Телеграм канал «SecAtor»

Банда вымогателей Nitrogen заявила о взломе Foxconn. В начале этого месяца атака программы-вымогателя привела к сбоям в работе североамериканских заводов Foxconn.

Компания подтвердила инцидент после того, как на прошлой неделе сотрудники опубликовали в социальных сетях некоторые внутренние сообщения.

Nitrogen объявила о взломе в своем блоге во вторник. Группа утверждает, что украла 8 ТБ данных, включая конфиденциальные проекты и чертежи микросхем для заказов Apple, Google и NVIDIA.

Microsoft представила Patch Tuesday за май 2026 года с исправлениями для 120 уязвимостей, при этом информация в отношении 0-day не разглашается.

В целом устранены 17 критических» уязвимостей, 14 из которых представляют собой RCE, 2 - EoP и 1 - приводящая к раскрытию информации со следующим распределением по категориям: 61 - EoP, 6 - обход функции безопасности, 31 - RCE, 14 - раскрытие информации, 8 - DoS и 13 - подмена данных.

Помимо указанных уязвимостей не включены проблемы в Mariner, Azure, Copilot, Microsoft Teams и Microsoft Partner Center, которые были исправлены Microsoft ранее в этом месяце, а также - 131 уязвимость в Microsoft Edge/Chromium.

В рамках текущего Patch Tuesday микромягкие не сообщили о каких-либо 0-day, однако и без них хватает проблем, которые требуют особого внимания со стороны пользователей.

Среди них многочисленные уязвимости в Microsoft Office, Word и Excel, которые могут привести к RCE, поскольку многие из них могут быть использованы через панель предварительного просмотра.

К числу других наиболее интересных уязвимостей относятся:

- CVE-2026-35421: RCE-уязвимость в Windows GDI, которую можно использовать, открыв вредоносный файл Enhanced Metafile (EMF) с помощью Microsoft Paint.

- CVE-2026-40365: RCE-уязвимость в Microsoft SharePoint Server. Авторизованный злоумышленник может осуществить сетевую атаку, которая удаленно выполняет код на сервере SharePoint.

- CVE-2026-41096: RCE-уязвимость в клиенте Windows DNS. Контролируемый злоумышленником DNS-сервер может отправить специально сформированный DNS-ответ уязвимой системе Windows, что приведет к некорректной обработке ответа клиентом DNS и повреждению памяти. Это позволит злоумышленнику удаленно запустить код на уязвимой системе.

Раскрывший в прошлом месяце 0-day BlueHammer и RedSun исследователь Nightmare Eclipse сообщает об обнаружении двух нулей в Windows спустя несколько минут после того, как Microsoft выпустила свой Patch Tuesday.

Они включают в себя ошибку повышения привилегий под названием GreenPlasma и ошибку обхода BitLocker под названием YellowKey.

Полное описание каждой уязвимости и затронутых ею систем - здесь.

Возвращаясь к TeamPCP, провернувшей серию атак на цепочки поставок, послужной список группы пополнился новой кампанией Mini Shai-Hulud, связанной с компрометацией пакетов npm и PyPI от TanStack, UiPath, Mistral AI, OpenSearch и Guardrails AI.

В затронутые npm-пакеты были внесены изменения, включающие обфусцированный JavaScript-файл (router_init.js), предназначенный для профилирования среды и запуска комплексного инструмента кражи секретов, нацеленного на облачных провайдеров, криптокошельки, инструменты ИИ, мессенджеры и системы CI. Данные передаются на filev2.getsession[.]org.

Использование инфраструктуры протокола сессий (SPS) - это преднамеренная попытка злоумышленников избежать обнаружения, поскольку домен вряд ли будет заблокирован в корпоративных средах, учитывая, что он принадлежит децентрализованной службе обмена сообщениями.

В качестве запасного варианта зашифрованные данные сохраняются в контролируемых злоумышленниками репозиториях под именем автора claude@users.noreply.github.com через API GitHub GraphQL с использованием украденных токенов GitHub.

Вредоносная ПО также способна устанавливать механизмы сохранения активности в Claude Code и Microsoft Visual Studio Code (VS Code), переживая таким образом перезагрузку и повторно запуская стилер при каждом запуске этих IDE.

Кроме того, устанавливает службу gh-token-monitor для мониторинга и повторной кражи токенов GitHub, а также внедряет два вредоносных рабочих процесса GitHub Actions для сериализации секретов репозитория в объект JSON и загрузки данных на api.masscan[.]cloud. 

TanStack выяснила, что взлом произошел в результате цепочки атак на GitHub Actions, включающей триггер pull_request_target, отравление кэша GitHub Actions и извлечение токена OIDC из памяти во время выполнения из процесса запуска GitHub Actions.

Как заявляет TanStack, никакие токены npm не были украдены, и сам рабочий процесс публикации npm не был скомпрометирован.

В частности, предполагается, что злоумышленники разместили вредоносную полезную нагрузку в форке GitHub, внедрили ее в опубликованные npm-архивы, а затем перехватили легитимный рабочий процесс проекта TanStack/router для публикации скомпрометированных версий с подтвержденным происхождением SLSA. 

Отличительной особенностью нового червя является его способность распространяться на другие пакеты, находя доступный для публикации токен npm с параметром bypass_2fa, установленным в true, перечисляя все пакеты, опубликованные одним и тем же сопровождающим, и обменивая токен GitHub OIDC на токен публикации для каждого пакета, чтобы полностью обойти традиционную аутентификацию.

Уязвимости в цепочке поставок TanStack присвоен CVE-2026-45321 (CVSS 9,6). Инцидент затронул 42 пакета и 84 версии в экосистеме TanStack.

В результате атаки были опубликованы вредоносные версии через собственный конвейер выпуска GitHub Actions проекта с использованием украденных токенов OIDC.

В крайне редком случае эскалации уязвимости скомпрометированные пакеты содержат действительные аттестации происхождения SLSA Build Level 3, что делает этот червь npm первым задокументированным случаем создания вредоносных пакетов с действительными аттестациями.

К настоящему времени Mini Shai-Hulud распространился за пределы TanStack на пакеты от UiPath, DraftLab и других разработчиков, а также на некоторые из PyPI.

Последние события показывают, что кампания продолжает распространяться как по npm, так и по PyPI, затрагивая пакеты, относящиеся к поисковой инфраструктуре, инструментам ИИ, пакетам для разработчиков, связанным с авиацией, корпоративной автоматизацией, инструментами для фронтенда и экосистемам, смежным с CI/CD.

Подробности в отчетах - Aikido Security, Endor Labs, SafeDep, Socket и StepSecurity.

Исследователи Лаборатории Касперского в поддержку Международного дня борьбы с шифровальщиками (12 мая) выкатили ежегодный отчет с обзором глобальных и региональных изменений в ландшафте угроз, связанных с ransomware.

По данным ЛК, атаки с целью вымогательства остаются одной из самых устойчивых и быстро адаптирующихся киберугроз даже несмотря на формальное снижение числа инцидентов в 2025 году.

Как полагают исследователи, организации во всех отраслях по-прежнему находятся в зоне высокого риска: операторы программ-вымогателей продолжают совершенствовать тактики и структуру атак, повышая их эффективность.

По оценкам ЛК и VDC Research, только за первые три квартала года только в производственном секторе атаки вымогателей привели к убыткам, превышающим 18 млрд долл.

В числе основных трендов исследователи ЛК отметили следующие:

- Непрерывный рост популярности утилит для обхода защитных механизмов и отключения EDR-решений, зачастую через доверенные компоненты (BYOVD). Класс инструментов EDR killer фактически стал стандартным элементом цепочек атак.

- Появление новых семейств на основе постквантовой криптографии. Одним из примеров является семейство шифровальщиков PE32, в котором для защиты AES-ключей используется современный стандарт ML-KEM.

- Переход к вымогательству без шифрования файлов. В 2025 году доля выплаченных выкупов снизилась до 28%, тогда как число случаев вымогательства без шифрования данных увеличилось. ShinyHunters - пример такой группы.

- Первоначальный доступ за плату. В 2026 году многие операторы обращались к услугам брокеров первоначального доступа и схеме Access-as-a-Service. Ключевые векторы первоначального доступа не изменились: наибольшую популярность по-прежнему имеют RDP, VPN и RDWeb. 

- Проекты и наборы данных вымогателей в даркнете. ТГ-каналы и теневые форумы все чаще выступают в роли платформ для распространения и продажи скомпрометированных данных и учетных записей, а также самих программ-вымогателей по подписке.

- Действия правоохранительных органов. В 2025-2026 гг. Были нейтрализованы RAMP, LeakBase, Nulled, Cracked и XSS. Также были ликвидированы DLS-сайты BlackSuit и 8Base.

Наиболее активной группой в 2025 году, осуществлявшей целевые атаки, по мнению ЛК, стала именно Qilin (одна из быстрорастущих и доминирующих RaaS-платформ) на фоне бездействия RansomHub.

Clop, вторая по активности группа в 2025 году, известна своими крупномасштабными атаками на цепочки поставок. Третье место досталось Akira, отличающейся постоянством и стабильностью операций, что обеспечивает ей устойчивый поток жертв без значительных спадов.

Отдельно стоит отметить DragonForce - не только из-за ее операций, но и из-за влияния на экосистему: группа была замечена в конфликтах, связанных с инфраструктурой, и, вероятно, причастна к срыву операций конкурентов.

Среди «новичков» в ransomware-индустрии ЛК выделелила предпочитающую кражи The Gentlemen, а также: Devman, MintEye, DireWolf, NightSpire, Vect, Tengu и Kazu.

Все дополнительные подробности - в отчете.

На этой неделе был взломан сайт существующего более 10 лет менеджера загрузок JDownloader с миллионами пользователей по всему миру, после чего стал распространять вредоносные установщики для Windows и Linux с RAT на основе Python.

Атака на цепочку поставок затронула тех, кто загрузил установочные файлы с официального сайта в период с 6 по 7 мая. По данным разработчиков, злоумышленники изменили ссылки для скачивания на сайте.

Первым сообщил о подставе пользователь PrinceOfNightSky на Reddit, заметивший детектирование Microsoft Defender загруженных установщиков в качестве вредоносных программ.

Веб-сайт официальный, но все исполняемые файлы для Windows вредоносные, а разработчиком указана компания Zipline LLC (в некоторых случаях указывается The Water Team), при том, что программа принадлежит Appwork.

В свою очередь, разработчики JDownloader подтвердили, что сайт был взломан, и отключили его для проведения расследования инцидента.

В своем отчете разработчики заявили, что сайт был взломан злоумышленниками, использовавшими неисправленную уязвимость в CMS, которая позволяла им изменять списки контроля доступа и контент сайта без аутентификации.

При этом злоумышленник не получил доступа к базовому стеку серверной части, в частности, к файловой системе хоста или к более широкому контролю на уровне ОС, выходящему за рамки веб-контента, управляемого CMS.

Инцидент затронул только альтернативные ссылки для загрузки установщика Windows и ссылку на установщик для Linux. Внутриигровые обновления, загрузки для macOS, Flatpak, Winget, пакеты Snap и основной JAR-пакет JDownloader не пострадали.

Разработчики рекомендуют пользователям удостовериться в подлинности установщика, исли в Digital Signatures указано, что файл подписан AppWork GmbH, то он является легитимным. Кроме того, JDownloader выкатила архив вредоносных установщиков для анализа.

Исследователь Томас Клеменц по результатам анализа вредоносных исполняемых файлов Windows представил общие IOCs вредоносного ПО, отмечая функционирования вредоносной ПО в качестве загрузчика, развертывающего сильно обфусцированный RAT на основе Python. 

Полезная нагрузка действует как модульный бот и платформа для удаленного доступа (RAT), позволяя злоумышленникам выполнять код на Python, передаваемый с серверов C2: https://parkspringshotel[.]com/m/Lu6aeloo.php и https://auraguest[.]lk/m/douV2quu.php.

Анализ модифицированного установщика оболочки Linux позволил выявить в скрипте вредоносный код, который загружает архив с сайта checkinnhotels[.]com, замаскированный под SVG-файл.

После загрузки скрипт извлекает два ELF-файла с именами pkg и systemd-exe, а затем устанавливает systemd-exec как SUID-root-файл в /usr/bin/.

Затем установщик копирует основную полезную нагрузку в /root/.local/share/.pkg, создает скрипт для обеспечения постоянного присутствия в /etc/profile.d/systemd.sh и запускает вредоносное ПО, маскируясь под /usr/libexec/upowerd.

Полезная нагрузка pkg также сильно обфусцирована с помощью Pyarmor, поэтому неясно, какие функции она выполняет.

Downloader заявляет, что пользователи подвергаются риску только в том случае, если они загрузили и запустили затронутые установщики в то время, когда сайт был взломан.

Поскольку вредоносное ПО могло выполнить произвольный код на зараженных устройствах, тем, кто установил вредоносные программы, рекомендуется переустановить свои ОС, а также считать, что учетные данные на устройствах были скомпрометированы.

Некто Mr_Rot13, как сообщается, успешно реализовал недавно обнаруженную критическую уязвимость в cPanel для развертывания бэкдора под названием Filemanager в скомпрометированных средах.

В атаке задействуется CVE-2026-41940, затрагивающая cPanel и WebHost Manager (WHM), которая приводит к обходу аутентификации и позволяет удаленным злоумышленникам получать расширенные права доступа к панели управления.

Согласно отчету QiAnXin XLab, вскоре после публичного раскрытия в конце прошлого месяца ряд злоумышленников воспользовались уязвимостью, что привело к майнингу, развертыванию программ-вымогателей, распространению ботнетов и внедрению бэкдоров.

Данные телеметрии показывают, что в настоящее время более 2000 IP злоумышленников по всему миру задействованы в автоматизированных атаках, нацеленных на использование этой уязвимости.

Все IP-адреса распределены по нескольким регионам мира, в основном Германии, США, Бразилии, Нидерландах и других регионах.

Дальнейший анализ эксплуатации позволил задететкить скрипт оболочки, использующий wget или curl для загрузки вируса на языке Go с удаленного сервера (cp.dene.[de[.]com), предназначенного для внедрения в скомпрометированную систему cPanel открытого ключа SSH для постоянного доступа, а также для установки веб-оболочки на PHP, облегчающей загрузку/скачивание файлов и выполнение команд.

Веб-оболочка впоследствии использовалась для внедрения кода JavaScript, который отображает персонализированную страницу входа в систему, позволяющую украсть учетные данные и перенаправить их в контролируемую злоумышленником систему, закодированную с использованием шифра ROT13 (wrned[.]com).

После передачи данных цепочка атак завершается развертыванием кроссплатформенного бэкдора, способного заражать системы Windows, macOS и Linux.

Инфицирующий вредонос также оснащен средствами для сбора конфиденциальной информации с скомпрометированного хоста, включая историю команд bash, данные SSH, информацию об устройстве, пароли к базам данных и виртуальные псевдонимы cPanel, а также отправки ее в группу Telegram из 3 участников, созданную пользователем 0xWR.

В цепочке заражения, проанализированной XLab, Filemanager распространяется через скрипт оболочки, загруженный с домена wpsock[.]com. Бэкдор поддерживает управление файлами, удаленное выполнение команд и функциональность командной оболочки.

По мнению исследователей, актор этой кампании годами действовал в тени. Домен C2, встроенный в JavaScript, использовался в бэкдоре на основе PHP (helper.php), который был загружен на VirusTotal еще в апреле 2022, и впервые зарегистрирован в октябре 2020.

За шесть лет, с 2020 года по настоящее время, уровень обнаружения образцов и инфраструктуры, связанных с Mr_Rot13, в продуктах безопасности все время оставался крайне низким.

В минувшие выходные Checkmarx предупредила, что на Jenkins Marketplace была опубликована вредоносная версия ее плагина для тестирования безопасности приложений (AST).

Взлом был осуществлен TeamPCP, которая инициировала серию атак на цепочку поставок, включая кампании Shai-Hulud в npm и взлом сканера уязвимостей Trivy, что привело к распространению стилеров.

Jenkins - одно из наиболее широко используемых решений для автоматизации непрерывной интеграции/непрерывного развертывания (CI/CD) ПО, предназначенное для сборки, тестирования, сканирования кода, упаковки приложений и развертывания обновлений на серверах.

Плагин Checkmarx AST на Jenkins Marketplace как раз интегрирует сканирование безопасности в автоматизированные конвейеры. В настоящее время в компании работают над выпуском новой версии этого плагина.

Это уже третий инцидент в серии атак на цепочку поставок, от которых пострадала компания, занимающаяся тестированием безопасности приложений, с конца марта.

По мнению исследователя Аднанда Хана, TeamPCP получила доступ к репозиториям Checkmarx на GitHub и внедрила бэкдор в плагин Jenkins AST для распространения вредоносного ПО, крадущего учетные данные.

Представитель компании подтвердил, что злоумышленник получил учетные данные для доступа к хранилищам данных в результате атаки на цепочку поставок Trivy в марте.

Хакеры смогли взаимодействовать со средой GitHub Checkmarx и впоследствии опубликовать вредоносный код в определенных репозиториях.

Причем в разделе «О программе» они оставили сообщение: «Checkmarx снова не удаётся обновить секретные ключи. С любовью, команда TeamPCP».

Используя учетные данные, украденные во время атаки Trivy, хакеры опубликовали модифицированные версии нескольких инструментов для разработчиков на GitHub, Docker и VSCode, которые содержали код, позволяющий красть информацию.

Злоумышленник сохранял доступ как минимум в течение месяца, а затем опубликовал вредоносную версию инструмента анализа KICS компании в Docker, OpenVSX и VSCode, которая собирала данные из сред разработки.

В конце апреля компания подтвердила, что группа злоумышленников LAPSUS$ допустила утечку данных, украденных из её закрытого репозитория на GitHub.

В субботу, 9 мая, в репозиторий repo.jenkins-ci.org была загружена вредоносная версия (2026.5.09) плагина Checkmarx Jenkins AST. Обновление выходило за рамки стандартного процесса выпуска плагина и содержало вредоносный код.

Помимо несоответствия официальной схеме форматирования дат, вредоносному плагину не хватало тега Git и релиза на GitHub.

Checkmarx рекомендует пользователям убедиться, что они используют версию плагина 2.0.13-829.vc72453fa_1c16, опубликованную 17 декабря 2025 года, или более старую версию.

Пока нет никаких подробностей о том, что делает вредоносный плагин Jenkins в системах, однако всем загрузившим вредоносную версию, следует полагать, что их учетные данные скомпрометированы, сменить все секретные данные и проверить возможность их перемещения внутри системы или закрепления в ней.

Checkmarx заявляет, что ее репозитории на GitHub изолированы от производственной среды клиентов, и никакие данные клиентов не хранятся в репозитории GitHub. Компания намерена продолжать предоставлять актуальную информацию по мере ее поступления.

Кроме того, опубликовала набор вредоносных артефактов, которые специалисты могут использовать в качестве IOCs в своих средах.