Совсем недавно мы о приписываемой северокорейской группировке атаке, целью которой были разработчики ПО, находящиеся в процессе поиска работы. На прошлой неделе исследователи компании Microsoft опубликовали о еще одной похожей атаке. Если в прошлой работе основное внимание было уделено социальной инженерии, то исследователи Microsoft рещили сфокусироваться на технической стороне атаки.
Общая схема атаки показана на скриншоте выше. В процессе интервью разработчику присылают ссылку на код веб-приложения, написанного с использованием фреймворка Next.js. Код хранился на сервисе Bitbucket. Организаторы атаки предусмотрели несколько вариантов выполнения вредоносного кода, содержащегося в проекте. Например, может использоваться автоматизация для Visual Studio Code, которая дает команду на выполнение сразу после того, как разработчик открыл проект и обозначил его как доверенный.
В других случаях вредоносный код выполняется непосредственно при запуске проекта. Модифицированная JavaScript-библиотека декодирует скрый в коде URL, по которому загружается и выполняется основная вредоносная нагрузка. Альтернативный вариант загрузки и выполнения вредоносного кода предусмотрен на случай запуска бэкенда приложения. Во всех трех вариантах вредоносный код обращается к командному серверу — происходит процесс регистрации зараженной системы. На финальном этапе уже от другого командного сервера загружаются и выполняются команды, например на поиск файлов и директорий, а также на эксфильтрацию файлов.
Microsoft не сообщает никаких деталей об организаторе данной атаки. Известно только, что речь идет об обширной инфраструктуре зараженных «тестовых проектов», а также связанных с ними вредоносных библиотек. Авторы отчета рекомендуют свести к минимуму хранение секретов на рабочих станциях. Желательно использовать токены с малым сроком действия, если есть такая возможность. Для Visual Studio Code рекомендовано использование набора правил в Microsoft Defender и работа в режиме Restricted Mode.
Что еще произошлоВ двух новых исследованиях специалистов «Лаборатории Касперского» анализируются кампании, нацеленные на российские организации. Была новая фишинговая рассылка группировки Head Mare, использующая новый бэкдор PhantomCore. В другой анализируется новая атака группы Librarian Likho, впервые зафиксированная в ноябре прошлого года и продолжающаяся по настоящее время.
По данным из свежего компании Chainalysis, несмотря на рост количества атак на бизнес с последующим вымогательством, общая сумма выкупа снизилась. Анализ движения средств в криптовалюте дал оценку в 820 миллионов долларов выплат за 2025 год, что на 8% меньше, чем в 2024 году. Несмотря на падение общего дохода от киберкриминальной деятельности, медианный размер выплаты значительно вырос, и составил 60 тысяч долларов США.
В сетевых устройствах Zyxel сразу семь уязвимостей, из которых наиболее серьезной является (рейтинг по шкале CVSS v3 — 9,8 балла из 10 возможных). Ошибка в обработке данных по протоколу UPnP может приводить к выполнению произвольных команд на устройстве без аутентификации. Список подверженных устройств достаточно обширен: в него входят (в основном операторские) роутеры с подключением по DSL и оптике, а также роутеры 4G/5G и экстендеры беспроводной сети.
4,4 миллиона долларов в криптовалюте были после того, как налоговая служба Южной Кореи опубликовала фото конфискованных в ходе рейда ценностей. Помимо наличных денег и драгоценностей, на фото был показан аппаратный криптокошелек Ledger. Вместе с кошельком сфотографировали и парольную фразу, позволяющую восстановить доступ к криптовалюте. Естественно, кто-то немедленно «восстановил» доступ и перевел средства на собственный кошелек тремя последовательными транзакциями.
В свежей сборке Windows 11 Insider Preview новая опция, направленная на защиту batch-файлов. Ключ LockBatchFilesWhenInUse блокирует любые изменения в батниках, пока они используются.
