Пожалуй, начинаем наступивший 2026 с вечно льющегося BreachForums, последняя иттерация которого вновь была слита в виде таблицы базы данных его пользователей, которая включает сведения в отношении более чем 672 000 учетный записей.

9 января 2026 года, на сайте группировки ShinyHunters появилось сообщение об утечке базы данных, содержащей все записи пользователей
BreachForums, который пришел на место тогдашнему RaidForums после его нейтрализации силовиками в феврале 2022 года.

Впоследствии BreachForums неоднократно перезапускался под новыми доменами после продолжающейся серии утечек его базы данных, что многих наводило на мысль о причастности спецслужб к его функционированию, можно сказать, под прикрытием.

Очередной пролив был опубликован в качестве 7Zip-архива под названием breachedforum.7z, который включал три файла со следующими названиями: shinyhunte.rs-the-story-of-james.txt, databoose.sql и breachedforum-pgp-key.txt.asc.

При этом сами хакеры из ShinyHunters официально заявляют, что не имеют никакого отношения к сайту, с которого распространяется этот архив.

Первый файл, breachedforum-pgp-key.txt.asc, содержит закрытый ключ PGP, созданный 25 июля 2023 года, который используется BreachForums для подписи официальных сообщений от администраторов.

Однако он был защищен парольной фразой и его невозможно использовать. Правда, позже пароль опубликовали, он оказался легитимным.

Второй, ataboose.sql, представляет собой таблицу базы данных пользователей MyBB (mybb_users), содержащую сотни тысяч записей о пользователях, включая отображаемые имена пользователей, даты регистрации, IP-адреса и другую внутреннюю информацию.

Анализ таблицы показывает, что большинство IP-адресов соответствуют локальному IP-адресу (0x7F000009/127.0.0.9), поэтому они малополезны, однако другая часть записей соответствуют общедоступным IP-адресам и весьма интересна.

Последняя дата регистрации пользователей в слитой базе данных - 11 августа 2025 года, то есть в тот же день, когда был закрыт предыдущий форум BreachForums по адресу breachforums[.]hn.

Закрытие форума последовало за арестом некоторых из его предполагаемых операторов.

Причем в тот же день участники банды вымогателей ShinyHunters опубликовали сообщение в Telegram-канале Scattered Lapsus$ Hunters с предупреждением о том, что форум является ловушкой правоохранительных органов.

Администрация BreachForums опровергла эти обвинения.

Домен breachforums[.]hn был впоследствии изъят силовиками в октябре 2025 года после того, как он был перепрофилирован для вымогательства у компаний, пострадавших от атак, связанных с Salesforce, которые провернули ShinyHunters.

Нынешний администратор BreachForums подтвердил факт нового взлома, заявив, что резервная копия таблицы базы данных пользователей MyBB была временно размещена в незащищенной папке.

При этом данные, о которых идёт речь, получены в результате утечки старой таблицы пользователей, произошедшей в августе 2025 года, в период восстановления/возврата BreachForums из домена .hn.

Как отмечается, в процессе восстановления таблица пользователей и ключ PGP форума были временно сохранены в незащищенной папке на очень короткий период времени и были единоразово эксфильтрованы.

Совпадение? Ответ вы и сами знаете.

Так или иначе для некоторых Новый год точно начнется с новых знакомств и неожиданных гостей.

Так что будем посмотреть.

Позитивы продолжают давать аналитику по кибертрендам и киберпрогнозам на 2026 год, в новом отчете - основное внимание уделили технологическим трендам, которые, по их мнению, способны изменить правила игры в сфере ИБ.

Тренд первый: применение AI, ML в российских решениях для кибербезопасности.

Он стал ключевым в 2025 году. Основная цель - повысить качество ключевых функций продуктов, снизить количество рутинных операций, сократить время реакции на инциденты, а также - их анализа.

При этом важно понимать, что есть разные пути внедрения технологий, но независимо от их выбора они должны быть безопасными. Например, использование коммерческих LLM с передачей телеметрии на заграничные серверы - это серьезная угроза безопасности.

AI-модели лишь начинают использоваться в качестве компонентов средств защиты и пока не стали гейм-чейнджерами для клиентов, но новый год, судя по тому, какие задачи уже смог взять на себя AI, может стать переломным.

Тренд № 2: возвращение в «облака».

После 2022 года многие компании стали ярыми противниками «облаков» на фоне санкционной политики и отзыва зарубежными вендорами лицензий. В 2024 год тренд на использование «облаков» начал разворачиваться, а в 2025-м усиливаться.

Одновременно с этим растет доверие к российским облачным сервисам, а на фоне дефицита серверов и оборудования они иногда являются единственным решением для бизнеса.

Вендоры в сфере ИБ также используют облачные платформы для дополнительных услуг - будь то расширенные данные threat intelligence или применение AI- и ML-технологий, требующих высокопроизводительных серверов, которые не всегда есть на стороне клиента.

MDR-, MSS-провайдеры также являются частью тренда: они строят кибербезопасность под ключ из «облака», передавая провайдерам данные с сенсоров SOC. Так что «облачный» тренд сохранится в ближайшие годы и это направление будет развиваться быстрее других в сфере ИТ и ИБ.

Тренд третий: результативность и измеримая кибербезопасность.

На фоне громких кибератак последних лет и 2025 года, в частности, у многих компаний возник запрос на то, чтобы регулярно получать объективное понимание защищенности и измерять результат применения той или иной технологии или функции в целом.

Это свидетельствует о повышении уровня зрелости компаний и о продолжающемся переходе от бумажной безопасности к практико-ориентированной, как вывод: тенденция будет только усиливаться в ближайшие годы.

Тренд четвертый: упрощение технологий ИБ.

За последние несколько лет количество компаний, создавших подразделение ИБ, возросло многократно, в том числе и за счет небольших организаций.

Вместе с тем дефицит кадров только усиливается, а порог входа в сферу ИБ снижается, - вендорам необходимо адаптировать свои продукты и под новых, менее подготовленных специалистов.

И, наконец, AI станет ключевым инструментом в борьбе с хакерами.

Если раньше выявлять массовые атаки удавалось по простым сигнатурам и известным уязвимостям, то современные техники злоумышленников позволяют избегать привычных методов обнаружения и быстро увеличивать площадь атаки.

Для обеспечения безопасности ИБ-вендорам следует развивать и внедрять технологии машинного обучения в свои решения. Тем более, что, по прогнозам исследователей, в 2026 году число успешных кибератак на Россию может вырасти на 30–35%.

Поглядим.

Вслед за бритами с требованием доступа к яблочному облаку новые беспрецедентные правила для технологических компании разрабатывает Индия, апеллируя к необходимости обеспечения мобильной безопасности и борьбой с кибермошенничеством.

Власти предлагают обязать производителей смартфонов делиться исходным кодом с правительством и вносить ряд изменений в ПО, что, конечно, пришлось не по нраву таким гигантам, как Apple и Samsung.

Технологические компании раскритиковали пакет из 83 стандартов безопасности, который будет включать требование уведомлять Национальный центр безопасности связи о крупных обновлениях ПО, а также доступ к тестированию их в национальных лабораториях.

В индийских предложениях также содержится требование к компаниям вносить изменения в ПО, позволяющие удалять предустановленные приложения, а также блокировать использование камерами и микрофонами в фоновом режиме.

Предложенные в Индии меры предусматривают обязательное автоматическое и периодическое сканирование телефонов на наличие вредоносных программ, а также хранение журналов работы телефона на устройстве не менее 12 месяцев.

По мнению производителей, подобные требования не имеют каких-либо реальных прецедентов и могут привести к раскрытию конфиденциальных данных, что особенно критично для второго по величине в мире рынке смартфонов, насчитывающем почти 750 млн. устройств.

Министр информационных технологий С. Кришнан заявил агентству, что «любые обоснованные опасения отрасли будут рассмотрены непредвзято» и «преждевременно делать из этого какие-либо более глубокие выводы».

Тем не менее, в министерстве отказались от дальнейших комментариев в связи с продолжающимися консультациями с технологическими компаниями по поводу этих предложений.

При этом сами консультации якобы направлены на разработку «надлежащей и надежной нормативно-правовой базы для мобильной безопасности», и министерство «регулярно» взаимодействует с отраслью, «чтобы лучше понимать технические и нормативные требования».

Также в министерстве опровергли утверждения том, что рассматривают возможность получения исходного кода от производителей смартфонов, не вдаваясь в подробности и не комментируя вышесказанные правительственные или отраслевые документы.

Тем временем в Apple, Samsung, Google, Xiaomi и MAIT (индийская отраслевая группа), представляющая интересы этих фирм, пока также особо никак не комментируют ситуацию.

По словам источников, во вторник состоится встреча представителей министерства информационных технологий и руководителей технологических компаний для дальнейшего обсуждения.

Требования индийского правительства и раньше вызывали недовольство в кругу технологических компаний.

Только в прошлом месяце отменили распоряжение, обязывающее устанавливать на телефоны госприложение для кибербезопасности, на фоне опасений по поводу слежки.

Однако годом ранее правительство все же обязало тестировать камеры видеонаблюдения из-за опасений шпионажа.

Пока неясно удастся ли чиновникам протащить свой пакет.

Ведь, например, Apple отклоняла аналогичный запрос Китая на предоставление исходного кода в период с 2014 по 2016 гг.

Правоохранительные органы США также пытались получить его, но безуспешно.

Источник, непосредственно знакомый с ситуацией, сообщил, что на прошлой неделе MAIT обратилась в министерство с просьбой отказаться от этого предложения.

В общем, будем следить.

Подкатил весьма показательный обзор уязвимостей 2025 года от Джерри Гамблина.

В прошлом году было зарегистрировано более 48 000 уязвимостей (без учета отклоненных), которым были присвоены идентификаторы CVE, что на 20,6% больше, чем в 2024 году (39 962).

При этом общее число CVE с 1999 года в настоящее время составило - 308 920!

Рост в годовом исчислении колеблется, но 21%-ный рост в 2025 году является самым значительным по сравнению с предыдущим годом.

Это указывает на то, что, несмотря на улучшение инструментов, темпы обнаружения опережают возможности по устранению.

При этом в пиковый день, 26 февраля, за 24 часа было опубликовано почти 800 CVE.

По мнению исследователя, такие всплески создают огромные «интервалы риска», когда группы специалистов по ИБ перегружены данными.

Несмотря на столь внушительный рост, медианный балл CVSS остался стабильным - 6.60, что указывает на концентрацию в категории уязвимостей средней степени серьезности.

Но зафиксировано и значительное количество уязвимостей с баллами от 7,0 до 8,9.

В общей массе критических проблем оказалось 3984, к высокосерьезным уязвимостям отнесено 15003 CVE, а на долю средних и низких пришлось 25551 и 1557 соответственно.

Доминирование CWE-79 с более чем 8000 записями вызывает тревогу.

Несмотря на то, что XSS известен уже десятилетия, он остается наиболее распространенным классом уязвимостей. В сочетании с CWE-74, CWE-862 и CWE-89 веб-уязвимости составили огромную часть ландшафта угроз.

Анализ показывает, что в 2025 году наибольшее количество уязвимостей было обнаружено в ядре Linux (3649), за ним следуют Windows 10 (623) и Android (509), в macOS - 362.

Вообще, если смотреть по поставщикам, то в первой пятерке помимо Linux затисались Microsoft и Adobe, как и в предыдущие годы, а Code-Projects и Apple замыкают список. И только за ними идут IBM и Google.

Примечательно, что ситуация на рынке CNA кардинально изменилась.

Компании, занимающиеся безопасностью WordPress (Patchstack, Wordfence), теперь превосходят таких крупных технологических гигантов, как Microsoft и Google, порождая «Эффект WordPress».

Как оказалось, на Patchstack и Wordfence приходится более 10 000 CVE в совокупности, огромная масса уязвимостей сместилось с проблем «ядра ОС» на проблемы «сторонних плагинов».

В общем, в 2025 году количество выявленных уязвимостей достигло рекордного уровня и главный вывод прост: невозможно исправить всё.

При таком объёме обновлений единственный выход - расставлять приоритеты и по возможности автоматизировать.

И, конечно, не можем обойти вниманием аномалию в маршрутизации BGP, которая наблюдалась в Венесуэле буквально за несколько часов до операции американских военных, в результате которой был похищен Николас Мадуро.

Как отмечает Грэм Хелтон, основываясь на общедоступных данных BGP, в начале января 2026 года фиксировались несколько интересных аномалий в маршрутизации, связанных с AS8048, эксплуатируемой CANTV, государственной телекоммуникационной компанией Венесуэлы.

Но, тут же нарисовались специалисты из Cloudflare, которые провели собственный технический анализ тех же событий маршрутизации, назвав произошедшее всего лишь «случайностью».

Cloudflare все списала на ошибки конфигурации или политик, а не на преднамеренное вмешательство.

Впрочем, читатели нашего канал прекрасно помнят, как незадолго до похищения Мадуро в даркнет начали массово сливать данные, украденные из администрации президента, ведущих министерств и оскомпаний Венесуэлы, с акцентом на сведения по зарплатам и бонусам.

Instagram заявляет об исправлении ошибки, позволявшей злоумышленникам массово рассылать запросы на сброс паролей по электронной почте.

Все это произошло на фоне слухов о том, что данные более чем 17 млн. аккаунтов утекли в даркнет.

Как заявили представители экстремистской Meta, взлома систем не было, а аккаунты пользователей в Instagram остаются в безопасности.

Просто следует игнорировать эти электронные письма.

Ажиотаж по поводу предполагаемой утечки данных Instagram начался после того, как представители Malwarebytes выпустили предупреждение о том, что киберпреступники смогли выкрасть данные 17,5 миллионов аккаунтов.

Все они впоследствии попали в общий доступ на многочисленных хакерских форумах, при этом автор публикации утверждал, что они были собраны в результате неподтвержденного слива через API Instagram в 2024 году.

В общей сложности предоставленные данные содержат информацию по 17 017 213 профилям аккаунтов Instagram, включая номера телефонов, имена пользователей, фамилии, физические адреса, адреса электронной почты и идентификаторы Instagram.

В свою очередь, исследователи в X высказали предположения [1, 2], что собранные данные относятся к инциденту с парсингом через API 2022 года, но не предоставили никаких четких доказательств.

При этом в Meta оперативно опровергли какие-либо инциденты, связанные с API, как в 2022, так и в 2024 году.

Тем не менее, все помнят, как ранее Instagram уже сталкивался с парсингом через API, например, с использованием ошибки 2017 года, которая была задействована для сбора и продажи личной информации предположительно 6 млн. аккаунтов.

Пока достоверно неясно, являются ли недавние слитые данные из Instagram компиляцией утечки 2017 года или же новым сливом дополнительных данных, собранных за последние пару лет.

Единственная хорошая новость, что в просочившихся данных нет паролей, во всяком случае пока.

Так или иначе ошибку в Meta признали и исправили, а пользователи уже получили письма с запросом на сброс паролей, что, под все видимости, указывает на начало отработки слитого массива со стороны киберподполья, а значит - следует ожидать обновления статуса инцидента.

Но будем посмотреть.

Trend Micro сообщила о критической уязвимости в Apex Central (локальная версия), которая позволяпет злоумышленникам выполнять произвольный код с привилегиями SYSTEM.

Apex Central - это веб-консоль для управления множеством продуктов и сервисов Trend Micro (включая антивирусное ПО, защиту контента и системы обнаружения угроз) и развертывания компонентов, включая антивирусных шаблонов, механизмы сканирования и правила защиты от спама, из единого интерфейса.

Уязвимость LoadLibraryEX отслеживается как CVE-2025-69258 и позволяет злоумышленникам, не имеющим привилегий в целевой системе, получать доступ к удаленному выполнению кода путем внедрения вредоносных DLL-библиотек в исполняемый файл ключа в ходе простых атак, не требующих взаимодействия с пользователем.

Обнаружившие проблему исследователи Tenable поделились техническими подробностями и PoC-эксплойтом, добавив, что неавторизованные удаленные злоумышленники могут отправить специально сформированное сообщение процессу MsgReceiver.exe, работающему на TCP-порту 20001, что приведет к выполнению предоставленного злоумышленником кода в контексте безопасности SYSTEM.

Несмотря на то, что для реализации уязвимости может потребоваться выполнение ряда конкретных условий, Trend Micro настоятельно рекомендует клиентам как можно скорее обновить программное обеспечение до последних версий.

При этом помимо своевременного применения исправлений и обновленных решений, пользователям также рекомендуется проверить удаленный доступ к критически важным системам и убедиться в актуальности политик и мер безопасности периметра.

Для устранения уязвимости Trend Micro выпустила критическое обновление Build 7190 c исправлением двух других уязвимостей, приводящих к DoS (CVE-2025-69259 и CVE-2025-69260), которые могут быть использованы неавторизованными злоумышленниками.

Исследователи Huntress полагают, что эксплойт для трех 0-day в VMware ESXi, исправленных в марте 2025 года, был разработан более чем за год до публичного раскрытия информации.

Три уязвимости отслеживаются как CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226 и получили название ESXicape.

Они позволяют привилегированным злоумышленникам выполнять произвольный код и выходить за пределы виртуальной машины для компрометации гипервизора.

В прошлом году Broadcom предупреждала, что все три уязвимости задействовались злоумышленниками в качестве 0-day, но не предоставив тогда никакой информации об этих атаках.

Теперь же, согласно данным Huntress, стало известно, что в декабре 2025 года злоумышленник попытался использовать уязвимости VMware ESXi в атаке, вероятно, с применением ransomware.

Первоначальный доступ к целевой среде был получен через взломанный VPN-сервер SonicWall.

Затем хакеры, используя учетную запись администратора домена, получили доступ к основному контроллеру домена и развернули набор инструментов для эксплуатации уязвимостей ESXi.

В ходе атаки они модифицировали брандмауэр Windows, блокируя доступ жертвы к внешним сетям, собрали данные для эксфильтрации, а затем запустили эксплойт, который позволил выйти за пределы виртуальной машины и развернуть бэкдор на гипервизоре ESXi.

Судя по характеру уязвимости VMware, в Huntress предполагают, что она была реализована выкосопрофессиональным актором, предположительно, действующим в китайскоязычном регионе.

При этом выявленный набор инструментов потенциально был разработан под нули более чем за год до публичного раскрытия информации VMware.

На основании временных меток в бинарных файлах эксплойта, Huntress полагает, что эксплойт мог быть создан еще в феврале 2024 года, а инструментарии для связи VSOCK - вероятно, в ноябре 2023 года.

Как отмечает Huntress, набор инструментов для эксплуатации уязвимостей в целом поддерживает 155 сборок ESXi, охватывающих версии от 5.1 до 8.0.

Так что рекомендуется как можно скорее установить исправления для этих уязвимостей VMware ESXi.

Ведь телеметрия Shadowserver Foundation показывают, что по состоянию на начало января более 30 000 экземпляров ESXi, подключенных к сети, все еще могут быть уязвимы для CVE-2025-22224.

Кроме того, эти развертывания также могут быть подвержены и другим ошибкам.

На прошлой неделе миллионы мышей Logitech лишились возможности запускать пользовательские скрипты после того, как один из облачных серверов компании вышел из строя, как оказалось, в виду оплошности разработчиков.

Накануне сбоя у компании истёк Apple Developer Certificate и его попросту забыли продлить.

В итоге на macOS по всему миру перестало запускаться приложение Options+ и G HUB, а также перестали работать пользовательские настройки у мышей MX Master и клавиатур.

Новые MX Master 3S и MX Master 4 можно сказать окирпичились.

Основные симптомы у большинства пользователей на Mac проявлялись в бесконечной загрузки приложения Logitech, в некоторых случаях зависшее Options+ оставалось в фоновом режиме, вызывая перегрев ноутбуков и ускоренный разряд аккумулятора.

В Logitech официально подтвердили проблему, заверили подготовить и выпустить исправления в ближайшее время.

Пока юзеры учились управлять компьютером при помощи одной клавиатуры, многие задавались другим вопросом - избыточной функциональности приложения Logi Options+, которое требует постоянного активного Интернет-соединения для реализации расширенного набора возможностей.

При этом без установленного Options+ значительная часть функционала современной премиальной периферии Logitech (в частности, кастомизация кнопок, жестовые команды, продвинутые настройки прокрутки и профили под разные приложения) становится недоступной.

Подкатил первый в этом году Patch Tuesday от Microsoft с исправлениями для 114 уязвимостей, в том числе одной активно используемой и двух публично раскрытых 0-day.

Patch Tuesday устраняет восемь критических уязвимостей, 6 из которых представляют собой RCE, а 2 - EoP.

Общее распределение по категориям выглядит следующим образом: 57 - EoP, 3 - обоход функции безопасности, 22 - RCE, 22 - раскрытие информации, 2 - DoS, 5 - подмена данных.

Активно эксплуатируемая 0-day, исправленная в январском Patch Tuesday, отслеживается как CVE-2026-20805 и затрагивает диспетчер окон рабочего стола, приводя к раскрытию информации.

Как поясняет Microsoft, раскрытие конфиденциальной информации неавторизованному пользователю в Desktop Windows Manager позволяет авторизованному злоумышленнику получить доступ к информации локально.

Компания заявляет, что успешная эксплуатация этой уязвимости позволяет злоумышленникам считывать адреса памяти, связанные с удаленным портом ALPC.

В случае успешной реализации этой уязвимости злоумышленником может быть раскрыта информация, представляющая собой адрес участка удаленного порта ALPC, то есть памяти пользовательского режима.

Она была выявлена Центром анализа угроз Microsoft (MSTIC) и Центром реагирования на угрозы безопасности Microsoft (MSRC), однако подробности ее исправления в реальных условиях не сообщаются.

Среди публично раскрытых 0-day - CVE-2026-21265 и CVE-2023-31096.

Первая представляет собой уязвимость обхода функции безопасности, связанной с истечением срока действия сертификата безопасной загрузки.

Microsoft предупреждает, что срок действия сертификатов Windows Secure Boot, выданных в 2011 году, подходит к концу, и системы, которые не были обновлены, подвержены повышенному риску обхода безопасной загрузки злоумышленниками.

Исправления обновляют затронутые сертификаты для сохранения цепочки доверия безопасной загрузки и позволяют продолжать проверку компонентов загрузки.

Компания ранее сообщала об этой уязвимости в июньском уведомлении по сертификатам Windows Secure Boot и обновлениям центра сертификации.

Другая 0-day (CVE-2023-31096) связана с повышением привилегий в драйвере программного модема Windows Agere.

Ранее в октябрьском патче пользователей предупреждали об активно используемых уязвимостях в стороннем драйвере модема Agere, поставляемом с поддерживаемыми версиями Windows, и отмечалось, что они будут устранены в будущем обновлении.

Уязвимости были использованы для получения административных привилегий в скомпрометированных системах. В рамках январских обновлений Microsoft удалила уязвимые драйверы agrsm64.sys и agrsm.sys из Windows.

Полное описание каждой уязвимости и затронутых систем - здесь.

Trust Wallet полагает, что взлом ее расширения для браузера, в результате которого было украдено около 8,5 млн. долларов из более чем 2500 криптокошельков, вероятно, связан с ноябрской атакой Sha1-Hulud.

Как ранее мы сообщали, в результате инцидента 24 декабря были украдены миллионы долларов в криптовалюте из взломанных кошельков пользователей Trust Wallet.

Это случилось после того, как злоумышленники добавили вредоносный JavaScript-файл в версию 2.68.0 расширения Trust Wallet для Chrome, который позволил злоумышленникам похитить конфиденциальные данные кошелька и совершить несанкционированные транзакции.

В результате атаки были раскрыты секретные данные разработчиков Trust Wallet в GitHub, что дало злоумышленнику доступ к исходному коду расширения для браузера и ключу API Chrome Web Store (CWS).

Злоумышленник получил полный доступ к API CWS через утёкший ключ, что позволило загружать сборки напрямую, минуя стандартный процесс выпуска Trust Wallet, требующий внутреннего утверждения/ручной проверки.

Как пояснили в Trust Wallet, на следующем этапе атаки злоумышленник зарегистрировал домен metrics-trustwallet.com и поддомен api.metrics-trustwallet.com для размещения вредоносного кода, который впоследствии был задействован в троянизированной версии расширения.

Модифицированная версия была создана с использованием исходного кода, полученного через раскрытые секреты разработчиков GitHub, что позволило злоумышленнику внедрить вредоносный код для сбора конфиденциальных данных без использования традиционных методов внедрения кода.

Используя утекший ключ CWS, злоумышленник опубликовал версию 2.68 в Chrome Web Store, которая была автоматически выпущена после прохождения проверки со стороны Trust Wallet.

В ответ на инцидент Trust Wallet отозвала все API для выпуска новых версий для блокировки попыток их распространения, а также сообщила о вредоносных доменах регистратору NiceNIC, который незамедлительно заблокировал их.

Trust Wallet также начала возмещать убытки жертвам инцидента, предупреждая о том, что злоумышленники в настоящее время выдают себя за службу поддержки, распространяя фейковые формы для получения компенсации и реализуют мошеннические схемы через рекламу в телеге.

Стоит напомнить, что Sha1-Hulud (Shai-Hulud 2.0) - это атака на цепочку поставок, нацеленная на реестр программного обеспечения npm, в котором зарегистрировано более 2 миллионов пакетов.

В результате первоначальной вспышки в начале сентября злоумышленники скомпрометировали более 180 пакетов npm, используя самораспространяющуюся полезную нагрузку, применив ее для кражи секретов разработчиков и ключей API с помощью инструмента TruffleHog.

Shai-Hulud 2.0 разросся в геометрической прогрессии и затронул уже более 800 пакетов, добавив в репозиторий npm более 27 000 вредоносных пакетов, которые использовали вредоносный код для сбора секретов разработчиков и CI/CD и публикации их на GitHub.

В общей сложности Sha1-Hulud раскрыл около 400 000 необработанных секретов и опубликовал украденные данные в более чем 30 000 репозиториях GitHub, при этом более 60% утекших токенов NPM оставались действительными по состоянию на 1 декабря.

Как полагают исследователи Wiz, злоумышленники продолжают совершенствовать свои операции по сбору учетных данных, используя экосистему npm и GitHub, а учитывая растущую изощренность и достигнутые успехи, прогнозируется продолжение атак, в том числе с применением накопленного к настоящему моменту массива учетных данных.

Почти 60 000 экземпляров n8n в сети остаются незащищенными от уязвимости максимальной степени серьезности, получившей название Ni8mare.

n8n представляет собой платформу автоматизации рабочих процессов с открытым исходным кодом, которая позволяет подключать различные приложения и сервисы с помощью готовых коннекторов и визуального интерфейса на основе узлов без написания кода.

Платформа широко используется в разработке ИИ для автоматизации сбора данных, создания ИИ-агентов и конвейеров RAG, имеет более 100 млн. загрузок на Docker Hub и более 50 000 еженедельных скачиваний на npm.

Поскольку n8n служит центральным узлом автоматизации, она часто хранит ключи API, токены OAuth, учетные данные баз данных, доступ к облачному хранилищу, секреты CI/CD и бизнес-данные, что делает его привлекательной целью для злоумышленников.

Упомянутая уязвимость отслеживается как CVE-2026-21858 и связана с некорректной проверкой входных данных, позволяя удаленным неаутентифицированным злоумышленникам получить контроль над локально развернутыми экземплярами n8n после получения доступа к файлам на базовом сервере.

Уязвимый рабочий процесс может предоставить доступ неавторизованному удаленному злоумышленнику, что потенциально может привести к утечке информации в системе и способствовать дальнейшей компрометации в зависимости от конфигурации развертывания и использования рабочего процесса.

Экземпляр n8n потенциально уязвим, если в нем активен рабочий процесс с триггером отправки формы, принимающим элемент файла, и узлом завершения формы, возвращающим бинарный файл.

Обнаружившие Ni8mare в начале ноября исследователи Cyera отмечают, что уязвимость заключается в путанице типов содержимого при анализе данных в n8n, что может быть использовано для раскрытия секретов, хранящихся на экземпляре, подделки сессионных cookie для обхода аутентификации, внедрения конфиденциальных файлов в рабочие процессы или даже выполнения произвольных команд.

В свою очередь, Shadowserver задетектировала 105 753 незащищенных экземпляра в открытом доступе, при этом 59 558 оставались незащищенными по состоянию на воскресенье. Из них более 28 000 IP относились к США и более 21 000 располагались в Европе.

Для предотвращения потенциальных атак администраторам рекомендуется как можно скорее обновить свои экземпляры n8n до версии 1.121.0 или более поздней.

Несмотря на то, что разработчики n8n заявляют об отсутствии обходного пути для Ni8mare, администраторы могут блокировать потенциальные атаки, ограничивая или отключая общедоступные конечные точки веб-перехватчиков и форм.

Разработчики n8n также представили шаблон для сканирования экземпляров на наличие потенциально уязвимых рабочих процессов.

Позитивы завершают подведение киберитогов 2025 года отчетом про уязвимости в железе и программном обеспечении.

Из основного:

- Белый хакинг: ключевые цифры и новые базы уязвимостей:

В прошлом году исследователи Positive Technologies обнаружили около 450 0-day (большая часть устранена) в оборудовании и ПО отечественных и зарубежных поставщиков, включая глобальных мировых лидеров, что вчетверо превышает показатель 2024 года (114 недостатков).

Такой разрыв объясняется не только ростом числа уязвимостей, но и смещением исследовательского фокуса на еще более активный поиск уязвимостей. При этом отношение вендоров к вопросам устранения уязвимостей продолжает меняться в лучшую сторону.

Скорость реагирования разработчиков на уведомление об уязвимости увеличилась на 10%, а число уязвимостей, которые были полностью исправлены в течение 30 дней, увеличилось на 15%, а доля тех, для устранения которых требовалось до 60 дней, сократилась на 20%.

Десятая часть (9%) найденных Positive Technologies дефектов защиты имела критически высокий уровень опасности. При этом прослеживается любопытная тенденция: две трети из них (67%) содержались в промышленных системах и устройствах (АСУ ТП).

Количество брешей в российских решениях выросло почти втрое по сравнению с прошлым годом, составив примерно 30% от общей суммы зафиксированных.

На следующий год Позитивы прогнозируют дальнейший рост количества уязвимостей в отечественном ПО, связывая это с тем, что рынок продолжает переходить на российские продукты, а в коммуникации с зарубежными вендорами по‑прежнему есть некоторые трудности.

- 2025–2026: какие уязвимости были и будут в тренде:

В уходящем году эксперты Positive Technologies отнесли к трендовым 63 уязвимости в ОС, прикладном ПО, почтовых серверах, сетевых устройствах и других продуктах.

Для 47 из 63 трендовых уязвимостей были зафиксированы признаки эксплуатации в атаках, для 12 - публичные эксплойты, но без признаков эксплуатации.

Большинство трендовых уязвимостей было связано с выполнением произвольного кода (30) и с повышением привилегий (19).

Microsoft остается стабильным «поставщиком» трендовых уязвимостей. В этом году продукты вендора содержали 30 таких брешей, что составило 47% от общего количества.

В прошлом году Позитивы прогнозировали увеличение количества трендовых уязвимостей в отечественных продуктах. Их оказалось четыре: RCE в CommuniGate Pro (PT-2024-41 036) и цепочка уязвимостей в TrueConf Server (PT-2025-36 231 - PT-2025-36 233).

В 2026 году ожидается увеличение доли трендовых уязвимостей в отечественных продуктах и преобладающего объема таких уязвимостей в продуктах Microsoft.

- Исследование микроэлектроники и встраиваемых систем: итоги года и прогнозы:

Прошлый год показал рост числа подключенных устройств, а также отмечен выпуском нескольких отечественных микроконтроллеров на архитектуре RISC‑V.

В 2026-м, вероятно, появятся как устройства на их основе, так и новые отечественные микроконтроллеры и даже процессоры. Однако ускорение разработки не должно достигаться за счет снижения уровня защищенности продукта.

Единственный вариант избежать этого - при разработке новых чипов сразу применять подход secure by design. Это приведет к тому, что технологии защиты на уровне железа, такие как аппаратные корни доверия, будут распространяться во все более младшие модели чипов.

В прошлом году мы упоминали про майскую прошлогоднюю операцию спецслужб Финляндии, Нидерландов и США, которым удалось нейтрализовать инфраструктуру AVCheck, подпольного сервиса, популярного в среде киберпреступности.

Сервис функционировал более десяти лет и позволял разработчикам вредоносного ПО тестировать свой код с помощью основных антивирусных движков и сканеров вредоносного ПО.

Тогда под арест попал AVCheck[.]net и четыре других домена - Cryptor[.]biz, Cryptor[.]live, Crypt[.]guru и Getcrypt[.]shop, - которые предоставляли malware crypting.

Последние два также управлялись администраторами AVCheck.

В своем ТГ-канале администраторы AVCheck заявляли, что сервисы были отключены «из-за непредвиденных обстоятельств», а голландской полиции незадолго до операции удалось запустить фейковую страницу авторизации AVCheck.

Как оказалось, их усилия оказались не напрасными.

На днях силовики Нидерландов арестовали администратора AVCheck, которым оказался 33-летний гражданин Нидерландов, который выехал из страны после названных событий и осел в Объединенных Арабских Эмиратах.

Однако по приезду на родину ему скрутили ласты.

Согласно официальному заявлению THTC, расследование деятельности AVCheck продолжается и, вероятно, будет нацелено на клиентов и других пособников сервиса.

Опубликованы полные технические подробности и PoC для критической уязвимости, затрагивающей Fortinet SIEM, которая может быть использована удаленным неавторизованным злоумышленником для выполнения команд или кода.

Уязвимость отслеживается как CVE-2025-25256 и представляет собой комбинацию двух проблем, позволяющих осуществлять произвольную запись с правами администратора и повышать привилегии до уровня root.

Исследователи Horizon3 сообщили об этой проблеме в середине августа 2025 года, а в начале ноября Fortinet устранила ее в четырех из пяти веток разработки продукта и на этой неделе объявила, что все уязвимые версии были исправлены.

Fortinet описывет CVE-2025-25256 как «неправильную нейтрализацию специальных элементов, используемых в командах ОС FortiSIEM, которая позволяет неавторизованному злоумышленнику выполнить несанкционированный код или команды посредством специально сформированных TCP-запросов.

В свою очередь, Horizon3 опубликовала подробное описание уязвимости, согласно которому ее первопричина заключается в доступности десятков обработчиков команд в сервисе phMonitor, которые можно вызывать удаленно без аутентификации.

Исследователи полагают, что этот сервис на протяжении нескольких лет являлся точкой входа для многочисленных уязвимостей FortiSIEM, включая CVE-2023-34992 и CVE-2024-23108, подчеркивая, что банды вымогателей (в частности, Black Basta) ранее проявляли особый интерес к таким недостаткам.

Наряду с техническими подробностями CVE-2025-25256, исследователи также опубликовали PoC-эксплойт после того, как поставщик выпустил исправления и опубликовал уведомление по безопасности.

Уязвимость затрагивает версии FortiSIEM от 6.7 до 7.5, и исправления были выпущены для: 7.4.1, 7.3.5, 7.2.7 и 7.1.9 (и выше).

Уязвимости CVE-2025-25256 также подвержены FortiSIEM 7.0 и 6.7.0, но их поддержка прекращена, поэтому они не получат исправления.

При этом FortiSIEM 7.5 и FortiSIEM Cloud на не затрагиваются.

Единственное обходное решение, предложенное поставщиком для тех, кто не может немедленно установить обновление безопасности, - это ограничить доступ к порту phMonitor (7900).

Исследователи Horizon3 также поделились индикаторами компрометации, которые могут помочь обнаружить скомпрометированные системы.

При просмотре логов сообщений, полученных phMonitor (/opt/phoenix/log/phoenix.logs), строка с PHL_ERROR должна содержать URL-адрес полезной нагрузки и файл, в который она была записана.

Node.js выпустила исправления критической CVE-2025-59466 (CVSS: 7,5), затрагивающей «практически каждое» работающее приложение Node.js, которая в случае успешной эксплуатации может привести к DoS.

Недостаток обусловлен тем, что Node.js завершает работу с кодом 7 (обозначающим ошибку обработки внутренних исключений во время выполнения), вместо того чтобы корректно обрабатывать исключение при переполнении стека в пользовательском коде, когда включен async_hooks.

Async_hooks - это низкоуровневый API Node.js, который позволяет разработчикам отслеживать жизненный цикл асинхронных ресурсов, таких как запросы к базе данных, таймеры или HTTP-запросы.

По словам разработчиков Node.js, проблема затрагивает несколько фреймворков и инструментов мониторинга производительности приложений (APM), включая React Server Components, Next.js, Datadog, New Relic, Dynatrace, Elastic APM и OpenTelemetry.

Причина в использовании AsyncLocalStorage - компонента на основе модуля async_hooks, который позволяет хранить данные на протяжении всего времени выполнения асинхронной операции.

Проблема была решена в следующих версиях: Node.js 20.20.0 (LTS), 22.22.0 (LTS), 24.13.0 (LTS) и 25.3.0 (текущая версия), затрагивает все версии Node.js, начиная с 8.x, первой версии с async_hooks, и заканчивая 18.x.

При этом EoL-версии останутся без исправлений.

Реализованное исправление обнаруживает ошибки переполнения стека и повторно генерирует исключение в пользовательском коде вместо того, чтобы рассматривать их как фатальные.

Несмотря на значительное практическое влияние, Node.js заявила, что рассматривает исправление лишь как меру по смягчению последствий по нескольким причинам.

Дело в том, что исчерпание пространства стека не является частью спецификации ECMAScript. Движок JavaScript V8 не рассматривает это как проблему безопасности.

И, наконец, следует также учитывать ограничения обработчика uncaughtException, который предназначен для использования в качестве механизма обработки исключений в крайнем случае.

Ввиду серьезности уязвимости пользователям рекомендуется как можно скорее обновиться, а разработчикам - применять более надежные меры защиты для предотвращения исчерпания пространства стека и обеспечения доступности сервиса.

Помимо CVE-2025-59466, Node.js выпустила исправления для других серьезных CVE-2025-55131, CVE-2025-55130 и CVE-2025-59465, которые могли быть использованы для утечки или повреждения данных, чтения конфиденциальных файлов с использованием специально созданных относительных символических ссылок (symlink) и запуска удаленной атаки типа DoS соответственно.

Palo Alto Networks устранила серьезную уязвимость, которая позволяет неавторизованным злоумышленникам отключать защиту межсетевого экрана при проведении DoS-атак.

CVE-2026-0227 (CVSS: 7,7) затрагивает NGWV (работающие под управлением PAN-OS 10.1 или более поздней версии) и конфигурации Prisma Access от Palo Alto Networks при включенном шлюзе или портале GlobalProtect, но не затрагивает NGFW в облаке.

При этом большинство облачных экземпляров Prisma Access уже обновлены, а оставшиеся, требующие защиты, запланированы к обновлению.

Как отмечают в Palo Alto Networks, уязвимость PAN-OS’а позволяет неавторизованному злоумышленнику вызвать DoS межсетевого экрана, а многократно используя ее, злоумышленник может принудительно перевести устройство в режим обслуживания.

В свою очередь, Shadowserver сообщает об обнаружении около 6000 межсетевых экранов Palo Alto Networks в открытом доступе в сети, однако точная информация о том, сколько из них имеют уязвимые конфигурации или уже были исправлены, пока нет.

Собственно, как и каких-либо доказательств задействования CVE-2026-0227 в реальных атаках.

Обновления доступны для всех затронутых версий, администраторам рекомендуется накатить их как можно скорее, дабы защитить свои системы от потенциальных атак. Тем более, что PoC-эксплойт для нее уже доступен.