39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Не можем не отметить очередной резонансный инцидент, который продолжает цепочку «инспирированных» сливов в отношении ведущих отраслевых игроков (как ИБ-компании, так и APT-акторы).
Новая утечка затрагивает китайскую KnownSec, специализирующейся на ИБ, которая последовала в результате взлома еще 2023 года.
Хакер, предположительно, использовал три 0-day для взлома систем KnownSec, что вовсе не смахивает на «рядовую» кибератаку.
По данным Natto Thoughts, в компании не знали об утечке, пока файлы не стали циркулировать в киберподполье.
Некто Gommzystudio на GitHub вывалил общедоступный инструмент, позволяющий отслеживать активность более трех млрд. пользователей WhatsApp и Signal.
Зная лишь номер телефона, злоумышленники теперь могут определить, когда пользователь возвращаются домой, когда активно использует телефон, когда ложится спать или когда находится вне сети.
Кроме того, поддерживается функция скрытого снижения заряда и генерации стороннего трафика.
В основе отслеживания активности пользователей используются фундаментальные особенности работы протоколов обмена сообщениями WhatsApp или Signal - метод злоупотребляет подтверждениями доставки для расчета времени кругового пути (RTT) сигнала.
По всей видимости, любой пользователь способен отправить пинг на целевое устройство, при этом приложение ответит, а время отклика будет сильно варьироваться в зависимости от того, что происходит с телефоном, используется Wi-Fi или мобильные данные.
Впервые эту уязвимость, получившую название Silent Whisper, исследователи из Венского университета имени Гегенхубера и SBA Research раскрыли еще в прошлом году.
В частности, отмечалось, что противник может создавать скрытые сообщения, позволяющие с высокой частотой (до долей секунды) исследовать цель, не вызывая при этом никаких уведомлений со стороны цели и даже в отсутствие текущего разговора.
Результаты исследования gommzystudio трансформировал в работающую утилиту, демонстрирующую, насколько легко отслеживать активность пользователей мессенджеров.
Мессенджеры отправляют уведомления о доставке и прочтении всякий раз, когда пользователь получает сообщение или реагирует на него.
Однако для получения этих уведомлений злоумышленникам не нужно отправлять какие-либо реальные сообщения. Вместо этого они могут «реагировать» на несуществующие сообщения.
Как пояснил gommzystudio, трекер отправляет сообщения-реакции на несуществующие идентификаторы сообщений, что не вызывает никаких уведомлений на целевом устройстве.
Приложения отвечают, не проверив, существует ли сообщение/реакция на самом деле, поскольку для подтверждения приема сетевых пакетов на низком уровне автоматически отправляются подтверждения доставки (ACK).
На Reddit gommzystudio рассказал, как ему удавалось рассылать зондирующие запросы с интервалом примерно в 50 мс, а целевой пользователь ничего не видел - ни всплывающих окон, ни уведомлений, ни сообщений, ничего не отображалось в пользовательском интерфейсе.
При этом на устройство начиналась быстрая разрядка батареи, а потребление мобильного трафика значительно возрастало.
При этом жертва не сможет обнаружить ничего из этого, пока физически не подключит девай к компьютеру и не изучит его содержимое.
Реализуя 20 и более пингов в секунду, можно фиксировать поведение пользователя: когда человек, вероятно, находится дома (стабильное время отклика Wi-Fi), когда он, скорее всего, спит (длительные периоды ожидания/отключения), когда он находится вне дома и передвигается (характеристики времени отклика мобильных данных).
В оригинальной статье подробно описаны и другие различные способы, которыми злоумышленники могут реализовать эту уязвимость.
По части батареи исследователи смогли значительно увеличить расход заряда.
Как правило, телефон в режиме ожидания потребляет менее 1% заряда в час. Однако в ходе тестов с WhatsApp iPhone 13 Pro терял 14% в час, iPhone 11 - 18%, а Samsung Galaxy S23 - 15%.
Однако Signal внедрил ограничение скорости получения уведомлений, чего не было в WhatsApp. Поэтому после часа атаки заряд батареи снизился всего на 1%.
Возможная вредоносная активность также расходует трафик, ухудшая удобство использования других ресурсоемкими приложениями, такими как видеозвонки.
Кроме того, уязвимость RTT позволяла также зондировать местоположение пользователя.
Исследователь отдельно предупреждает, что по состоянию на декабрь 2025 года эта уязвимость по-прежнему может быть реализована в WhatsApp и Signal.
Исследователи Zimperium сообщают о новой вредоносной ПО для Android, получившей название DroidLock, которая способна блокировать экраны жертв и выводить требования выкупа, одновременно получая доступ к широкому кругу данных.
Фактически DroidLLock позволяет оператору получить полный контроль над устройством через систему совместного доступа VNC, а также выкрасть графический ключ блокировки устройства, наложив его на экран.
По данным Zimperium, вредоносное ПО нацелено на испаноязычных пользователей и распространяется через вредоносные веб-сайты с рекламой фейковых приложений, иммигрирующих под легитимные программы.
Заражение начинается с загрузчика, который обманом заставляет пользователя установить дополнительную полезную нагрузку, содержащую собственно вредоносное ПО.
Вредоносные приложения внедряют основную полезную нагрузку посредством запроса на обновление, а затем запрашивают разрешения администратора устройства и службы специальных возможностей, что позволяет им совершать мошеннические действия.
Среди возможных действий - стирание данных с устройства, блокировка, изменение PIN-кода, пароля или биометрических данных для предотвращения доступа пользователя к устройству.
Анализ Zimperium позволил выделить у DroidLock поддержку 15 команд, позволяющих отправлять уведомления, размещать наложение на экране, отключать звук устройства, сбрасывать настройки до заводских, запускать камеру или удалять приложения.
Внешнее окно программы-вымогателя отображается через WebView сразу после получения соответствующей команды, инструктируя жертву связаться с злоумышленником по адресу электронной почты на Proton.
Владельцу девайса предъявляются требования по уплате выкупа в течение 24 часов, в противном случае операторы угрожают безвозвратно уничтожить файлы.
При этом в Zimperium поясняют, что DroidLock не шифрует файлы, но, угрожая их уничтожением без выкупа, достигает той же цели.
Кроме того, злоумышленник может заблокировать доступ к устройству, изменив код блокировки.
DroidLock способен красть графический ключ блокировки с помощью другого наложения, загруженного из ресурсов вредоносного APK-файла.
Когда пользователь рисует графический ключ на клонированном интерфейсе, он отправляет его напрямую злоумышленнику.
Цель этой функции - обеспечить удаленный доступ к устройству через VNC в периоды простоя.
Будучи членом альянса Google App Defense Alliance, Zimperium поделилась своими результатами с командой безопасности Android, благодаря чему Play Protect теперь обнаруживает и блокирует эту угрозу на современных устройствах.
Полный список МОК доступен в этом репозитории.
Исследователи Cydome сообщают об обнаружении нового ботнета под названием Broadside, который нацелен на сектор морской логистики и судоходства.
Новый ботнет на базе Mirai нацелен на уязвимые цифровые видеорегистраторы DVR компании TBK Vision, подверженные CVE-2024-3721, представляющей собой ошибку внедрения команд, которую можно использовать удаленно для выполнения произвольного кода.
Недостаточная проверка входных данных, предоставляемых пользователем, позволяет удаленным, неаутентифицированным злоумышленникам выполнять произвольный код посредством специально сформированных HTTP-запросов.
Уязвимость затрагивает устройства TBK DVR-4104 и DVR-4216, однако ее влияние оказалось шире, ведь эти модели TBK также реализуются под другими брендами, включая CeNova, HVR Login, Night Owl, Novo, Pulnix, QSee и Securus.
Ошибка была раскрыта в апреле 2024 года, тогда же появился PoC, а к середине 2025 года эту уязвимость уже использовали несколько ботнетов, ориентированных на DDoS.
В начале июня исследователи Лаборатории Касперского фиксировали более 50 000 зараженных устройств DVR, дислоцированных в Китае, Индии, Египте, Украине, России, Турции и Бразилии.
Несколько недель спустя Fortinet также предупреждала о всплеске попыток эксплуатации уязвимости, приписываемых ботнетам Condi, Fodcha, Mirai и Unstable.
Теперь, по данным Cydome, на CVE-2024-3721 переключился ботнет Broadside, нацеленный на уязвимые устройства для выполнения скрипта массовой загрузки непосредственно в их память.
Загрузчик вслепую пытается загрузить и запустить полезные нагрузки, адаптированные под поддерживаемые архитектуры, выполняет вредоносное ПО в памяти и удаляет артефакты, чтобы избежать обнаружения.
Как и другие последователи Mirai, Broadside обладает возможностями DDoS посредством UDP-флуда, но использует собственный протокол C2 и сокеты ядра Netlink для мониторинга процессов.
Cydome также выявила попытки вредоносного ПО получить доступ к файлам учетных данных системы, вероятно, для горизонтального перемещения в скомпрометированную сеть.
Кроме того, Broadside имеет модуль завершения процессов, который пытается сохранить контроль над устройством, завершая процессы, соответствующие определенным шаблонам, не прошедшие проверки или считающиеся враждебными.
Компания при этом особый акцент делает на рисках, которые несет новая кампания для судоходных компаний, поскольку атакуемые цифровые видеорегистраторы повсеместно используются на судах.
Так что, зараженные устройства могут быть использованы для перехвата видео с камер на судне, злоупотребления спутниковой связью или вовсе для проникновения в критически важные системы корабля.
Intel обнаружила три уязвимости, затрагивающие стандарт PCIe Integrity and Data Encryption (IDE) - CVE-2025-9612, CVE-2025-9613 и CVE-2025-9614, которые могут быть использованы для раскрытия информации, повышения привилегий или DoS-атаки.
PCIe - это широко используемый высокоскоростной аппаратный интерфейсный стандарт, применяемый для подключения графических процессоров, твердотельных накопителей, сетевых карт и других периферийных устройств внутри компьютеров и серверов.
Он также служит прямым каналом связи между центральным процессором и этими периферийными устройствами.
Интерфейс PCIe IDE, представленный в PCIe 6.0, предназначен для обеспечения безопасности передачи данных посредством шифрования и защиты целостности.
IDE использует шифрование AES-GCM для защиты конфиденциальности, целостности и устойчивости к повторному воспроизведению трафика между компонентами PCIe.
Работает между уровнем транзакций и канальным уровнем, обеспечивая защиту вблизи оборудования от несанкционированного изменения трафика канала связи.
Обнаруженные уязвимости на уровне спецификаций могут при определенных условиях привести к использованию устаревших или некорректных данных, если злоумышленнику удастся сформировать определенные шаблоны трафика на интерфейсе PCIe.
Однако все уязвимости были классифицированы как имеющие низкую степень серьезности, поскольку для их эксплуатации требуется физический или низкоуровневый доступ к интерфейсу PCIe IDE целевого компьютера.
Однако подобные уязвимости могут быть полезны исследователям, специализирующимся на аппаратной безопасности, или опытным злоумышленникам, стремящимся получить глубокий и скрытый доступ к системе в ходе целенаправленной атаки.
Группа PCI (SIG), консорциум, ответственный за разработку и поддержку PCIe, опубликовала свой бюллетень, в котором кратко изложена каждая из уязвимостей.
Производители оборудования, использующим PCIe, получили уведомления Engineering Change Notification, устраняющее уязвимости.
Так что теперь изучают потенциальное влияние трех недавно обнаруженных уязвимостей PCI Express (PCIe) и, как ожидается, выпустят обновления.
Правда, только Intel и AMD к настояшщему времени подтвердили, что их продукция затронута, а в Nvidia, Dell, F5 и Keysight заявили, что их на их продукцию уязвимости не повлияли.
Однако в списке потенциально уязвимых еще более чем десяток других производителей с «неизвестным» статусом влияния, включая Arm, Cisco, Google, HP, IBM, Lenovo и Qualcomm.
Intel опубликовала собственное уведомление, информирующее клиентов о том, что некоторые процессоры серий Xeon 6 и Xeon 6700P-B/6500P-B затронуты данной проблемой.
В свою очередь, AMD также выкатила предупреждение. В компании заявляют, что всё ещё ожидают дополнительных подробностей об уязвимостях, но считают, что они могут затронуть процессоры серии EPYC 9005 (включая встроенные).
🥷 SimpleX Chat подтвердила факт взлома своего корпоративного аккаунта в социальной сети X
Стало известно, что злоумышленники проэксплуатировали архитектурную особенность инструмента «Delegation» (делегирование) в социальной сети X и скрытно назначили сторонний аккаунт на роль администратора профиля SimpleX Chat, получив возможность постинга твитов, связанных с криптоскамом.
Команда проекта оперативно сменила пароль основной учетной записи, однако согласно технической документации платформы это действие не аннулирует права доступа уже авторизованных делегатов. Хакеры воспользовались этой уловкой для публикации фишинговой ссылки на сайт 😷simplexspot[.]com с целью хищения средств через подключение криптокошельков. Продержался скам-пост около 3 часов.
Сайт злоумышленников визуально копировал официальный дизайн платформы с использованием идентичных шрифтов и ложных упоминаний об аудитах безопасности 2022 и 2024 годов, чтобы вызвать доверие юзеров. Более 30 верифицированных пользователей получили в личные сообщения призывы поддержать фальшивую инициативу и принять участие в несуществующей программе «раннего доступа».
Инцидент осложнился сбоем в работе двухфакторной аутентификации, из-за чего владельцы не смогли войти в систему и вручную отозвать права у вредоносного администратора до выхода поста.
Евгений Поберезкин подтвердил успешное возвращение контроля над официальным аккаунтом @SimpleXChat и удаление мошеннической публикации. На момент написания твита Евгению было непонятно, каким именно образом хакерам удалось добавить своего делегата в настройки безопасности основного аккаунта.
👆Разработчики настоятельно рекомендуют пользователям игнорировать предложения о подключении кошельков и уже направили жалобы облачным провайдерам для блокировки вредоносного ресурса.
✋ @Russian_OSINT
Koi Security обнаружили два вредоносных расширения для популярной интегрированной среды разработки (IDE) в Visual Studio Code Marketplace от Microsoft, которые заражают компьютеры разработчиков инфокрадами.
Bitcoin Black и Codo AI мимикрируют под цветовую тему и ИИ-помощника соответственно, были опубликованы разработчиком с именем BigBlack.
По данным Koi Security, вредоносное расширение Bitcoin Black содержит событие активации «*», которое выполняется при каждом действии VSCode.
Оно также позволяет запускать код PowerShell, чего ва реальности не требуется для темы и должно вызывать опасения.
В более старых версиях Bitcoin Black использовался скрипт PowerShell для загрузки и выполнения защищенной паролем архивной полезной нагрузки с внешнего сервера с помощью четырех различных методов: Expand-Archive Windows, .NET System.IO.Compression, DotNetZip и 7-Zip.
Однако в более поздних версиях процесс перестроился на пакетный скрипт (bat.sh), который вызывает curl для загрузки DLL-файла и исполняемого файла, а действие происходит при скрытом окне.
В то время как BigBlack.bitcoin-black активируется при каждом действии VS Code, Codo AI встраивает свой вредоносный функционал в рабочий инструмент, тем самым позволяя ему обходить обнаружение.
Как отмечают в Koi Security, Codo AI имеет функцию помощи при написании кода через ChatGPT или DeepSeek, но также включает в себя вредоносный раздел.
Оба расширения предоставляют легитимный исполняемый файл инструмента для создания снимков экрана Lightshot и вредоносный файл DLL, который загружается с помощью техники перехвата DLL для развертывания стилера под именем runtime.exe.
Причем вредоносная DLL-библиотека детектируется как угроза 29 из 72 антивирусных систем на Virus Total.
Вредоносная ПО создает каталог в %APPDATA%\Local\ с именем Evelyn для хранения украденных данных: сведений о запущенных процессах, содержимого буфера обмена, данных Wi-Fi, системной информации, снимков экрана, списка установленных программ и запущенных процессов.
Для кражи cookie и перехвата сеансов пользователей, вредоносная ПО запускает браузеры Chrome и Edge в автономном режиме.
Кроме того, реализует доступ к криптокошелькам Phantom, Metamask и Exodus, похищая пароли и учётные данные.
В свою очередь, в Microsoft оперативно удалила оба вредоносных расширения из VSCode Market.
При этом согласно списку удаленных расширений, Microsoft видимо дропунула и третий пакет под названием BigBlack.mrbigblacktheme от того же издателя за содержание вредоносного ПО.
Исследователи Sophos сообщают об активном задействовании бандами вымогателей платформу «packer-as-a-service» под названием Shanya EXE, которая позволяет развертывать полезные нагрузки, отключая EDR-решения в системах жертв.
Сервис предоставляет хакерам специализированные инструменты для упаковки своих полезных данных таким образом, чтобы скрыть вредоносный код и избежать обнаружения большинством известных средств безопасности и антивирусных модулей.
Shanya Packer стартовала в конце 2024 года и с тех пор обрела большую популярность: по данным телеметрии Sophos, образцы вредоносного ПО, использующего ее, были обнаружены в Тунисе, ОАЭ, Коста-Рике, Нигерии и Пакистане.
Среди банд, отметившихся использованием Shanya EXE, - Medusa, Qilin, Crytox и Akira, причем последняя наиболее активно обращалась к услугам PaaS.
Схема работы сервиса устроена следующим образом.
Злоумышленники отправляют свои вредоносные данные в Shanya, а сервис возвращает «упакованную» версию с пользовательской оболочкой, использующей шифрование и сжатие.
Сервис продвигает уникальность получаемых полезных нагрузок, подчеркивая «нестандартную загрузку модуля в память, обертку над системным загрузчиком, уникализацию заглушки».
При этом каждый клиент при покупке получает «собственную» (относительно) уникальную заглушку с уникальным алгоритмом шифрования».
Полезная нагрузка внедряется в отображенную в памяти копию DLL-файла Windows shell32.dll, который имеет исполняемые разделы и размер, а его путь выглядит корректно, но заголовок и раздел .text перезаписывается расшифрованной полезной нагрузкой.
Несмотря на то, что полезная нагрузка зашифрована внутри упакованного файла, она расшифровывается и распаковывается, оставаясь полностью в памяти, а затем реализуется в файле копии shell32.dll, никогда не попадая на диск.
Как обнаружили исследователи Sophos, Shanya выполняет проверку EDR-решений, вызывая функцию RtlDeleteFunctionTable в недопустимом контексте.
Это приводит к необработанному исключению или сбою при запуске в отладчике пользовательского режима, нарушая автоматизированный анализ до полного выполнения полезной нагрузки.
Выполнение обычно происходит посредством загрузки DLL-файла, объединяющего легальный исполняемый файл Windows, такой как consent.exe, с вредоносным DLL, упакованным Shanya, например msimg32.dll, version.dll, rtworkq.dll или wmsgapi.dll.
Согласно анализу Sophos, EDR killer удаляет два драйвера: легально подписанный ThrottleStop.sys (rwdrv.sys) от TechPowerUp, который содержит уязвимость, позволяющую выполнять произвольную запись в память ядра, и неподписанный hlpdrv.sys.
Подписанный драйвер используется для повышения привилегий, тогда как hlpdrv.sys отключает продукты безопасности на основе команд, полученных из пользовательского режима.
Компонент пользовательского режима сканирует запущенные процессы и установленные службы, а затем сравнивает результаты с записями в жестко запрограммированном списке, отправляя команду kill вредоносному драйверу ядра для каждого совпадения.
Помимо операторов ransomware, заинтересованных в отключении EDR, Sophos также наблюдала кампании ClickFix, использующие сервис Shanya для упаковки вредоносного ПО CastleRAT.
Индикаторы компрометации - в отчете.
Исследователи продолжают оценивать влияние React2Shell.
Согласно опросу разработчиков Stack Overflow за 2025 год, более половины современных веб-разработок так или иначе используют React.
В Palo Alto Networks утверждают, что только согласно ее внутренней телеметрии выявлено более 968 000 экземпляров React и Next.js.
Censys отмечает 293 000 более открытых веб-сервисов, использующих компоненты React Server или уязвимые фреймворки и, как сообшают GreyNoise и VulnCheck, сканирование на наличие уязвимых конечных точек уже ведется.
При этом, по данным Shadowserver Foundation, более 77 000 IP-адресов, доступных в Интернете, уязвимы к критической React2Shell (CVE-2025-55182).
GreyNoise также зафиксировала 181 IP-адрес, с которых производились попытки эксплуатации уязвимости за последние 24 часа, причём большая часть трафика, по-видимому, была автоматизированной.
Исследователи отмечают, что сканирование в основном осуществляется из Нидерландов, Китая, США, Гонконга и небольшого числа других стран.
Что вовсе неудивительно, ведь на следующий день после раскрытия уязвимости 3 декабря, исследователь Maple3142 опубликовал работающую версию PoC, демонстрирующую RCE на необновлённых серверах.
Вскоре после этого поиск уязвимости быстро активизировался, поскольку злоумышленники и исследователи начали использовать общедоступный эксплойт в автоматизированных инструментах.
По данным Palo Alto Networks, более 30 организаций уже подверглись атаке из-за уязвимости React2Shell, при этом злоумышленники использовали ее для запуска команд, проведения разведки и попыток кражи файлов конфигурации и учетных данных AWS.
Активность приписали китайской STA-1015 (UNC5174), которая осуществляла развертывание вредоносных ПО Snowlight и Vshell.
AWS сообщила, что по крайней мере две известные группы, связанные с Китаем, Earth Lamia и Jackpot Panda, использовали её в своих атаках с 3 декабря.
Wiz также уведомила о выявлении «множества жертв» с 5 декабря, в основном приложений Next.js и контейнеров Kubernetes.
Компания зафиксировала попытки кражи учётных данных AWS, развертывания Sliver и доставки майнеров криптовалюты.
Ellio сталкивалась с атаками React2Shell, и только 2% из них ограничивались разведывательными целями.
Примерно в 65% атак была предпринята попытка внедрить вредоносное ПО Mirai, которое обычно используется для создания ботнетов, а также для майнинга крипты.
Исправления были выпущены на прошлой неделе.
Поставщики CDN, такие как AWS, Cloudflare и Fastly, также развернули собственные средства защиты. Но не все прошло гладко.
Временные исправления Cloudflare в своем WAF привели к сбою, затронувшему множество сайтов, прежде чем правила были исправлены.
Организациям, использующим компоненты React Server или созданные на их основе фреймворки, рекомендуется немедленно применить обновления, пересобрать и повторно развернуть свои приложения, а также просмотреть журналы на предмет признаков выполнения команд PowerShell или оболочки.
Ну, а мы продолжаем следить.
Apache Tika обнаружена критическая уязвимость, которая приводит к атаке с внедрением внешней сущности XML (XXE).
CVE-2025-66516 имеет рейтинг 10,0 и затрагивает модули Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) и tika-parsers (1.13-1.28.5) на всех платформах, позволяя выполнить внедрение внешней сущности XML с помощью специально созданного файла XFA внутри PDF-файла.
Это влияет на следующие пакеты Maven:
- org.apache.tika:tika-core >= 1.13, <= 3.2.1 (исправлено в версии 3.2.2)
- org.apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1 (исправлено в версии 3.2.2)
- org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (исправлено в версии 2.0.0)
При этом CVE-2025-66516 коррелирует с другой уязвимостью CVE-2025-54988 (CVSS: 8,4).
Это еще одна XXE-уязвимость в фреймворке обнаружения и анализа контента, которая была исправлена разработчиками проекта в августе 2025 года.
По словам команды Apache Tika, новая уязвимость CVE расширяет область действия уязвимых пакетов двумя способами.
Во-первых, точкой входа для уязвимости был модуль tika-parser-pdf-module, как указано в CVE-2025-54988, уязвимость и её исправление находились в модуле tika-core.
Пользователи, обновившие модуль tika-parser-pdf-module, но не обновившие tika-core до версии 3.2.2 и выше, всё равно уязвимы.
Во-вторых, в исходном отчёте не упоминалось, что в версиях Tika 1.x PDFParser находился в модуле org.apache.tika:tika-parsers.
Учитывая критичность уязвимости, пользователям рекомендуется как можно скорее установить обновления, чтобы снизить риски потенциальных угроз.
Исследователи Лаборатории Касперского в новом отчете представили результаты своих исследований в отношении недавней громкой атаки на цепочку поставок Shai Hulud 2.0.
Впервые Shai-Hulud попал в заголовки новостей в сентябре, в которых обращалось внимание на распространение вредоносного ПО через скомпрометированные пакеты Node Package Manager (npm).
Тогда ЛК опубликовала её подробный анализ, недавно появилась новая версия.
Как отмечают в ЛК, Shai Hulud 2.0 - это тип двухэтапного червеобразного вредоносного ПО, которое распространяется путём компрометации токенов npm для повторной публикации доверенных пакетов с вредоносным содержимым.
Более 800 пакетов npm заразились этой версией червя.
По данным телеметрии, жертвами этой кампании стали отдельные лица и организации по всему миру, при этом больше всего случаев заражения зафиксировано в России, Индии, Вьетнаме, Бразилии, Китае, Турции и Франции.
Когда разработчик устанавливает зараженный пакет npm, скрипт setup_bun.js запускается на этапе предустановки, как указано в измененном файле package.json.
Причем setup_bun.js намеренно не обфусцирован и хорошо документирован, чтобы замаскироваться под безобидный инструмент для установки легитимной среды выполнения Bun JavaScript.
Он проверяет распространённые пути установки Bun и, если среда выполнения отсутствует, устанавливает её из официального источника в соответствии с платформой, реализуя подготовку среды выполнения для последующих этапов вредоносной ПО.
Затем установленная среда выполнения Bun запускает полезную нагрузку второго этапа, bun_environment.js, вредоносный скрипт размером 10 МБ, обфусцированный с помощью инструмента, похожего на obfuscate.io (фактически основная вредоносная активность).
Shai Hulud 2.0 создан для сбора секретов из различных сред.
После запуска он немедленно ищет конфиденциальные данные в нескольких источниках: секреты GitHub, учетные данные облака AWS, Azure и Google Cloud, локальные файлы (с помощью сканирования TruffleHog).
Затем все извлеченные данные отправляются по установленному каналу связи через публичный репозиторий GitHub с помощью токена доступа жертвы.
После этого вредоносная ПО создаёт репозиторий со случайно сгенерированным 18-символьным именем и маркером в описании, который затем служит хранилищем данных, куда загружаются все украденные учётные данные и системная информация.
Если токен не найден, скрипт пытается получить ранее украденный токен у другой жертвы, выполняя поиск в репозиториях GitHub на наличие тех, в описании которых содержится текст «Sha1-Hulud: The Second Coming».
Для последующей саморепликации посредством встраивания в пакеты npm скрипт сканирует файлы конфигурации npmrc в домашнем каталоге и текущем каталоге в попытке найти токен авторизации реестра npm.
Если это удается, он проверяет токен, отправляя запрос на проверку к конечной точке API npm /-/whoami, после чего скрипт извлекает список из 100 пакетов, поддерживаемых жертвой.
Для каждого пакета он внедряет вредоносные файлы setup_bun.js и bun_environment.js через bundleAssets и обновляет конфигурацию пакета, устанавливая setup_bun.js в качестве предустановочного скрипта и увеличивая версию пакета.
Изменённый пакет затем публикуется в реестре npm.
Если вредоносная ПО не может получить токен npm и GitHub, что делает кражу данных невозможной, она запускает разрушительную полезную нагрузку, которая стирает пользовательские файлы, в первую очередь те, которые находятся в домашнем каталоге.
С сентября этого года Лаборатория Касперского заблокировала более 1700 атак Shai Hulud 2.0 на компьютеры пользователей.
Из них 18,5% затронули пользователей в России, 10,7% - в Индии и 9,7% - в Бразилии.
В ЛК продолжают отслеживать вредоносную активность, предоставляя актуальную информацию через Kaspersky Open Source Software Threats Data Feed, которая включает все пакеты, затронутые Shai-Hulud, а также информацию о других опенсорс-компонентах с вредоносным поведением.
Вышло масштабное совместное расследование на базе Intellexa Leaks от Inside Story, Haaretz и WAV Research Collective, в котором раскрываются особенности шпионского ПО Predator от Intellexa и механизм ZeroClick-заражения через вредоносную рекламу, получивший название Aladdin.
Как сообщается, Aladdin был впервые развернут в 2024 году, до сих пор функционирует и активно развивается.
Он задействует коммерческую систему мобильной рекламы для доставки вредоносного ПО.
Механизм принудительно показывает вредоносную рекламу определенным целям, идентифицированным по их публичному IP и другим идентификаторам через размещение посредством Demand Side Platform (DSP) на любом сайте, участвующем в рекламной сети.
Как отмечает Amnesty International, эта вредоносная реклама может быть размещена на любом веб-сайте, включая новостной портал или мобильное приложение, и выглядит так же, как и любая другая реклама, которую может увидеть получатель.
При этом для заражения целевого устройства достаточно простого просмотра рекламы и нет необходимости кликать по ней. Однако подробностей того, как именно реализуется заражение нет.
Очевидно, что реклама вызывает перенаправление на серверы доставки эксплойтов Intellexa.
Подобные рекламные объявления распространяются через сложную сеть маркетинговых фирм, разбросанных по разным странам, включая Ирландию, Германию, Швейцарию, Грецию, Кипр, ОАЭ и Венгрию.
Признанная желательной в России Recorded Future более подробно изучила рекламную сеть, связав воедино ключевых персон, компании и инфраструктуру, назвав некоторые из них в своем отчете.
Защититься от заражения практически невозможно, но блокировка рекламы в браузере станет хорошим подспорьем.
Еще одной потенциальной мерой защиты могла бы стать настройка браузера на сокрытие публичного IP от трекеров.
Однако просочившиеся документы показывают, что Intellexa по-прежнему может получать информацию от местных операторов мобильной связи в странах дислокации своих клиентов.
Еще одним важным открытием стало подтверждение другого вектора доставки под названием Triton, который реализует атаки на устройства Samsung Exynos с помощью эксплойтов в базовой полосе частот, вызывая понижение сети до 2G, что создает условия для заражения.
В Amnesty International не уверены в том, используется ли этот вектор до сих пор, и отмечают, что существуют два других, возможно, похожих механизма доставки под кодовыми названиями Тор и Oberon, которые, как считается, связаны с радиосвязью или физическим доступом.
исследователи Google также окрестили Intellexa одним из самых высокоуровневых поставщиков коммерческого spyware с точки зрения эксплуатации 0-day.
На него пришлось 15 из 70 случаев эксплуатации нулей, обнаруженных и задокументированных TAG с 2021 года.
Google полагает, что Intellexa разрабатывает собственные эксплойты, а также приобретает цепочки эксплойтов у сторонних организаций для большего охвата всего спектра возможных атак.
По данным Amnesty International, несмотря на санкции и продолжающиеся расследования в отношении Intellexa в Греции, оператор шпионского ПО по-прежнему активен.
Поскольку Predator становится все более агрессивным и скрытным, пользователям рекомендуется рассмотреть возможность включения дополнительной защиты на своих мобильных устройствах, например, Advanced Protection на Android и Lockdown Mode на iOS.
Microsoft вновь уличили в «тихом устранении» серьезной уязвимости Windows LNK, которая задействовалась в атаках продвинутых акторов в качестве 0-day.
CVE-2025-9491 позволяет скрывать вредоносные команды в LNK-файлах, которые могут использоваться для развертывания вредоносного ПО на скомпрометированных устройствах.
Однако для реализации атак требуется взаимодействие с пользователем, поскольку жертва должна открыть вредоносные файлы Windows Shell Link (.lnk), которые злоумышленники обычно распространяют в ZIP или других архивах.
Уязвимость связана с тем, как Windows обрабатывает LNK, позволяя злоумышленникам использовать способ их отображения.
Для уклонения от обнаружения и выполнения кода на уязвимых устройствах без ведома пользователя, поле «target» в файлах LNK Windows заполняется пробелами, что позволяет скрыть вредоносные аргументы командной строки.
Таким образом в свойствах поля файла будут отображаться только первые 260 символов в виду добавленных пробелов, поэтому пользователи не смогут увидеть фактическую команду, выполняемую открытии LNK.
Исследователи Trend Micro в марте 2025 года обнаружили, что CVE-2025-9491 уже широко использовалась 11 APT и такими группировками, как Evil Corp, Bitter, APT37, APT43 (Kimsuky), Mustang Panda, SideWinder, RedHotel, Konni и др.
Аналогичную эксплуатацию наблюдали и в Arctic Wolf Labs.
Правда в Microsoft, вероятно, были не в курсе и в марте заявили, что «рассмотрят возможность устранения» этой 0-day, но она «не достигла уровня немедленного устранения».
В ноябре компания также не считала CVE-2025-9491 уязвимостью «в виду взаимодействия с пользователем и того факта, что система уже предупреждает пользователей о том, что этот формат ненадежен», несмотря на возможности обхода Mark of the Web.
Но что-то пошло не так и, как заметили в ACROS Security, Microsoft все же незаметно поработала над LNK в ноябрьских обновлениях, очевидно, пытаясь смягчить уязвимость CVE-2025-9491.
После установки обновлений прошлого месяца пользователи теперь видят все символы в поле при открытии свойств LNK-файлов, а не только первые 260.
Однако это в ACROS Security полагают, что принятые меры недостаточны, ведь вредоносные аргументы, добавленные в LNK-файлы, не будут удалены, и пользователь не получит предупреждения при открытии LNK-файлов со строкой Target, превышающей 260 символов.
Так что, как обычно, спецам ACROS Security пришлось проделать всю работу самим пока микромягкие в очередной раз тормозят с адекватным исправлением.
Компания выпустила неофициальный патч через свою платформу микропатчей 0Patch, который ограничивает длину всех строк ярлыков до 260 символов и предупреждает пользователей о потенциальной опасности открытия ярлыков с необычно длинными строками.
Неофициальное исправление для CVE-2025-9491 доступно для пользователей 0patch, использующих версии Windows, поддержка которых прекращена (Windows 7 - Windows 11 22H2 и Windows Server 2008 R2 – Windows Server 2022).
Aisuru продолжает лютовать: всего за три месяца реализовал более 1300 распределенных DDoS-атак, одна из которых обновила рекорд, достигнув пика в 29,7 терабит в секунду.
Aisuru представляет собой ботнетов-сервис, включающий целую армию маршрутизаторов и IoT-устройств, скомпрометированных с помощью известных уязвимостей и брута слабых учетных данных.
По оценкам Cloudflare, ботнет использует от одного до четырех млн. зараженных хостов по всему миру.
В третьем квартале компания отбила самую масштабную гиперобъемную атаку с устройств Aisuru.
Предыдущая рекордная DDoS-атака достигла пика в 22,2 Тбит/с, также была отражена Cloudflare и со средней степенью уверенности была приписана Aisuru.
Недавно Microsoft сообщала, что тот же ботнет атаковал её сеть Azure, организовав массированную DDoS-атаку мощностью 15 Тбит/с с 500 000 IP-адресов.
Cloudflare отмечает, что с начала года ей удалось отразить 2867 атак Aisuru, почти 45% из которых были гиперобъемными - атаки, превышающие 1 Тбит/с или 1 млрд. пакетов в секунду (Bpps).
Цель рекордного инцидента не названа, но известно, что атака длилась 69 секунд и достигла пиковой скорости 29,7 Тбит/с.
В ней использовалась ковровая бомбардировка UDP для направления «мусорного» трафика в среднем на 15 000 портов назначения в секунду.
Еще одна масштабная DDoS-атака, отраженная компанией, достигала мощности 14,1 млрд пакетов в секунду.
Тем не менее Cloudflare полагает, что атаки Aisuru могут быть весьма разрушительными, а объем трафика способен вывести из строя интернет-провайдеров (ISP), даже если они не подвергаются прямым атакам.
Причем телеметрия Cloudflare четко показывает, что в этом году наблюдается устойчивый рост числа масштабных DDoS-атак со стороны ботнета Aisuru, фиксируя 1304 инцидента только за третий квартал.
По словам исследователей, Aisuru нацелен на компании из различных секторов, включая игровую индустрию, хостинг-провайдеров, телеком и финансы
Количество DDoS-атак, превышающих 100 Мбит/с, увеличилось на 189% по сравнению с предыдущим кварталом, а количество DDoS-атак, превышающих 1 Тбит/с, увеличилось более чем вдвое (на 227%) по сравнению с предыдущим кварталом.
По данным Cloudflare, большинство атак завершаются менее чем за 10 минут, практически не оставляя времени для реагирования.
Краткосрочная атака может продлиться всего несколько секунд, но ущерб может быть серьезным, а восстановление займет много времени.
По количеству DDoS-атак прошедший квартал не достиг уровня первого квартала, однако статистика 2025 года по-прежнему опережать по показателям предыдущие годы, и это без учета ноября и декабря.
В целом, Cloudflare в третьем квартале отражала в среднем 3780 DDoS-атак каждый час, большинство из которых исходили из Индонезии, Таиланда, Бангладеш и Эквадора и были направлены на Китай, Турцию, Германию, Бразилию и США.
Wordfence предупреждает о критической EoP-уязвимости (CVE-2025–8489) в плагине King Addons for Elementor для WordPress, которая позволяет им получить административные разрешения во время процесса регистрации и активно задействуется в реальных атаках.
Активность была замечена 31 октября, всего через день после того, как проблема была публично раскрыта.
К настоящему моменту Wordfence заблокировала более 48 400 попыток реализации эксплойта.
King Addons - это стороннее дополнение для Elementor, популярного плагина визуального конструктора страниц для сайтов на WordPress, предоставляющее дополнительные виджеты, шаблоны и функции.
CVE-2025–8489 была обнаружена исследователем Питером Талейкисом и представляет собой уязвимость в обработчике регистрации плагина, которая позволяет любому зарегистрировавшемуся пользователю указать свою роль пользователя на веб-сайте, включая администратора, без применения каких-либо ограничений.
По данным Wordfence, злоумышленники отправляют специально созданный запрос admin-ajax.php, указав user_role=administrator, для создания подконтрольных учетных записей администраторов на целевых сайтах.
Исследователи отметили пик вредоносной активности между 9 и 10 ноября, при этом наиболее активными были два IP-адреса: 45.61.157.120 (28 900 попыток) и 2602:fa59:3:424::1 (16 900 попыток).
При этом Wordfence раскрывает также полный список вредоносных IP-адресов и рекомендует администраторам сайтов осуществить их поиск в файлах журналов. Наличие новых учётных записей администраторов также является явным признаком взлома.
Безусловно, рекомендуется обновиться до версии 51.1.35 King Addons, которая устраняет уязвимость CVE-2025–8489, выпущенную 25 сентября.
Помимо CVE-2025–8489 исследователи Wordfence также предупреждают о еще одной критической уязвимости в плагине Advanced Custom Fields: Extended, активном на более чем 100 000 сайтов WordPress, которая может быть использована неавторизованным злоумышленником для RCE.
Уязвимость затрагивает версии плагина с 0.9.0.5 по 0.9.1.1 и в настоящее время отслеживается как CVE-2025-13486.
Она была обнаружена и раскрыта польским CERT.
Уязвимость обусловлена тем, что функция принимает пользовательский ввод и затем передает его через call_user_func_array(), что позволяет неаутентифицированным злоумышленникам выполнять произвольный код на сервере со всеми вытекающими последствиями.
После уведомления о проблеме 18 ноября поставщик плагина устранил ее в версии 0.9.2 Advanced Custom Fields: Extended, выпущенной через день после получения отчета об уязвимости.
Учитывая, что уязвимость может быть использована без аутентификации посредством специально созданного запроса, публичное раскрытие технических подробностей, скорее всего, приведет к вредоносной активности.
Владельцам сайтов рекомендуется как можно скорее перейти на последнюю версию или отключить плагин на своих ресурсах.
Продолжаем отслеживать React2Shell (CVE-2025-55182, CVSS 10).
Согласно новым данным Huntress, уязвимость React2Shell продолжает активно эксплуатироваться злоумышленниками, которые используют уязвимость в React Server Components для распространения майнеров и ряда ранее не описанных штаммов вредоносных ПО.
Сюда входят Linux-бэкдор PeerBlight, туннель обратного прокси CowTunnel, Go-имплантат постэксплуатации ZinFoq, wocaosinm.sh - вариант вредоносной ПО Kaiji для DDoS, а также bash-скрипт sex.sh для доставки XMRig 6.24.0, скрипт-загрузчик d5.sh для развертывания Sliver C2 и его другой вариант fn22.sh с добавленным механизмом самообновления.
Атаки были направлены на широкий спектр отраслей, но наиболее - на строительную и развлекательную индустрии.
В обновлении от 10 декабря 2025 года Palo Alto Networks сообщила об обнаружении активности, которая, вероятно, пересекается с кампанией Contagious Interview по распространению EtherRAT.
Также были замечены два других известных семейства вредоносных ПО BPFDoor и Auto-Color.
Более 50 организаций из самых разных секторов, включая финансы, бизнес-услуги, образование, высокие технологии, госуправление, консультинг, СМИ, юридические услуги, телекоммуникации и торговля, пострадали.
Среди наиболее пострадавших регионов - США, Азия, Южная Америка и Ближний Восток.
Согласно Wiz, результаты исследования демонстрируют устойчивый рост вредоносной активности со стороны расширяющегося круга злоумышленников, стремящихся использовать уязвимости React2Shell - более 15 различных групп.
Телеметрия Rapid7 показывают всплеск атак, от низкоквалифицированных злоупотреблений, таких как развертывание ботов Mirai и майнеров, до адаптации этого подхода APT-субъектами в свои TTPs.
Наблюдаются признаки корреляции эксплуатации этой уязвимости с инструментами, ранее использовавшимися бандами вымогателей.
VulnCheck охарактеризовала продолжающуюся эксплуатацию React2Shell как «вероятно, имеющую долгосрочные последствия», призвав учитывать варианты PoC и возможные модификации полезной нагрузки при разработке стратегий обнаружения.
Исследователи Лаборатории Касперского подтвердили выводы из прошлого отчета относительно широкой эксплуатации CVE-2025-55182 в самой ближайшей перспективе.
Практически сразу после публикации эксплойта ханипоты ЛК 5 декабря начали регистрировать попытки воспользоваться уязвимостью, а 8 декабря количество таких попыток кратно увеличилось и продолжает расти.
Первым делом атакующие проверяют, не является ли их цель ханипотом: выполняют команду whoami, умножение чисел в bash, вычисление MD5 или base64 от случайных строк, чтобы убедиться, что их код действительно может сработать на атакуемой машине.
Далее в большинстве случаев следует попытка загрузки вредоносных файлов с помощью консольных веб-клиентов wget или curl.
Кроме того, часть атакующих доставляет нацеленный на Windows-системы зловред на PowerShell, устанавливающий XMRig - популярный майнер Monero.
CVE-2025-55182 сразу взяли на вооружение множество вредоносных кампаний, от классических вариантов Mirai/Gafgyt до криптомайнеров и ботнета RondoDox.
Последний, попадая в систему, не теряет времени зря: первым делом скрипт загрузчика приступает к устранению конкурентов.
В некоторых атаках в качестве альтернативы загрузке вредоносного ПО злоумышленники пытались красть учетные данные, связанные с Git и облачными окружениями.
Свежие IOCs - в очтете.
Исследователи Flare в своем отчете указывают на критические риски, связанные с выявлением более 10 000 образов контейнеров Docker Hub, которые раскрывают секреты, включая учетные данные для доступа к производственным системам, базам данных CI/CD или ключи модели LLM.
Все эти секреты затрагивают чуть более 100 организаций, в том числе компанию из списка Fortune 500 и крупный национальный банк.
Docker Hub - это крупнейший реестр контейнеров, где разработчики загружают, размещают, обмениваются и распространяют готовые к использованию образы Docker, содержащие все необходимое для запуска приложения.
Разработчики обычно используют образы Docker для оптимизации всего жизненного цикла разработки и развертывания ПО.
Однако, как показали предыдущие исследования, ошибки при создании этих образов может привести к раскрытию конфиденциальной информации, которая остается актуальной в течение длительного времени.
После сканирования образов контейнеров, загруженных в Docker Hub в ноябре, исследователи Flare, обнаружили, что в 10 456 был раскрыт хотя бы один или более ключей.
Наиболее часто встречающимися были токены доступа к различным моделям ИИ (OpenAI, HuggingFace, Anthropic, Gemini, Groq). В общей сложности исследователи обнаружили 4000 таких ключей.
При изучении отсканированных изображений исследователи обнаружили, что 42% из них содержали как минимум пять конфиденциальных значений.
Как отмечают в Flare, подобные утечки, затрагивающие множество секретных данных, представляют собой критические риски, поскольку зачастую обеспечивают полный доступ к облачным средам, репозиториям Git, системам CI/CD, платежным системам и другим компонентам инфраструктуры.
Анализ 205 пространств имен позволил исследователям идентифицировать в наборе данных в общей сложности 101 компанию, в основном малые и средние предприятия, а также несколько крупных компаний.
Согласно анализу, большинство организаций, чьи секреты были раскрыты, работают в секторе разработки ПО, за ними следуют компании в торговле и промышленности, а также в области ИИ и интеллектуальных систем. Кроме того, нашлось с десяток финансовых и банковских компаний.
По данным исследователей, одной из наиболее часто встречающихся ошибок было использование файлов .ENV, которые разработчики используют для хранения учетных данных базы данных, ключей доступа к облаку, токенов и различных данных аутентификации для проекта.
Кроме того, они обнаружили, что токены API для сервисов ИИ были жестко закодированы в файлах приложений Python, файлах config.json, конфигурационных файлах YAML, токенах GitHub и учетных данных для нескольких внутренних сред.
Часть конфиденциальных данных содержалась в манифесте образов Docker - файле, содержащем подробную информацию об образе.
По всей видимости, многие утечки происходят из так называемых «теневых ИТ-аккаунтов», то есть учетных записей Docker Hub, которые не подпадают под более строгие корпоративные механизмы мониторинга, например, учетных записей для личного использования или подрядчиков.
Flare отмечает, что примерно 25% разработчиков, случайно раскрывших секретные данные на Docker Hub, удалили утекший секрет из контейнера или файла манифеста в течение 48 часов.
Однако в 75% этих случаев утекший ключ не был аннулирован, а это значит, что любой, кто украл его в период утечки, мог бы использовать его позже для организации атак.
Flare рекомендовала разработчикам избегать хранения секретов в образах контейнеров, отказаться от использования статических, долгосрочных учетных данных и централизовать управление секретами с помощью выделенного хранилища или специализированного менеджера.
Организациям следует внедрять активное сканирование на протяжении всего жизненного цикла разработки ПО, немедленно отзывать раскрытые секреты и аннулировать старые сессии.
Google выпустила экстренные обновления для устранения еще одной, уже восьмой в этом году 0-day в Chrome, которая использовалась в реальных атаках.
Согласно идентификатору ошибки Chromium (466192044), уязвимость была обнаружена в открытой библиотеке LibANGLE от Google, которая преобразует вызовы графики OpenGL ES в другие API, такие как Direct3D, Vulkan или Metal, и позволяет приложениям OpenGL ES работать на системах, которые не поддерживают его изначально или где альтернативные графические API обеспечивают лучшую производительность.
Согласно отчету об ошибке в Chromium, 0-day представляет собой переполнение буфера в рендерере Metal от ANGLE, вызванное неправильным определением размера буфера, что может привести к повреждению памяти, сбоям, раскрытию конфиденциальной информации и RCE.
Исправления реализованы для пользователей Windows (143.0.7499.109), macOS (143.0.7499.110) и Linux (143.0.7499.109).
Каких-либо других подробностей об этой уязвимости, включая идентификатор CVE, Google не раскрыла.
Также неясно, кто обнаружил уязвимость и когда об этом сообщили в Google. Единственная доступная информация заключается в том, что уязвимость имеет рейтинг высокой степени серьезности.
Тем временем, React2Shell набирает обороты.
Если вы думали, что эксплойт React2Shell в основном ограничивается корпоративными приложениями, созданными с использованием фреймворка React, то Bitdefender вас разочарует.
Исследователи сообщают, что этот эксплойт теперь был принят на вооружение операторами IoT-ботнетов, которые задействуют его для атак на умные устройства, которые могут использовать React для своих веб-панелей управления.
Кроме того, в Sysdig заметили новый вредоносный имплант под названием EtherRAT, развернутый в недавней атаке React2Shell.
Исследователи полагают, что вредоносное ПО схоже с инструментами хакеров из Северной Кореи, используемыми в кампаниях Contagious Interview.
Хакеры восстановили EtherRAT из скомпрометированного приложения Next.js всего через два дня после обнаружения критической уязвимости CVE-2025-55182.
Sysdig особо отмечает комплекс сложных функций EtherRAT, включая коммуникацию C2 на основе блокчейна, многоуровневую персистентность Linux, оперативное перезапись полезной нагрузки и уклонение с использованием полноценной среды выполнения Node.js.
Несмотря на существенные совпадения с операциями Contagious Interview, проводимыми Lazarus, EtherRAT все же отличается по нескольким ключевым аспектам.
EtherRAT использует многоступенчатую цепочку атак, начиная с эксплуатации React2Shell для выполнения на цели команды оболочки, закодированной в формате base64.
Команда пытается загрузить вредоносный скрипт оболочки (s.sh) с помощью curl, wget или python3 в качестве резервных вариантов и повторяет цикл каждые 300 секунд до успешного завершения.
После загрузки скрипт проверяется, преобразуется в исполняемый файл и запускается.
Скрипт создает скрытый каталог в папке пользователя $HOME/.local/share/, куда он загружает и извлекает легитимную среду выполнения Node.js v20.10.0 непосредственно с nodejs.org.
Затем он записывает зашифрованный блок полезной нагрузки и запутанный JavaScript-дроппер, который выполняется с использованием загруженного двоичного файла Node, а затем удаляется.
Зашифрованный JavaScript-дроппер (.kxnzl4mtez.js) считывает зашифрованный блог, расшифровывает его с помощью жестко закодированного ключа AES-256-CBC и записывает результат в другой скрытый JavaScript-файл.
Расшифрованная полезная нагрузка представляет собой имплант EtherRAT. Он развертывается с помощью бинарного файла Node.js, установленного на предыдущем этапе.
EtherRAT использует смарт-контракты Ethereum для C2, что обеспечивает операционную универсальность и устойчивость к блокировкам, одновременно запрашивая данные у девяти общедоступных RPC-провайдеров.
Вредоносная ПО отправляет на серверC2 случайные URL-адреса, похожие на CDN, каждые 500 мс и выполняет JavaScript, возвращаемый операторами, используя конструктор AsyncFunction в механизме, работающем как полностью интерактивная оболочка Node.js.
EtherRAT обладает чрезвычайно агрессивной способностью к закреплению в системах Linux, устанавливая пять уровней для обеспечения персистентности: Cron jobs, bashrc injection, XDG autostart, Systemd user service и Profile injection.
Еще одна уникальная особенность EtherRAT - это его способность к самообновлению путем отправки исходного кода на API-интерфейс.
Исследователи рекомендуют пользователям проверять наличие перечисленных механизмов сохранения данных, отслеживать трафик Ethereum RPC, просматривать журналы приложений и менять учетные данные.
Подкатил PatchTueday от микромягких с исправлениями 57 уязвимостей, включая одну активно эксплуатируемую и две публично раскрытые 0-day.
В целом закрыты три критические RCE-уязвимости, а общее распределение представлен следующим образом: 28 - уязвимостей EoP, 19 - RCE, 4 - раскрытие информации, 3 - DoS и 2 - спуфинг. Кроме того, в Microsoft Edge и Mariner исправлено - 15 ошибок.
Активно используемая 0-day отслеживается как CVE-2025-62221 и затрагивает драйвер Windows Cloud Files Mini Filter, приводя к повышению привилегий.
Проблема связана с использование после освобождения и позволяет авторизованному злоумышленнику повысить привилегии для SYSTEM локально.
Microsoft приписала раскрытие этой уязвимости Центру анализа угроз Microsoft (MSTIC) и Центру реагирования на угрозы Microsoft (MSRC), но не раскрыла, как именно она эксплуатировалась.
Среди двух публично раскрытых нулей - CVE-2025-64671 и CVE-2025-54100.
Первая была обнаружена в GitHub Copilot и позволяла злоумышленнику выполнять команды локально, используя некорректную нейтрализацию специальных элементов, используемых в командах в Copilot.
Microsoft утверждает, что она может быть эксплуатирована с помощью вредоносной программы Cross Prompt Inject, внедряемой в ненадежные файлы или серверы MCP.
Злоумышленник сможет выполнять дополнительные команды, добавляя их к командам, разрешенным в настройках автоматического подтверждения терминала пользователя.
Компания приписала эту уязвимость Ари Марзуку недавно раскрыл ее в своем отчете «IDEsaster: новый класс уязвимостей в IDE для ИИ».
Другая 0-day затрагивает PowerShell и могла приводить к выполнению скриптов, встроенных в веб-страницу, при ее извлечении с помощью Invoke-WebRequest.
Она также связана с неправильной нейтрализацией специальных элементов, используемых в команде в Windows PowerShell, позволяя неавторизованному злоумышленнику локально выполнить код.
Microsoft реализовала изменение, приводящее к выводу предупреждения, когда PowerShell использует Invoke-WebRequest, предлагая пользователю добавить UseBasicParsing, чтобы предотвратить выполнение кода.
Компания приписала раскрытие этого недостатка исследователям Джастину Неке, DeadOverflow, Петерису Херманису Осипову, Anonymous, Мелиху Каану Йылдызу и Осману Эрену Гюнешу.
Полное описанием каждой уязвимости и затронутых ею систем - здесь.
Исследователи Лаборатории Касперского в новом отчете изложили свои мысли относительно трендовой уязвимости React2Shell.
Первые упоминания в отношении CVE-2025-55182 с CVSS в 10 баллов появились 4 декабря 2025 года, которая получила неофициальное название React2Shell, поскольку затрагивает компоненты React Server Components (RSC) веб-приложений, написанных с использованием библиотеки React.
В основе React-приложений лежит компонентная модель, так что каждая часть приложения или фреймворка должна работать самостоятельно и предлагать другим компонентам понятные и простые методы взаимодействия.
Такой подход позволяет достаточно гибко развивать приложения и добавлять новые функции, однако требует от пользователя скачивать большие объемы данных, из-за чего веб-приложения не всегда работают одинаково на разных устройствах.
Именно поэтому была разработана функциональность RSC, в составе которой компонент Server Actions, внутри которого и была найдена уязвимость.
Чтобы добраться до уязвимой функции, достаточно отправить на сервер POST-запрос, включающий сериализованный набор данных для дальнейшего выполнения.
Учитывая важность проблемы, в ЛК настоятельно рекомендуют обновить соответствующие пакеты, установив патчи от разработчиков соответствующих модулей и бандлов.
Подверженные уязвимости версии компонентов React Server Components включают: react-server-dom-webpack (19.0.0, 19.1.0, 19.1.1, 19.2.0), react-server-dom-parcel (19.0.0, 19.1.0, 19.1.1, 19.2.0) и react-server-dom-turbopack (19.0.0, 19.1.0, 19.1.1, 19.2.0).
Подтвержденные бандлы и модули, которые используют React Server Components: next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc и rwsdk.
Для предотвращения эксплуатации на время установки патчей стоит блокировать все запросы POST, содержащие определенные ключевые слова в параметрах или теле запроса (полный перечень - в отчете).
Как отмечают исследователи, CVE-2025-55182 отличается простотой эксплуатации, поскольку рабочий PoC уже опубликован.
Определенно, стоит ожидать, что в ближайшее время его возьмут на вооружение злоумышленники, так что не стоит откладывать патчи в долгий ящик.
Исследователи F6 сообщают об обнаружении использования LLM в ходе атак с PureCrypter и DarkTrack RAT.
В рамках ежедневного мониторинга угроз, в конце ноября 2025 года специалисты F6 набрели на вредоносный архив с именем Изделие-44 ДСП.rar, загруженный на одну из публичных онлайн-песочниц.
Архив содержал в себе файл Изделие-44 ДСП.hta, запуск которого инициировал цепочку заражения, включающей HTA-загрузчик, инжектор и полезную нагрузку в виде DarkTrack RAT.
Однако анализируя содержимое указанного файла, исследователи отметили простоту кода, подробное его комментирование, форматирование и отсутствие грамматических ошибок.
Все эти признаки позволили предположить, что злоумышленники использовали при разработке LLM.
В ходе выполнения .hta-файл осуществляет загрузку исполняемого файла 1.exe с удаленного хоста hXXps://store3.gofile.io/download/direct/590939a1-31ec-476b-b451-40d809d91bde/1.exe, сохраняет его c именем %AppData%\tcpview.exe, после чего запускает.
C целью закрепления в системе вредоносное ПО создает ярлык данного файла в папке автозагрузки по пути: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\tcpview.lnk
Файл tcpview.exe является исполняемым файлом .NET, который мимикрирует под установщик браузера Opera_GX.
Он подписан недействительной подписью c именем Opera Norway AS.
Исследователи F6 классифицировали данный файл как загрузчик PureCrypter, который содержит в ресурсах изображение Zsiik.jpg.
Размер изображения составляет 32 Мб, практически весь размер картинки занимает оверлей, который, предположительно, используется для обхода средств защиты за счет увеличения размера файла.
В ходе выполнения файл дешифрует и запускает в памяти сохраненный в ресурсах файл с именем Efrhk путем использования алгоритма RC2.
Далее создает новый процесс с именем tcpview.exe, внедряя в него и запуская полезную нагрузку с помощью техники process hollowing.
Полезная нагрузка в итоге была классифицирована как DarkTrack RAT, который использовал в качестве С2 сервера домен wwwyandex[.]org, зарегистрированный 14 ноября 2025 года.
Полезная нагрузка запускает дочерний процесс notepad.exe и может внедрять в него собственный код. Также в ходе анализа была извлечена версия RAT - 4.1 Alien+.
В ходе дополнительного анализа F6 обнаружила вредоносный VBA-скрипт, выполнение которого приводит к реализации цепочки атаки, полностью идентичной описанной выше.
В результате устанавливается DarkTrack RAT с тем же адресом C2.
По мнению F6, данный случай наглядно отражает возможности использования ИИ как для написания вредоносного кода, способного работать самостоятельно, так и в комбинации с ранее известными угрозами.
А это, в свою очередь, позволяет спрогнозировать дальнейшее развитие атак с применением ИИ, равно как и увеличение числа подобных киберинцидентов.
Анализ вредоносного ПО - здесь, IOCs - в отчете.
GreyNoise отслеживает кампанию, нацеленную на порталы Palo Alto GlobalProtect с попытками входа в систему и запуском сканирования конечных точек API SonicWall SonicOS.
Активность началась 2 декабря и исходила с более чем 7000 IP-адресов из инфраструктуры, которой управляет немецкая IT-компания 3xK GmbH, которая управляет собственной сетью BGP (AS200373) и выступает в качестве хостинг-провайдера.
Изначально злоумышленник атаковал порталы GlobalProtect, используя методы подбора и попытки входа в систему, а затем переключился на сканирование конечных точек API SonicWall.
По данным GreyNoise, попытки входа в систему GlobalProtect были направлены на два профиля в сенсорной сети компании для пассивного захвата сканирования и эксплуатации.
Исследователи утверждают, что для всплеска использовались фингерпринты трех клиентов, ранее зафиксированные при попытках сканирования в период с конца сентября по середину октября.
В прошлом эта активность исходила от четырех ASN, не имевших истории вредоносной активности, и генерировала более 9 млн. не поддающихся подмене HTTP-сеансов, в основном направленных на порталы GlobalProtect.
В середине ноября GreyNoise также фиксировала активность инфраструктуры 3xK Tech GmbH, сканирующей VPN-порталы GlobalProtect c 2,3 млн. сеансов сканирования.
Большинство атакующих IP (62%) находились в Германии и использовали те же самые отпечатки TCP/JA4t.
На основании проанализированных показателей компания уверенно приписывает оба вида деятельности одному и тому же субъекту.
Затем 3 декабря те же три фингерпринта детектировались при сканировании активности, нацеленной уже на SonicWall SonicOS API.
Вредоносное сканирование этих конечных точек обычно проводится для выявления уязвимостей и ошибок конфигурации.
GreyNoise ранее отмечала, что такое сканирование также позволяет обнаружить уязвимую инфраструктуру для подготовки к потенциальной эксплуатации будущих уязвимостей.
По этой причине защитникам рекомендуется отслеживать IP-адреса, связанные с этим типом деятельности, и блокировать их.
Также рекомендуется отслеживать аутентификации на предмет аномальной скорости/повторяющихся сбоев, отслеживать повторяющиеся клиентские фингерпринты и использовать динамическую, контекстно-зависимую блокировку вместо статических списков репутации.
В свою очередь, Palo Alto Networks заявила, что обнаружила усиление сканирования, нацеленного на интерфейсы GlobalProtect, и подтвердила, что это «атаки на основе учетных данных, а не эксплуатация уязвимости ПО».
Так или иначе, Palo Alto Networks рекомендовала клиентам использовать MFA для защиты от несанкционированного использования учетных данных.
📶 Инструмент для диагностики сети на базе ОС FreeBSD.
• Сразу скажу, что прочтение туториала по ссылке ниже занимает целых 2 часа времени и будет полезен в основном сетевикам, нежели ИБ специалистам. Но материал крайне интересный, поэтому рекомендую к прочтению всем без исключения.
• Автор этого материала написал инструкцию по воплощению инструмента диагностики сетевых проблем, который реализован в ОС FreeBSD и устанавливается прямо из коробки. Достаточно установить её на компактное устройство с двумя Ethernet интерфейсами и выполнить ряд манипуляций по настройке вполне стандартных вещей. Содержание лонгрида ниже, а бонусом идет ссылка на Github репозиторий содержащий готовый загрузочный образ и набор скриптов для настройки сниффера.
• Сниффер как способ решения проблем с сетью.
• Установка ОС FreeBSD и базовая настройка:
➡Скачиваем ISO образ;
➡Настройка опций BIOS;
➡Развертывание образа на USB Flash;
➡Загрузка с USB Flash и установка системы на SSD;
➡Установка полезных пакетов программ и утилит;
➡Подключение через SSH;
➡Настройка `sudo’.
• Исследуем аппаратную часть:
➡Получаем сведения об аппаратуре;
➡Проводим тест Coremark для вычислительного ядра;
➡Проводим тест STREAM для оперативной памяти;
• Настойка канала для удаленного доступа к устройству (mpd5).
• Настройка сетевого «моста» (Ethernet Bridging):
➡Загрузка драйверов if_bridge и bridgestp;
➡Создание и настройка интерфейса bridge0;
➡Проверка работоспособности сетевого моста;
➡Схемы включения сниффера.
• Анализ сетевого трафика:
➡Настройка прав доступа к BPF;
➡Правила фильтрации трафика в BPF;
➡Правила фильтрации трафика в BPF с использованием DPI;
➡Использования BPF фильтров в tcpdump’ и tshark’;
➡Захват SIP пакетов с помощью утилиты `tcpdump’;
➡Захват SIP пакетов с помощью утилиты `tshark’;
➡Детектирование соединений SSH с помощью утилиты `tcpdump’;
➡Детектирование соединений SSH с помощью утилиты `tshark’;
➡Анализ HTTP запросов: добываем логин и пароль с помощью утилиты `tshark’;
➡Анализ сетевой нагрузки с помощью утилиты `trafshow’;
➡SNORT Intrusion Prevention System;
➡Детектируем сканирование портов одно-строчным правилом для `snort’;
➡Детектируем сканирование портов встроенным плагином `port_scan’.
• Бонус:
➡Инструкция по быстрой установке сниффера на базе ОС FreeBSD;
➡Инструкция по созданию своего загрузочного образа ОС FreeBSD со сниффером.
• P.S. Не забывайте по мой репозиторий, в котором собрана подборка материала для изучения сетей (от курсов и книг, до шпаргалок и сообществ): https://github.com/SE-adm/Awesome-network
S.E. ▪️ infosec.work ▪️ VT
Весьма серьезную проблематику подсветил один из наших уважаемых читателей - спец по анализу защищенности, исследователь Кумуржи Георгий.
В конце октября, выступая на Standoff Talks 2025 с докладом Я тебе LoGiN, а ты мне креды? Пошло? Или почему мы до сих пор уязвимы перед CitrixBleed2, он рассказал о личном опыте обнаружения и эксплуатации трендовой Citrix Bleed 2 (CVE‑2025‑5777), отгремевшей этим летом.
Краткий обзор обнаруженных исследователем на практике основных моментов эксплуатации Citrix Bleed 2 - здесь, полная запись доклада - здесь.
Связанная с ней проблема, по мнению исследователя, заключается в недостаточном публичном информировании по части важных особенностей эксплуатации критической баги, что повлекло за собой массовую выработку вендорами малоэффективных WAF-правил для проактивной защиты.
На практике ему удалось столкнуться с работой различных WAF и SIEM крупных отечественных компаний, - во всех случаях получилось реализовать успешную утечку памяти из Citrix Netscaler (с последующей кражей сессий).
Многие вендора не в полной мере смогли разобраться с полным спектром технических особенностей уязвимости и выкатили правила WAF/SIEM, ограничивающийся одним из нескольких вариантов эксплуатации (и как следует соответствующие рекомендации по защите).
В целом, по мнению исследователя, ситуация с CVE-2025-5777 неоднозначная и многие отечественные компании до сих пор находятся в зоне риска компрометации своих систем.
Возможным вариантом нивелирования проблемы, предлагаемый исследователем, может стать более широкое освещение наиболее важных аспектов эксплуатации трендовых уязвимостей, что позволит вендорам или их клиентам оперативно «докрутить» правила.
Собственно, с чем мы согласны, и со своей стороны - обращаем внимание нашей аудитории на затронутую проблематику в части Citrix Bleed 2.
Преждевременно упоминать об утечке в ASUS не стали, пока компания сама ее не подтвердила.
Впервые о взломе сообщила банда вымогателей Everest, которая также намекает на аналогичные инциденты в ArcSoft и Qualcomm.
2 декабря 2025 года Everest добавила ASUS на свой DLS в Tor.
По сообщению хакеров, им удалось достать широкий спектр данных, включая модули двоичной сегментации, исходный код и исправления, модели ИИ, внутренние инструменты и прошивки OEM, тестовые видео, информацию по двух камерам, различные журналы и отчеты, тестовые APK и др.
В общей сложности, Everest заявила о краже базы данных объемом 1 ТБ, опубликовав образцы некоторых украденных документов в качестве доказательств взлома.
В свою очередь, ASUS утверждает, что утечка данных третьей стороной (взлом поставщика) привела к раскрытию исходного кода камеры телефона, но не затронула продукцию, внутренние системы или пользовательские данные.
Однако, как бы то ни было, не стоит недооценивать косвенное влияние инцидента, ведь риск заключается не в самой «камере», а в возможности того, что это уязвимое место может стать точкой входа для эксплойтов в драйверах, прошивках, обновлениях или сторонних интеграциях.
Но будем посмотреть.
Как и предполагалось, затрагивающая React и Next.js React2Shell (CVE-2025-55182) максимального уровня серьезности уже начала эксплуатироваться связанными с Китаем злоумышленниками.
React2Shell - это уязвимость десериализации в протоколе Flight компонентов React Server Components (RSC).
React и Next.js выпустили обновления, но уязвимость легко эксплуатируется без аутентификации и в конфигурации по умолчанию, позволяя удалённо выполнять код JavaScript в контексте сервера.
Для фреймворка Next.js существует идентификатор CVE-2025-66478, но номер отслеживания был отклонен в списке CVE как дубликат CVE-2025-55182.
Уязвимость затрагивает несколько версий широко используемой библиотеки, потенциально подвергая риску тысячи зависимых проектов.
По данным Wiz, 39% облачных сред подвержены атакам React2Shell.
Задетектить первые попытки боевой эксплуатации React2Shell смогли в Amazon Web Services (AWS), которая связала их с Earth Lamia и Jackpot Panda.
По данным AWS, хакеры начали эксплуатировать React2Shell практически сразу после публичного раскрытия информации 3 декабря 2025 года.
Honeypot-системы AWS также зафиксировали активность, не атрибутированную ни одному из известных кластеров, но по-прежнему исходящую из инфраструктуры, расположенной в Китае.
Многие из атакующих кластеров используют одну и ту же инфраструктуру анонимизации, что еще больше усложняет индивидуальное отслеживание и конкретную атрибуцию.
Что касается двух выявленных групп угроз, Earth Lamia фокусируется на эксплуатации уязвимостей веб-приложений.
Ее типичными целями являются компании в сфере финансов, логистики, торговли, ИТ, образования и госсектор в Латинской Америке, на Ближнем Востоке и в Юго-Восточной Азии.
Типичные жертвы Jackpot Panda обычно располагаются в Восточной и Юго-Восточной Азии, а ее атаки направлены на сбор разноплановой разведывательной информации.
В ближайшее время к ним присоединятся и другие акторы, ведь к настоящему времени уже опубликовано несколько PoC-эксплойтов.
Несмотря на то, что Лаклан Дэвидсон, обнаруживший React2Shell, предупреждал о фейковых эксплойтах, циркулирующих в интернете, эффективность ряда эксплойтов, появившихся на GitHub, подтверждена исследователями Rapid7 и Elastic Security.
В атаках, наблюдавшихся AWS, задействовалось сочетание общедоступных эксплойтов, в том числе и неработающих, а также итеративное ручное тестирование и устранение неполадок в реальном времени в целевых средах.
Наблюдаемая активность включала в себя повторные попытки с различными полезными нагрузками, выполнение команд Linux (whoami, id), попытки создания файлов (/tmp/pwned.txt) и попытки чтения /etc/passwd/.
Так что злоумышленники не просто запускают автоматизированное сканирование, но и активно отлаживают и совершенствуют свои методы эксплуатации уязвимостей на реальных целях.
Учитывая надвигающуюся эскалацию угроз, Assetnote выпустила на GitHub сканер React2Shell, который можно использовать для определения уязвимости среды.
Однако вряд ли это существенно изменить быстро деградирующую ситуацию.
Исследователи Лаборатории Касперского вновь накинули информативной отраслевой статистики, анонсировав Kaspersky Security Bulletin 2025, который охватывает период с ноября 2024 года по октябрь 2025 года.
В качестве основных исследователи выделяют следующие тренды:
- 48% пользователей Windows и 29% пользователей macOS столкнулись с киберугрозами.
- 27% всех пользователей решений Лаборатории Касперского столкнулись с веб-угрозами, а 33% пользователей пострадали от угроз на устройствах.
- Наибольшая доля пользователей, пострадавших от веб-угроз, пришлась на СНГ (34%), а локальные угрозы чаще всего обнаруживались в Африке (41%).
- Решения Лаборатории Касперского позволили предотвратить почти в 1,6 раза больше атак по краже паролей, чем в предыдущем году.
- В Азиатско-Тихоокеанском регионе количество обнаружений кражи паролей выросло на 132% по сравнению с предыдущим годом.
- Решения Лаборатории Касперского обеспечили выявление в 1,5 раза больше атак шпионского ПО, чем в предыдущем году.
Подробную годовую статистику по киберугрозам рекомендуем изучить, ознакомившись с полным отчетом.
Кроме того, не можем не отметить отчет по эксплойтам и уязвимостям в третьем квартале 2025 года, в котором исследователи ЛК рассматривают наиболее распространённые проблемы, затрагивающие Windows и Linux, а также уязвимости, используемые в APT-атаках.
Отмечается, что ежемесячное количество уязвимостей, опубликованных в третьем квартале 2025 года, остаётся выше показателей, зафиксированных в предыдущие годы.
Анализ ежемесячного распределения уязвимостей, оцененных как критические при регистрации (CVSS > 8,9), показывает, что этот показатель в третьем квартале был незначительно ниже показателя за 2024 год.
В части эксплуатации, в третьем квартале 2025 года, как и прежде, наиболее распространенными атаками были атаки на уязвимые продукты Microsoft Office (CVE-2018-0802, CVE-2017-11882 и CVE-2017-0199).
В этом квартале злоумышленники злоумышленники активно эксплуатировали уязвимости Directory Traversal, возникающие при распаковке архивов в WinRAR, адаптировав их для своих нужд (CVE-2023-38831, CVE-2025-6218 и CVE-2025-8088).
Для устройств Linux наиболее часто обнаруживались эксплойты для следующих уязвимостей ядра ОС (CVE-2022-0847, CVE-2019-13272 и CVE-2021-22555).
Примечательно, что в третьем квартале 2025 года, как и во втором, новых публичных эксплойтов для продуктов Microsoft Office не появилось.
Однако были опубликованы PoC-тесты уязвимостей в Microsoft SharePoint.
В третьем квартале 2025 года в APT-атаках преобладали 0-day, обнаруженные в ходе расследований отдельных инцидентов. После их публичного раскрытия следовали мощные волны эксплуатации.
Metasploit, доля которого увеличилась по сравнению со вторым кварталом, возглавляет список наиболее распространённых C2-фреймворков за последний квартал. За ним следуют Sliver и Mythic.
Фреймворк Empire также вновь появился в списке после неактивности в предыдущий отчётный период.
Примечательно, что Adaptix C2, несмотря на свою относительно новую версию, практически сразу же был принят злоумышленниками в реальных сценариях.
Подробная инфографика и статданные, а также разбор наиболее трендовых уязвимостей - в отчете.
Новая угроза нависла над инфосек-сообществом, представители которой активно обсуждают уязвимость максимальной степени серьезности, получившей условное наименование React2Shell.
Речь идет об обнаружении критической CVE-2025-55182 в React, которая может быть использована удаленным неаутентифицированным злоумышленником для удаленного выполнения кода.
React (React.js) - это библиотека JavaScript с открытым исходным кодом, предназначенная для создания пользовательских интерфейсов приложений.
На нём работают миллионы сайтов, он используется популярными онлайн-сервисами (Airbnb, Instagram, Netflix), а его основной пакет NPM в настоящее время еженедельно имеет более 55 млн. загрузок.
В вышедшем вчера бюллетене разработчики React проинформировали пользователей об исправлении CVE-2025-55182, раскрытой 29 ноября Лакланом Дэвидсоном.
Она затрагивает версии 19.0, 19.1.0, 19.1.1 и 19.2.0 и устранена с выпуском 19.0.1, 19.1.2 и 19.2.1.
Уязвимость обусловлена тем, как React декодирует полезные данные, отправляемые на конечные точки функций сервера React.
При этом даже если приложение не реализует какие-либо конечные точки функций сервера React, оно все равно может быть уязвимым, если поддерживаются компоненты сервера React (RSC).
На текущий момент сообщений об эксплуатации уязвимости в реальных условиях не поступало.
Однако менее чем через 24 часа после публикации был разработан как минимум один PoC, а уязвимость была добавлена в сканеры.
Стоит отметить, что фреймворк разработки на основе React Next.js также подвержен CVE-2025-55182.
Vercel, разработчик Next.js, пыталась присвоить собственный идентификатор, CVE-2025-66478, но он был отклонен как дубликат CVE-2025-55182.
По данным Wiz, такие фреймворки, как React Router RSC, плагин Vite RSC, плагин Parcel RSC, RedwoodSDK и Waku, также могут быть уязвимы.
Исследователи считают, что 39% облачных сред содержат уязвимые экземпляры React.
Исследователи полагают, что уязвимость затрагивает стандартные конфигурации, и ее можно легко проэксплуатировать с помощью специально созданных HTTP-запросов.
По единогласному мнению мнению представителей индустрии, эксплуатация React2Shell в реальных условиях неизбежна.
В Palo Alto Networks описывают уязвимость как «мастер-эксплойт, достигаемый не за счет сбоя системы, а за счет злоупотребления ее доверием к входящим структурам данных».
Система выполняет вредоносную полезную нагрузку с той же эффективностью, что и легитимный код, поскольку она работает именно так, как задумано, но при наличии вредоносных входных данных.
Исследователи заявляют о более чем 968 000 серверов с фреймворками React и Next.js и уязвимости почти 40% облачных сред.
Так что вопрос, по их мнению, даже не в том, что CVE-2025-55182 воспользуются злоумышленники, а как широко эксплуатация затронет среды.
Так или иначе Google Cloud развернула правила WAF для обнаружения и блокирования попыток эксплуатации уязвимости CVE-2025-55182.
AWS также выпустила новые правила WAF для блокировки атак, информируя клиентов о том, что они не затронуты и не требуют никаких действий.
Cloudflare также не осталась в стороне и выкатила средства защиты в своей сети, которые автоматически защищают всех клиентов, пока трафик их приложений React передается через Cloudflare WAF.
Netlify выпустила исправления React для предотвращения эксплуатации уязвимостей на веб-сайтах клиентов, а в F5 пока изучают потенциальное влияние на свои решения.
Свои меры по обнаружению уязвимых экземпляров и защите от потенциальных попыток эксплуатации также приняли Akamai, Orca Security, Tenable, Aikido и Miggo.
С другой стороны, Кевин Бомонт GossiTheDog/115657304446609545">считаетGossiTheDog/115657304446609545">, что уязвимость ограничена более новой версией 19 и затрагивает только приложения, использующие React Server, который он назвал новой функцией.
Но будем посмотреть.
Уроки английского для начинающих ИБ-шников на канале SecAtor
Читать полностью…