Исследователи из JFrog Security обнаружили вредоносный npm-пакет под названием @openclaw-ai/openclawai. Он маскируется под легитимный инструмент командной строки OpenClaw Installer, развертывая многоступенчатую цепочку заражения. Пакет собирает и передает данные, а также устанавливает постоянный RAT с возможностями удаленного доступа, включая прокси SOCKS5 и клонирование сессий браузера в реальном времени. После этого вредоносная программа переходит в режим, который позволяет ей отслеживать содержимое буфера обмена каждые три секунды и передавать данные. При установке OpenClaw следует использовать только официальный пакет из проверенных источников, а также следить за активностью сторонних npm-пакетов.
Ранее легитимное расширение для создания скриншотов в Chrome под названием ShotBird после передачи прав собственности превратилось в канал удаленного управления вредоносным ПО с цепочкой компрометации. Вредоносное обновление сохранило исходную функциональность, но добавило возможности удаления заголовков безопасности (например, X-Frame-Options) из каждого HTTP-ответа, что позволяло вредоносным скриптам, внедренным в веб-страницу, выполнять произвольные запросы к другим доменам, обходя защиту Content Security Policy (CSP). ShotBird отправляло на сервер адреса посещённых сайтов и метаданные страниц и перехватывало вводимые в формы пароли, банковские реквизиты и другие конфиденциальные данные. Пользователям рекомендуется избегать установки непроверенных расширений и проверять браузеры на наличие неизвестных расширений.
Исследователи из Qualys TRU обнаружили 9 уязвимостей типа «обманутый посредник» в системе мандатного управления доступом AppArmor в Linux. Они получили название «CrackArmor», однако им ещё не были присвоены номера CVE. Уязвимости позволяют непривилегированным пользователям манипулировать профилями безопасности с помощью псевдофайлов, обходить ограничения пространства имен пользователей и выполнять произвольный код в ядре. Также они облегчают локальное повышение привилегий до root посредством сложных взаимодействий с такими инструментами, как Sudo и Postfix. Проблема затрагивает все ядра Linux, начиная с версии 4.11, на любом дистрибутиве, интегрирующем AppArmor. В нескольких основных дистрибутивах, таких как Ubuntu, Debian и SUSE, более 12,6 миллионов корпоративных экземпляров Linux работают с включенной по умолчанию функцией AppArmor, поэтому для устранения этих уязвимостей рекомендуется немедленно установить последние обновления.
Новая технология под названием Zombie ZIP позволяет скрывать вредоносный код в сжатых файлах, обходя системы безопасности. Такие ZIP-архивы создаются специально, чтобы остаться незамеченными: при попытке распаковки стандартными средствами вроде WinRAR или 7-Zip возникают ошибки, а данные выглядят поврежденными. Принцип работы технологии основан на манипуляции заголовками архива. Zombie ZIP обманывает механизмы анализа, заставляя их воспринимать сжатые данные как уже распакованные. В результате инструменты безопасности, доверяя некорректному заголовку, не сканируют архив как потенциальную угрозу, а проверяют данные так, будто это просто копия файлов, помещенная в ZIP-контейнер. Пользователям следует с осторожностью относиться к архивным файлам, особенно к тем, которые получены от неизвестных лиц.
В ходе расследования атаки специалисты из IBM X-Force обнаружили новый штамм вредоносного ПО Slopoly, который принадлежит группировке Hive0163. Взлом начинался с применения методов социальной инженерии ClickFix, а на более поздних этапах атаки хакеры развернули бэкдор Slopoly в виде скрипта PowerShell. Этот скрипт обеспечивал устойчивость в системе, создавая запланированную задачу с именем «Runtime Broker», что позволяло злоумышленникам оставаться на скомпрометированном сервере больше недели. Анализ кода показал, что вредоносное ПО было разработано с помощью ИИ. В пользу этого говорят обширные комментарии в коде, структурированное логирование, обработка ошибок и четко названные переменные. Рекомендуется внедрить меры безопасности против ClickFix, такие как отключение команды «Win+R» или мониторинг ключа реестра RunMRU.
