующее сообщение. При появлении активности снова уведомляет, что позволяет отслеживать поведение пользователя для определения времени возможных удаленных операций.
Обновленный JanelaRAT представляет собой значительный шаг вперед в возможностях злоумышленника, специально разработано для минимизации видимости и адаптации своего поведения при обнаружении антимошеннического ПО.
Причем новые вариации затрагивают как само вредоносное ПО, так и цепочку его заражения, включая целевые варианты для конкретных стран. Данные телеметрии ЛК показывают, что в 2025 году в Бразилии было зафиксировано 14 739 атак, а в Мексике - 11 695.
Модифицированная версия BX RAT, JanelaRAT, известна тем, что крадет финансовые и криптовалютные данные, связанные с конкретными организациями, а также отслеживает действия мыши, записывает нажатия клавиш, делает снимки экрана и собирает метаданные системы.
Одно из ключевых отличий этих троянов заключается в том, что JanelaRAT использует собственный механизм обнаружения заголовка окна для идентификации нужных сайтов в браузерах жертв и выполнения вредоносных действий.
Впервые обнаруженный Zscaler в июне 2023 года, троян JanelaRAT использовал ZIP-архивы со скриптом VBScript, для загрузки второго ZIP, который, в свою очередь, содержал легитимный исполняемый файл и DLL. Методом загрузки DLL запускался сам троян.
Согласно отчету KPMG в 2025 году, вредоносное ПО распространялось через фейковые файлы MSI, маскирующиеся под легитимное ПО на доверенных платформах, таких как GitLab. Атаки в основном были направлены на Чили, Колумбию и Мексику.
При запуске установщик инициировал многоэтапный процесс заражения с помощью скриптов на Go, PowerShell и пакетных файлов. Эти скрипты распаковывали ZIP с исполняемым файлом RAT, вредоносное расширение для браузера Chromium и вспомогательные компоненты.
Скрипты также предназначены для идентификации установленных браузеров Chromium и скрытого изменения их параметров запуска для установки расширения. После чего оно собирало системную информацию, cookie, историю, установленные расширения и метаданные вкладок, а также запускало определенные действия на основе совпадений с шаблонами URL.
Последняя цепочка атак, задокументированная ЛК, показывает, что фишинговые электронные письма, замаскированные под неоплаченные счета, используются для обмана получателей и загрузки PDF по ссылке, в результате чего загружается ZIP, который запускает вышеупомянутую цепочку атак, включающую установку DLL JanelaRAT.
С мая 2024 кампании JanelaRAT перешли от скриптов Visual Basic к установщикам MSI, которые действуют как загрузчики вредоносного ПО, используя загрузку DLL и обеспечивая постоянное присутствие на хосте путем создания ярлыка Windows (LNK) в папке автозагрузки.
После запуска вредоносная ПО устанавливает связь с C2 через TCP-сокет для регистрации заражения и отслеживает действия жертвы с целью перехвата конфиденциальных банковских операций.
Главная цель JanelaRAT — перехватить заголовок активного окна и сравнить его с жестко закодированным списком финансовых учреждений. В случае выявления проходит 12 секунд, прежде чем открывается выделенный канал управления и выполнения вредоносных задач.
Перечень команд достаточно широк и включает: отправку скринов, извлечение изображений, имитацию диалоговых окон с помощью наложений, клавиатуры и мыши, захват нажатий клавиш, завершение работы, выполнение команд с помощью cmd.exe и скриптов PowerShell, сокрытие окна диспетчера задач Windows, выявление антифрод систем, песочницы, автоматизации и др.
Вредоносная ПО определяет, был ли компьютер жертвы неактивен более 10 минут, вычисляя время, прошедшее с момента последнего ввода данных пользователем.
Если период неактивности превышает 10 минут, она уведомляет С2, отправляя соответствующее сообщение. При появлении активности снова уведомляет, что позволяет отслеживать поведение пользователя для определения времени возможных удаленных операций.
Обновленный JanelaRAT представляет собой значительный шаг вперед в возможностях злоумышленника, специально разработано для минимизации видимости и адаптации своего поведения при обнаружении антимошеннического ПО.
Securelist
JanelaRAT targeting online banking users in Latin America
Kaspersky GReAT experts describe the latest JanelaRAT campaign detailing infection chain and malware functionality updates.
CitizenLab совместно с журналистами из VSquare в своем очтете расчехлили платформу под названием Webloc, которая позволяет отслеживать сотни миллионов пользователей по всему миру через данные, полученные из мобильных приложений и цифровых рекламных экосистем.
В ходе расследования были получены доказательства того, что Webloc задействовалась властями ряда стран (упоминаются Венгрия, США и Сальвадор) для проведения разведывательных и силовых операций.
В основу отчета помимо технического анализа легли данные о закупках, утечки документов и 96 запросов на предоставление информации в соответствии с законом о свободе информации, что позволило его участникам составить карту возможностей, инфраструктуры и использования Webloc.
Webloc представляет собой систему геолокационной разведки, первоначально разработанную израильской Cobwebs Technologies, которая впоследствии перешла под управление американской Penlink после слияния в 2023 году.
Cobwebs была основана в 2015 году бывшими сотрудниками израильской разведки и занималась разработкой инструментов сбора информации из интернета и соцсетей, в то время как Penlink долгое время поставляла правоохранительным структурам США инструменты для перехвата и анализа данных.
По данным Citizen Lab, Webloc обрабатывает огромные потоки данных, поступающих из мобильных приложений и бирж рекламы в реальном времени, обычно называемых RTB, а также экосистем отслеживания на основе SDK.
Все они включают идентификаторы мобильной рекламы (MAID), координаты местоположения, полученные с помощью GPS и Wi-Fi, IP-адреса, сведения об устройстве и поведенческие профили, включая интересы и привычки.
Система обрабатывает миллиарды сигналов местоположения ежедневно от 500 млн. устройств, позволяя пользователям отслеживать перемещения, создавать профили и восстанавливать историю местоположений за период до трех лет.
Просочившиеся в сеть технические документы, изученные исследователями, показывают, что Webloc поддерживает запросы геозонирования, позволяя аналитикам идентифицировать все устройства, находящиеся в определенной области, или те, которые перемещались между локациями.
Платформа также может определять конфиденциальные личные данные, такие как место жительства и работы, на основе повторяющихся моделей местоположения и сопоставлять устройства на основе данных о совместном перемещении.
Результаты исследования Citizen Lab показывают, что Webloc широко используется в государственных секторах.
Среди подтвержденных клиентов в США - Иммиграционная и таможенная служба (ICE), вооруженные силы США, Департамент общественной безопасности Техаса и многочисленные полицейские управления. Система также используется Национальной гражданской полицией Сальвадора как минимум с 2021 года.
По Европе задокументирован первый подтвержденный случай массового использования слежки с помощью рекламы: по сообщениям, венгерские внутренние разведывательные службы используют Webloc с 2022 года, Специальная служба национальной безопасности (NBSZ) даже продлила лицензии на Webloc в марте 2026 года.
В свою очередь, Penlink оспорила некоторые аспекты отчета, заявив о неточностях и отметив, что некоторые из описанных продуктов «больше не существуют», но не предоставила подробных разъяснений.
Компания заверяет, что ее инструменты используются исключительно в законных целях, помогая бороться с преступностью и искать пропавших без вести в строгом соответствии с законами о защите частной жизни.
Впрочем, нас это никак не удивляет, о подобных технологиях писали уже не раз. Новый отчет с акцентом на венгерские выборы, по всей видимости, носит больше политический, нежели технический аспект. Но будем следить.
В ходе расследования были получены доказательства того, что Webloc задействовалась властями ряда стран (упоминаются Венгрия, США и Сальвадор) для проведения разведывательных и силовых операций.
В основу отчета помимо технического анализа легли данные о закупках, утечки документов и 96 запросов на предоставление информации в соответствии с законом о свободе информации, что позволило его участникам составить карту возможностей, инфраструктуры и использования Webloc.
Webloc представляет собой систему геолокационной разведки, первоначально разработанную израильской Cobwebs Technologies, которая впоследствии перешла под управление американской Penlink после слияния в 2023 году.
Cobwebs была основана в 2015 году бывшими сотрудниками израильской разведки и занималась разработкой инструментов сбора информации из интернета и соцсетей, в то время как Penlink долгое время поставляла правоохранительным структурам США инструменты для перехвата и анализа данных.
По данным Citizen Lab, Webloc обрабатывает огромные потоки данных, поступающих из мобильных приложений и бирж рекламы в реальном времени, обычно называемых RTB, а также экосистем отслеживания на основе SDK.
Все они включают идентификаторы мобильной рекламы (MAID), координаты местоположения, полученные с помощью GPS и Wi-Fi, IP-адреса, сведения об устройстве и поведенческие профили, включая интересы и привычки.
Система обрабатывает миллиарды сигналов местоположения ежедневно от 500 млн. устройств, позволяя пользователям отслеживать перемещения, создавать профили и восстанавливать историю местоположений за период до трех лет.
Просочившиеся в сеть технические документы, изученные исследователями, показывают, что Webloc поддерживает запросы геозонирования, позволяя аналитикам идентифицировать все устройства, находящиеся в определенной области, или те, которые перемещались между локациями.
Платформа также может определять конфиденциальные личные данные, такие как место жительства и работы, на основе повторяющихся моделей местоположения и сопоставлять устройства на основе данных о совместном перемещении.
Результаты исследования Citizen Lab показывают, что Webloc широко используется в государственных секторах.
Среди подтвержденных клиентов в США - Иммиграционная и таможенная служба (ICE), вооруженные силы США, Департамент общественной безопасности Техаса и многочисленные полицейские управления. Система также используется Национальной гражданской полицией Сальвадора как минимум с 2021 года.
По Европе задокументирован первый подтвержденный случай массового использования слежки с помощью рекламы: по сообщениям, венгерские внутренние разведывательные службы используют Webloc с 2022 года, Специальная служба национальной безопасности (NBSZ) даже продлила лицензии на Webloc в марте 2026 года.
В свою очередь, Penlink оспорила некоторые аспекты отчета, заявив о неточностях и отметив, что некоторые из описанных продуктов «больше не существуют», но не предоставила подробных разъяснений.
Компания заверяет, что ее инструменты используются исключительно в законных целях, помогая бороться с преступностью и искать пропавших без вести в строгом соответствии с законами о защите частной жизни.
Впрочем, нас это никак не удивляет, о подобных технологиях писали уже не раз. Новый отчет с акцентом на венгерские выборы, по всей видимости, носит больше политический, нежели технический аспект. Но будем следить.
The Citizen Lab
Uncovering Webloc: An Analysis of Penlink’s Ad-based Geolocation Surveillance Tech - The Citizen Lab
Location data collected from mobile apps and digital advertising can reveal habits, interests and almost any other aspect of someone's life. In this report, we uncover how a geolocation surveillance system called Webloc uses ad-based data to monitor hundreds…
"Новой схеме развода в Telegram" в следующем месяце исполнится 3,5 года. Если админы Банксты не умеют в информационную безопасность, то фактчекинг можно провести по материалам нашего канала (не реклама😎)
Ну, а в общем, как известно, все эти схемы массовые развода работают только при отсутствии 2FA. Кто в наше время им не пользуется, что это за австралопитеки?
(Младший модер подсказывает, что это те же люди, которые используют пароль "q1w2e3r4t5y6". Хотя, с другой стороны, это могут быть пользователи продукции компании Ivanti, профессиональные мазохисты).
Ну, а в общем, как известно, все эти схемы массовые развода работают только при отсутствии 2FA. Кто в наше время им не пользуется, что это за австралопитеки?
(Младший модер подсказывает, что это те же люди, которые используют пароль "q1w2e3r4t5y6". Хотя, с другой стороны, это могут быть пользователи продукции компании Ivanti, профессиональные мазохисты).
Telegram
Банкста
Новая схема развода в Telegram: под видом бесплатного годового Premium крадут аккаунты и данные карт. Мошенники рассылают сообщения о бонусе с кнопкой «Активировать». При нажатии жертва не становится обладателем подписки, а злоумышленники получают доступ…
Microsoft выпустила очередной Patch Tuesday с исправлением активной используемой 0-day в SharePoint и еще 168 других уязвимостей в своем продуктовом портфеле, что, по мнению экспертов, стало вторым по величине обновлением за всю историю по количеству закрытых CVE.
Из этих 169 уязвимостей 157 оцениваются как важные, восемь - как критические, три - как умеренные и одна - как низкая по степени серьезности.
93 классифицируются как EoP, за ними следуют 21 уязвимость, связанная с раскрытием информации, 21 - с RCE, 14 - с обходом функций безопасности, 10 - с подменой адреса и девять - с DoS.
В число 169 обнаруженных уязвимостей также входят четыре CVE, не выпущенные Microsoft, затрагивающие AMD (CVE-2023-20585), Node.js (CVE-2026-21637), Windows Secure Boot (CVE-2026-25250) и Git for Windows (CVE-2026-32631). Эти обновления дополняют 78 ошибок, которые были устранены в браузере Edge на основе Chromium.
Уязвимость в SharePoint Server отслеживается как CVE-2026-32201 и относится к проблемам с подменой IP-адреса. Microsoft присвоила ей рейтинг серьезности «важный» с оценкой CVSS 6,5.
Некорректная проверка входных данных в Microsoft Office SharePoint позволяет неавторизованному злоумышленнику осуществлять подмену данных в сети. Злоумышленник может использовать эту уязвимость для доступа к конфиденциальной информации и ее изменения.
Пока неясно, кто стоит за 0-day атаками, нацеленными на CVE-2026-32201. Уязвимость была обнаружена внутри компании, в настоящее время неизвестно, как она используется и каков масштаб.
Однако, судя по краткому описанию поставщика, возможно, что уязвимость CVE-2026-32201 связана с другими уязвимостями.
Уязвимости SharePoint достаточно часто используются злоумышленниками в реальных условиях. В каталоге KEV CISA в настоящее время включено 10 подобных проблем, включая CVE-2026-32201.
Из оставшихся уязвимостей, исправленных Microsoft в рамках Patch Tuesday за апрель 2026 года, 19 имеют рейтинг «более вероятна эксплуатация», что указывает на то, что они могут быть использованы в атаках.
Одна из них - CVE-2026-33825 (CVSS: 7.8), уязвимость повышения привилегий в Microsoft Defender, которая, по данным микромягких, была публично раскрыта до выпуска исправлений.
По данным Microsoft, она позволяет авторизованному злоумышленнику повысить привилегии локально, воспользовавшись отсутствием в Defender адекватных средств контроля доступа.
Одна из наиболее серьезных уязвимостей - это случай удаленного выполнения кода, затрагивающий расширения службы обмена ключами в Интернете (IKE) Windows. Отслеживается как CVE-2026-33824 и имеет оценку CVSS 9,8 из 10,0.
Для использования уязвимости злоумышленнику необходимо отправить специально сформированные пакеты на компьютер под управлением Windows с включенным протоколом IKE v2, что может позволить удаленное выполнение кода
Уязвимости в компонентах Windows, включая загрузчик, Active Directory, удаленный рабочий стол, Hello, контроллеры пространства хранения, поиск, драйвер трансляции TDI, BitLocker, консоль управления, TCP/IP, общий драйвер файловой системы журналов, хост устройств UPnP, COM, оболочка, служба обнаружения функций и диспетчер окон рабочего стола, также с большей долей вероятности будут использованы в недалеком будущем.
Исследователи в Tenable отмечают, что это второй по величине «Вторник обновлений» за всю историю, и он лишь немного не дотянул до рекорда, установленного в октябре 2025 года (183 уязвимости).
Более того, EoP-уязвимости продолжают доминировать в цикле обновлений Patch Tuesday за последние восемь месяцев, составляя рекордные 57% всех CVE, исправленных в апреле, в то время как количество RCE снизилось до 12%, сравнявшись с количеством уязвимостей раскрытия информации в этом месяце.
Из этих 169 уязвимостей 157 оцениваются как важные, восемь - как критические, три - как умеренные и одна - как низкая по степени серьезности.
93 классифицируются как EoP, за ними следуют 21 уязвимость, связанная с раскрытием информации, 21 - с RCE, 14 - с обходом функций безопасности, 10 - с подменой адреса и девять - с DoS.
В число 169 обнаруженных уязвимостей также входят четыре CVE, не выпущенные Microsoft, затрагивающие AMD (CVE-2023-20585), Node.js (CVE-2026-21637), Windows Secure Boot (CVE-2026-25250) и Git for Windows (CVE-2026-32631). Эти обновления дополняют 78 ошибок, которые были устранены в браузере Edge на основе Chromium.
Уязвимость в SharePoint Server отслеживается как CVE-2026-32201 и относится к проблемам с подменой IP-адреса. Microsoft присвоила ей рейтинг серьезности «важный» с оценкой CVSS 6,5.
Некорректная проверка входных данных в Microsoft Office SharePoint позволяет неавторизованному злоумышленнику осуществлять подмену данных в сети. Злоумышленник может использовать эту уязвимость для доступа к конфиденциальной информации и ее изменения.
Пока неясно, кто стоит за 0-day атаками, нацеленными на CVE-2026-32201. Уязвимость была обнаружена внутри компании, в настоящее время неизвестно, как она используется и каков масштаб.
Однако, судя по краткому описанию поставщика, возможно, что уязвимость CVE-2026-32201 связана с другими уязвимостями.
Уязвимости SharePoint достаточно часто используются злоумышленниками в реальных условиях. В каталоге KEV CISA в настоящее время включено 10 подобных проблем, включая CVE-2026-32201.
Из оставшихся уязвимостей, исправленных Microsoft в рамках Patch Tuesday за апрель 2026 года, 19 имеют рейтинг «более вероятна эксплуатация», что указывает на то, что они могут быть использованы в атаках.
Одна из них - CVE-2026-33825 (CVSS: 7.8), уязвимость повышения привилегий в Microsoft Defender, которая, по данным микромягких, была публично раскрыта до выпуска исправлений.
По данным Microsoft, она позволяет авторизованному злоумышленнику повысить привилегии локально, воспользовавшись отсутствием в Defender адекватных средств контроля доступа.
Одна из наиболее серьезных уязвимостей - это случай удаленного выполнения кода, затрагивающий расширения службы обмена ключами в Интернете (IKE) Windows. Отслеживается как CVE-2026-33824 и имеет оценку CVSS 9,8 из 10,0.
Для использования уязвимости злоумышленнику необходимо отправить специально сформированные пакеты на компьютер под управлением Windows с включенным протоколом IKE v2, что может позволить удаленное выполнение кода
Уязвимости в компонентах Windows, включая загрузчик, Active Directory, удаленный рабочий стол, Hello, контроллеры пространства хранения, поиск, драйвер трансляции TDI, BitLocker, консоль управления, TCP/IP, общий драйвер файловой системы журналов, хост устройств UPnP, COM, оболочка, служба обнаружения функций и диспетчер окон рабочего стола, также с большей долей вероятности будут использованы в недалеком будущем.
Исследователи в Tenable отмечают, что это второй по величине «Вторник обновлений» за всю историю, и он лишь немного не дотянул до рекорда, установленного в октябре 2025 года (183 уязвимости).
Более того, EoP-уязвимости продолжают доминировать в цикле обновлений Patch Tuesday за последние восемь месяцев, составляя рекордные 57% всех CVE, исправленных в апреле, в то время как количество RCE снизилось до 12%, сравнявшись с количеством уязвимостей раскрытия информации в этом месяце.
Docs
Release notes for Microsoft Edge Security Updates
Более 100 вредоносных расширений в Chrome Web Store крадут токены Google OAuth2 Bearer, внедряя бэкдоры и совершая мошеннические действия с рекламой.
Исследователи Socket пришли к выводу, что все они являются частью скоординированной кампании, использующей одну и ту же инфраструктуру C2, в рамках MaaS.
Злоумышленник продвигал расширения через пять различных издателей в нескольких категориях: клиенты для боковой панели Telegram, игровые автоматы и кено, средства улучшения контента для YouTube и TikTok, инструмент перевода текста и утилиты.
По данным исследователей, в кампании задействуется центральная серверная часть, размещенная на VPS-сервере Contabo, со множеством поддоменов, обрабатывающих перехват сессий, сбор идентификационных данных, выполнение команд и операции монетизации.
Самый крупный кластер, включающий 78 расширений, внедряет контролируемый злоумышленником HTML-код в пользовательский интерфейс через свойство innerHTML.
Вторая группа из 54 расширений использует chrome.identity.getAuthToken для сбора адреса электронной почты, имени, фотографии профиля и идентификатора учетной записи Google жертвы.
Они также крадут токен Google OAuth2 Bearer, кратковременный токен доступа, который позволяет приложениям получать доступ к данным пользователя или действовать от его имени.
Третья группа из 45 расширений включает скрытую функцию, которая реализуется после старта браузера, выступая в качестве бэкдора, получающего команды с С2 и способного открывать произвольные URL. Эта функция не требует от пользователя взаимодействия с расширением.
Одно из расширений, отмеченное Socket как «наиболее опасное», перехватывает сессии Telegram Web каждые 15 секунд, извлекая данные сессии из localStorage и токен сессии для Telegram Web, отправляя затем эту информацию на сервер C2.
Расширение также обрабатывает входящее сообщение (set_session_changed), которое выполняет обратную операцию: очищает localStorage жертвы, перезаписывает его данными сессии, предоставленными злоумышленником, и принудительно перезагружает Telegram.
В совокупности эти манипуляции позволяет оператору без ведома жертвы перенаправить браузер любого пользователя на другой аккаунт Telegram.
Исследователи также отметили три расширения, которые удаляют заголовки безопасности и внедряют рекламу в YouTube и TikTok, еще одно, перенаправляющее запросы на перевод через вредоносный сервер, а также неактивное расширение для кражи сессий в Telegram, использующее специально созданную инфраструктуру.
Socket уведомила Google о своих находках, но предупреждает, что на момент публикации их отчета все вредоносные расширения по-прежнему оставались доступны в Chrome Web Store. Google пока никак это не комментирует.
Пользователям рекомендуется выполнить поиск установленных расширений согласно представленным идентификаторам Socket и немедленно их удалить в случае обнаружения.
Исследователи Socket пришли к выводу, что все они являются частью скоординированной кампании, использующей одну и ту же инфраструктуру C2, в рамках MaaS.
Злоумышленник продвигал расширения через пять различных издателей в нескольких категориях: клиенты для боковой панели Telegram, игровые автоматы и кено, средства улучшения контента для YouTube и TikTok, инструмент перевода текста и утилиты.
По данным исследователей, в кампании задействуется центральная серверная часть, размещенная на VPS-сервере Contabo, со множеством поддоменов, обрабатывающих перехват сессий, сбор идентификационных данных, выполнение команд и операции монетизации.
Самый крупный кластер, включающий 78 расширений, внедряет контролируемый злоумышленником HTML-код в пользовательский интерфейс через свойство innerHTML.
Вторая группа из 54 расширений использует chrome.identity.getAuthToken для сбора адреса электронной почты, имени, фотографии профиля и идентификатора учетной записи Google жертвы.
Они также крадут токен Google OAuth2 Bearer, кратковременный токен доступа, который позволяет приложениям получать доступ к данным пользователя или действовать от его имени.
Третья группа из 45 расширений включает скрытую функцию, которая реализуется после старта браузера, выступая в качестве бэкдора, получающего команды с С2 и способного открывать произвольные URL. Эта функция не требует от пользователя взаимодействия с расширением.
Одно из расширений, отмеченное Socket как «наиболее опасное», перехватывает сессии Telegram Web каждые 15 секунд, извлекая данные сессии из localStorage и токен сессии для Telegram Web, отправляя затем эту информацию на сервер C2.
Расширение также обрабатывает входящее сообщение (set_session_changed), которое выполняет обратную операцию: очищает localStorage жертвы, перезаписывает его данными сессии, предоставленными злоумышленником, и принудительно перезагружает Telegram.
В совокупности эти манипуляции позволяет оператору без ведома жертвы перенаправить браузер любого пользователя на другой аккаунт Telegram.
Исследователи также отметили три расширения, которые удаляют заголовки безопасности и внедряют рекламу в YouTube и TikTok, еще одно, перенаправляющее запросы на перевод через вредоносный сервер, а также неактивное расширение для кражи сессий в Telegram, использующее специально созданную инфраструктуру.
Socket уведомила Google о своих находках, но предупреждает, что на момент публикации их отчета все вредоносные расширения по-прежнему оставались доступны в Chrome Web Store. Google пока никак это не комментирует.
Пользователям рекомендуется выполнить поиск установленных расширений согласно представленным идентификаторам Socket и немедленно их удалить в случае обнаружения.
Socket
108 Chrome Extensions Linked to Data Exfiltration and Sessio...
Campaign of 108 extensions harvests identities, steals sessions, and adds backdoors to browsers, all tied to the same C2 infrastructure.