Специалисты ESET обнаружили прототип ransomware, который генерирует вредоносные сценарии в режиме реального времени при помощи локально запущенной LLM на базе модели gpt-oss:20b. Код одинаково работает на Windows, Linux и macOS, что делает угрозу кроссплатформенной, а генерация вредоносных скриптов происходит в режиме реального времени. Хотя образец носит характер Proof of Concept, данная находка демонстрирует снижение порога для разработки вымогателей с использованием ИИ. Рекомендуется ограничить запуск локальных LLM/интерпретаторов на рабочих станциях, усилить поведенческие правила EDR для признаков шифрования и генерации Lua-скриптов.
Специалисты из Aikido Intel сообщили об обнаружении вредоносных версий @nx в репозитории npm, которые имеют примерно 6 млн скачиваний в неделю. Nx используется для управления репозиториями и автоматизации сборки приложений. Постинсталляционный скрипт сканировал окружение разработчика, собирал токены и публиковал их открыто в GitHub-репозитории с префиксом s1ngularity-repository на аккаунте жертвы, что создавало немедленный риск несанкционированного доступа к исходному коду, CI/CD и облачным ресурсам. Уязвимые версии из пространства имен @nx и связанные плагины оперативно удалены из репозитория npm. Рекомендуется провести ротацию секретов, поиск/удаление автосозданных s1ngularity-repository и ревизию зависимостей и отключение небезопасных postinstall в политике сборки.
Исследователи Check Point Research раскрыли группировку Silver Fox APT, которая в своих атаках загружает уязвимый драйвер amsdk.sys от WatchDog Antimalware. Драйвер был подписан Microsoft и отсутствовал в Microsoft Vulnerable Driver Blocklist на момент исследования. Драйвер amsdk.sys используется для принудительного завершения защищенных процессов современных средств защиты. Рекомендуется включить и настроить обновления для MS Blocklist/HVCI, включить запрет загрузки неподписанных/уязвимых драйверов, проводить мониторинг служб SERVICE_KERNEL_DRIVER.
В Google Chrome была исправлена критическая уязвимость CVE-2025-9478 (CVSS: 8.8), которая затрагивает Use-After-Free в компоненте ANGLE. Уязвимость возникает при обработке графического содержимого и может приводить к исполнению произвольного кода в контексте браузера при посещении специально сформированной HTML-страницы. Потенциальная эксплуатация позволяет злоумышленнику обойти механизмы защиты и получить доступ к системе пользователя. Рекомендуется обновить Google Chrome до версии 139.0.7258.154, включить автоматические обновления для своевременного получения патчей, внеплановый перезапуск браузеров.
Исследователи BI.ZONE разобрали технику ESC3, которая позволяет злоумышленнику получить сертификат агента регистрации (EKU Certificate Request Agent) в центре сертификации (CS) Active Directory по шаблону без требований подписи и одобрения, открытом для низкопривилегированных пользователей. Далее этот сертификат используется для запроса сертификата от имени жертвы по второму уязвимому шаблону с EKU-аутентификацией (ClientAuth/SmartCard), где запрос «от агента» разрешен и одобрение отключено. При отсутствии ограничения Enrollment Agents на CA атака приводит к выпуску сертификата на привилегированную учетную запись вплоть до группы доменных администраторов и последующему получению TGT через PKINIT. Рекомендуется включить Restrict Enrollment Agents, установить требование msPKI-RA-Signature ≥ 1, ввести ограничение прав Enroll, а также вести инвентаризацию шаблонов и проводить регулярный аудит.
