Исследователи Flare сообщают о масштабной кампании, нацеленной на уязвимые экземпляры MongoDB, компрометация которых приводит к вымогательству небольшого выкупа за восстановление данных.
Злоумышленник фокусируется на самых уязвимых местах - базах данных, которые слабо защищены, прежде всего, в виду неправильной конфигурации, позволяющей получить беспрепятственный доступ.
В общей сложности пострадало около 1400 незащищенных серверов, а записки с требованием выкупа содержали сумму в пределах 500 долларов в эквиваленте BTC.
Еще в 2021 фиксировалась серия атак, в результате которых были взломаны тысячи баз данных, а за восстановление информации требовался выкуп. Причем в некоторых случаях злоумышленник просто стирал базы данных без каких-либо финансовых требований.
В ходе исследования, проведенного Flare, выяснилось, что эти атаки продолжались до настоыщего времени, но в более локальном масштабе.
Исследователи обнаружили более 208 500 общедоступных серверов MongoDB, из которых 100 000 содержат информацию об операционной деятельности, а к 3100 можно получить доступ без аутентификации.
Почти половина (45,6%) пользователей с неограниченным доступом уже были скомпрометированы к моменту проверки Flare. База данных была стерта и имелась лишь записка с требованием выкупа.
Анализ записок с требованием выкупа показал, что в большинстве из них фигурировала оплата в размере 0,005 BTC со сроком уплаты в течение 48 часов и обещаниями восстановить данные при выполнении условий. Однако каких-либо гарантий нет.
В изученных записках было обнаружено всего пять различных адресов кошельков, один из которых встречался почти в 98% случаев.
В Flare также обратили внимнание на оставшиеся уязвимые экземпляры, которые, по-видимому, не подверглись атаке, несмотря на то, что они были уязвимы и плохо защищены, предполагая, что за них, возможно, уже был выплачен выкуп злоумышленникам.
Помимо слабых мер аутентификации, исследователи также обнаружили, что почти половина (95 000) всех доступных через интернет серверов MongoDB работают на устаревших версиях, уязвимых для атак n-дневного типа. Однако потенциал большинства из них ограничивался атаками типа DoS, нежели RCE.
Flare рекомендует администраторам MongoDB избегать публичного доступа к экземплярам, если это не является абсолютно необходимым, использовать надежную аутентификацию, применять правила брандмауэра и сетевые политики Kubernetes, разрешающие только доверенные соединения, а также избегать копирования конфигураций из руководств по развертыванию.
MongoDB следует обновить до последней версии и постоянно отслеживать на предмет уязвимостей. В случае выявления - обновить учетные данные и изучить журналы на предмет несанкционированной активности.
Злоумышленник фокусируется на самых уязвимых местах - базах данных, которые слабо защищены, прежде всего, в виду неправильной конфигурации, позволяющей получить беспрепятственный доступ.
В общей сложности пострадало около 1400 незащищенных серверов, а записки с требованием выкупа содержали сумму в пределах 500 долларов в эквиваленте BTC.
Еще в 2021 фиксировалась серия атак, в результате которых были взломаны тысячи баз данных, а за восстановление информации требовался выкуп. Причем в некоторых случаях злоумышленник просто стирал базы данных без каких-либо финансовых требований.
В ходе исследования, проведенного Flare, выяснилось, что эти атаки продолжались до настоыщего времени, но в более локальном масштабе.
Исследователи обнаружили более 208 500 общедоступных серверов MongoDB, из которых 100 000 содержат информацию об операционной деятельности, а к 3100 можно получить доступ без аутентификации.
Почти половина (45,6%) пользователей с неограниченным доступом уже были скомпрометированы к моменту проверки Flare. База данных была стерта и имелась лишь записка с требованием выкупа.
Анализ записок с требованием выкупа показал, что в большинстве из них фигурировала оплата в размере 0,005 BTC со сроком уплаты в течение 48 часов и обещаниями восстановить данные при выполнении условий. Однако каких-либо гарантий нет.
В изученных записках было обнаружено всего пять различных адресов кошельков, один из которых встречался почти в 98% случаев.
В Flare также обратили внимнание на оставшиеся уязвимые экземпляры, которые, по-видимому, не подверглись атаке, несмотря на то, что они были уязвимы и плохо защищены, предполагая, что за них, возможно, уже был выплачен выкуп злоумышленникам.
Помимо слабых мер аутентификации, исследователи также обнаружили, что почти половина (95 000) всех доступных через интернет серверов MongoDB работают на устаревших версиях, уязвимых для атак n-дневного типа. Однако потенциал большинства из них ограничивался атаками типа DoS, нежели RCE.
Flare рекомендует администраторам MongoDB избегать публичного доступа к экземплярам, если это не является абсолютно необходимым, использовать надежную аутентификацию, применять правила брандмауэра и сетевые политики Kubernetes, разрешающие только доверенные соединения, а также избегать копирования конфигураций из руководств по развертыванию.
MongoDB следует обновить до последней версии и постоянно отслеживать на предмет уязвимостей. В случае выявления - обновить учетные данные и изучить журналы на предмет несанкционированной активности.
Flare | Threat Exposure Management | Unmatched Visibility into Cybercrime
MongoDB Ransom Isn’t Back – It Never Left
By Assaf Morag, Cybersecurity Researcher Between 2017-2021, there was a series of research publications about MongoDB ransomware exploitation campaigns. These blogs described the same pattern. Someone in an organization made a mistake, which left MongoDB…
Cloudflare рапортует об отражении новой рекордной DDoS-атаки мощностью 31,4 Тбит/с (количество запросов в секунду — 200 млн.), к реализации которой причастны операторы ботнета Aisuru (Kimwolf), насчитывающего до четырех млн. устройств всему миру.
Атака была частью кампании, нацеленной на различные компаний, большинство из которых - в сфере телекомма, была детектировала и нейтрализована Cloudflare 19 декабря прошлого года.
Aisuru несет также ответственность за предыдущий рекорд DDoS, достигший 29,7 Тбит/с. Ранее Microsoft приписала этому ботнету еще одну атаку, которая достигла пика в 15,72 Тбит/с и совершалась с 500 000 IP.
Последняя кампания Aisuru была названа Cloudflare как «Ночь перед Рождеством» и характеризуется «беспрецедентной бомбардировкой» телекоммуникационных провайдеров и ИТ-организации из числа клиентов компании.
Она включала в себя гипермассивные HTTP DDoS-атаки со скоростью более 200 миллионов запросов в секунду (rps), а также DDoS-атаки уровня 4, достигающие пика в 31,4 терабит в секунду, что делает её крупнейшей когда-либо публично раскрытой атакой.
Более половины атак в рамках DDoS-кампании Aisuru длились от одной до двух минут, и лишь 6% - дольше. Большинство из них (90%) достигали пиковой нагрузки в диапазоне от 1 до 5 Тбит/с, а примерно 94% - от 1 до 5 миллиардов пакетов в секунду.
Несмотря на масштаб этих гиперобъемных атак, Cloudflare заявляет, что они были обнаружены и нейтрализованы автоматически, даже не вызвав никаких срочных оповещений.
Источником «силы» ботнета Aisuru являются скомпрометированные IoT-устройства и маршрутизаторы. Однако, как отмечается в отчете Cloudflare, в кампании Ночь перед Рождеством задействовались телевизоры на базе Android.
В своем отчете об угрозах DDoS за 4 квартал 2025 года Cloudflare представила ретроспективный анализ событий за весь год, подтвердив, что за этот период количество DDoS-атак увеличилось на 121% по сравнению с 2024 годом, достигнув 47,1 миллиона инцидентов.
В 2025 году Cloudflare в среднем предотвратила 5376 DDoS-атак в час, причем 73% из них были атаками на сетевом уровне, а остальные - по протоколу HTTP.
В четвертом квартале показатели выросли на 31% по сравнению с предыдущим кварталом и на 58% по сравнению с аналогичным периодом прошлого года, что указывает на сохранение тенденции к увеличению числа DDoS-атак.
В течение этого квартала наиболее целевыми отраслями были поставщики телекомуслуг, ИТ-компании, игорный бизнес и казино, а также разработчики игр.
Наибольшее количество атак было совершено в Бангладеш, за которым следуют Эквадор и Индонезия. Cloudflare также отметила, что Аргентина поднялась на четвертое место, а Россия опустилась на пять позиций, заняв десятое место.
Согласно отчету, в прошлом году DDoS-атаки были направлены в основном на организации в Китае, Гонконге, Германии, Бразилии и США.
В отчете Cloudflare фигурирует также 600%-увеличение количества атак на сетевом уровне, превышающих 100 млн. пакетов в секунду, и 65-процентное увеличение атак, превышающих 1 Тбит/с, по сравнению с предыдущим кварталом.
Интернет-компания также отмечает, что более 71,5% всех зарегистрированных HTTP DDoS-атак исходят от известных/документированных ботнетов.
Атака была частью кампании, нацеленной на различные компаний, большинство из которых - в сфере телекомма, была детектировала и нейтрализована Cloudflare 19 декабря прошлого года.
Aisuru несет также ответственность за предыдущий рекорд DDoS, достигший 29,7 Тбит/с. Ранее Microsoft приписала этому ботнету еще одну атаку, которая достигла пика в 15,72 Тбит/с и совершалась с 500 000 IP.
Последняя кампания Aisuru была названа Cloudflare как «Ночь перед Рождеством» и характеризуется «беспрецедентной бомбардировкой» телекоммуникационных провайдеров и ИТ-организации из числа клиентов компании.
Она включала в себя гипермассивные HTTP DDoS-атаки со скоростью более 200 миллионов запросов в секунду (rps), а также DDoS-атаки уровня 4, достигающие пика в 31,4 терабит в секунду, что делает её крупнейшей когда-либо публично раскрытой атакой.
Более половины атак в рамках DDoS-кампании Aisuru длились от одной до двух минут, и лишь 6% - дольше. Большинство из них (90%) достигали пиковой нагрузки в диапазоне от 1 до 5 Тбит/с, а примерно 94% - от 1 до 5 миллиардов пакетов в секунду.
Несмотря на масштаб этих гиперобъемных атак, Cloudflare заявляет, что они были обнаружены и нейтрализованы автоматически, даже не вызвав никаких срочных оповещений.
Источником «силы» ботнета Aisuru являются скомпрометированные IoT-устройства и маршрутизаторы. Однако, как отмечается в отчете Cloudflare, в кампании Ночь перед Рождеством задействовались телевизоры на базе Android.
В своем отчете об угрозах DDoS за 4 квартал 2025 года Cloudflare представила ретроспективный анализ событий за весь год, подтвердив, что за этот период количество DDoS-атак увеличилось на 121% по сравнению с 2024 годом, достигнув 47,1 миллиона инцидентов.
В 2025 году Cloudflare в среднем предотвратила 5376 DDoS-атак в час, причем 73% из них были атаками на сетевом уровне, а остальные - по протоколу HTTP.
В четвертом квартале показатели выросли на 31% по сравнению с предыдущим кварталом и на 58% по сравнению с аналогичным периодом прошлого года, что указывает на сохранение тенденции к увеличению числа DDoS-атак.
В течение этого квартала наиболее целевыми отраслями были поставщики телекомуслуг, ИТ-компании, игорный бизнес и казино, а также разработчики игр.
Наибольшее количество атак было совершено в Бангладеш, за которым следуют Эквадор и Индонезия. Cloudflare также отметила, что Аргентина поднялась на четвертое место, а Россия опустилась на пять позиций, заняв десятое место.
Согласно отчету, в прошлом году DDoS-атаки были направлены в основном на организации в Китае, Гонконге, Германии, Бразилии и США.
В отчете Cloudflare фигурирует также 600%-увеличение количества атак на сетевом уровне, превышающих 100 млн. пакетов в секунду, и 65-процентное увеличение атак, превышающих 1 Тбит/с, по сравнению с предыдущим кварталом.
Интернет-компания также отмечает, что более 71,5% всех зарегистрированных HTTP DDoS-атак исходят от известных/документированных ботнетов.
Cloudflare
What is the Aisuru-Kimwolf botnet? | Cloudflare
The Aisuru-Kimwolf botnet is a network of malware-infected devices that launches hyper-volumetric DDoS attacks. Learn how the Aisuru-Kimwolf botnet works.
Исследователь Джатин Банга выкатил неопровержимые доказательства того, что функцию приватных аккаунтов в Instagram можно было обойти.
Результаты исследования показали, что в некоторых случаях контент приватного профиля был встроен в общедоступные HTML-ответы сервера и раскрывал фактически ограниченные в доступе фотографии, видео и истории.
По словам исследователя, признанная экстремистской в России Meta исправила проблему после получения отчета, но закрыла его с формулировкой not applicable, заявив о невозможности воспроизведения уязвимости.
При попытке доступа к закрытым профилям Instagram (например, созданному исследователями https://instagram.com/jatin.py) с некоторых мобильных устройств неавторизованным пользователем отображается стандартное сообщение о закрытом характере аккаунта.
Однако в исходном HTML-коде затронутых профилей в ответ на запрос страницы были встроены ссылки на некоторые личные фотографии, а также подписи к ним.
В частности, примере Банги показывает JSON-объект polaris_timeline_connection, возвращенный в HTML, который содержал закодированные CDN-ссылки на фотографии, ограниченное в доступе. Кроме того, исследователь поделился видео, демонстрирующим работу PoC на практике.
В целом по результатам анализа профилей Instagram исследователь обнаружил, что по меньшей мере 28% аккаунтов возвращали подписи и ссылки на частные фотографии.
Исследователь поделился своими выводами с Meta еще 12 октября 2025 года и изначально разработчики классифицировали проблему как проблему кэширования CDN, с чем исследователь не согласился.
Поскольку это не была проблема кэширования CDN - бэкэнд Instagram не проверял авторизацию перед отправкой ответа, что соответствует сбою авторизации на стороне сервера.
Так что Банга инициировал второй отчет об ошибке, разъясняющий проблему, но, несмотря на длительные обсуждения, продолжавшиеся несколько дней, ему не удалось достичь компромиссного решения с Meta.
По словам исследователя, после многократных дебатов тикет был закрыт как «not applicable», а эксплойт позже перестал работать, примерно с 16 октября, на всех ранее протестированных аккаунтах.
В общем, в дополнение ко всем своим заявлениям Банга анонсировал репозитории на GitHub со всеми пруфами, демонстрирующими существование этой уязвимости.
По всей видимости, в Meta решили не уходить глубоко в первопричины проблемы и поскорее все замять. Впрочем, иного никто не ожидал, ну кроме Банги.
Результаты исследования показали, что в некоторых случаях контент приватного профиля был встроен в общедоступные HTML-ответы сервера и раскрывал фактически ограниченные в доступе фотографии, видео и истории.
По словам исследователя, признанная экстремистской в России Meta исправила проблему после получения отчета, но закрыла его с формулировкой not applicable, заявив о невозможности воспроизведения уязвимости.
При попытке доступа к закрытым профилям Instagram (например, созданному исследователями https://instagram.com/jatin.py) с некоторых мобильных устройств неавторизованным пользователем отображается стандартное сообщение о закрытом характере аккаунта.
Однако в исходном HTML-коде затронутых профилей в ответ на запрос страницы были встроены ссылки на некоторые личные фотографии, а также подписи к ним.
В частности, примере Банги показывает JSON-объект polaris_timeline_connection, возвращенный в HTML, который содержал закодированные CDN-ссылки на фотографии, ограниченное в доступе. Кроме того, исследователь поделился видео, демонстрирующим работу PoC на практике.
В целом по результатам анализа профилей Instagram исследователь обнаружил, что по меньшей мере 28% аккаунтов возвращали подписи и ссылки на частные фотографии.
Исследователь поделился своими выводами с Meta еще 12 октября 2025 года и изначально разработчики классифицировали проблему как проблему кэширования CDN, с чем исследователь не согласился.
Поскольку это не была проблема кэширования CDN - бэкэнд Instagram не проверял авторизацию перед отправкой ответа, что соответствует сбою авторизации на стороне сервера.
Так что Банга инициировал второй отчет об ошибке, разъясняющий проблему, но, несмотря на длительные обсуждения, продолжавшиеся несколько дней, ему не удалось достичь компромиссного решения с Meta.
По словам исследователя, после многократных дебатов тикет был закрыт как «not applicable», а эксплойт позже перестал работать, примерно с 16 октября, на всех ранее протестированных аккаунтах.
В общем, в дополнение ко всем своим заявлениям Банга анонсировал репозитории на GitHub со всеми пруфами, демонстрирующими существование этой уязвимости.
По всей видимости, в Meta решили не уходить глубоко в первопричины проблемы и поскорее все замять. Впрочем, иного никто не ожидал, ну кроме Банги.
Medium
I Found a Bug That Exposed Private Instagram Posts to Anyone.
In October 2025, I discovered a server-side vulnerability in Instagram that allowed completely unauthenticated access to private account…
Исследователи из Positive Technologies сообщают о появлении нового игрока в среде хактивистов, нацеленных на российские компании.
12 декабря 2025 года ранее неизвестная группировка Punishing Owl выкатила пост о взломе сетей российского госучреждения в сфере безопасности со ссылками на DLS-сайт, где публиковались внутренние документы жертвы и хранилище Mega.nz, дублирующее эти файлы.
Кроме того, в день публикации Punishing Owl, имея доступ к DNS-конфигурации доменной зоны жертвы, создала субдомен hacked.[REDACTED].ru, для которого вместе с корневым доменом изменила DNS-записи, делегировав их серверу, расположенному в Бразилии.
На этом сервере также были опубликованы ссылки на украденные из внутренней сети файлы и политический манифест.
Дополнительно на сервере группировка настроила поддельный TLS-сертификат для доменной зоны жертвы, выпущенный в день публикации сообщения о кибератаке, а также сетевые порты, IMAP- и SMTP-службы для работы с электронной почтой.
Изменение DNS-маршрутов было реализовано для рекламы DLS-сайта среди пользователей официального ресурса жертвы, распространение информации о компрометации среди ее клиентов и контрагентов, формирование инфоповвода.
В течение последующих дней на адреса электронной почты контрагентов жертвы были отправлены электронные письма, в которых группировка от своего имени сообщала о факте компрометации сети учреждения и его клиентов.
В них также была ссылка на домен с измененной DNS-записью, ведущей на DLS-сайт. Письма отправлялись с того же сервера в Бразилии, в качестве отправителя использовался созданный в почтовом домене жертвы адрес punishingowl@[REDACTED].
Спустя час с этого же бразильского сервера, но уже с электронного адреса сотрудника жертвы была запущена новая email-рассылка в адрес контрагентов якобы с официальным подтверждением факта компрометации корпоративной сети.
К сообщениям под видом подтверждающих документов прилагался защищенный паролем вредоносный ZIP, внутри которого упакован LNK, маскирующийся (с помощью двойного расширения) под PDF. В теме писем был сделан акцент на срочности изучения приложенных документов.
Открытие LNK-файла приводило к скрытому выполнению в PowerShell-оболочке команды на загрузку с С2-сервера bloggoversikten[.]com (82.221.100[.]40) и запуск на зараженном хосте PowerShell-стилера ZipWhisper.
Стилер собирает файлы с данными браузеров зараженного хоста и упаковывает в ZIP-архивы, которые сохраняются в директорию AppData/Local/Temp и выгружаются на тот же С2 с использованием эндпойнта upload/[COMPUTER NAME]/[USER NAME].
Программный код одного из обнаруженных экземпляров ZipWhisper-стилера содержал строку с фразой «generated at», указывающую на возможное использование группировкой AI-инструментов для генерации кода стилера.
Все обнаруженные кибератаки Punishing Owl направлены исключительно на российские КИИ, в числе жертв - госучреждения, научные предприятия, IT-организации.
Сама группировка находится в самом начале киберпреступного пути и активно обзаводится аккаунтами для публичного освещения будущих кибератак, дислоцируясь при этом на территории Казахстана.
Как полагают Позитивы, в условиях продолжающейся международной политической напряженности прогнозируется сохранение тенденции к появлению новых политически мотивированных хактивистских группировок в российском и международном киберпространстве.
При этом кибератаки Punishing Owl не являются одноразовой PR-акцией и группировка намерена сохранить устойчивое присутствие на ландшафте российских киберугроз.
Во всяком случае, на это указывает использование собственных вредоносных инструментов, длительное сохранение режима тишины в условиях продолжительного нахождения в сети жертв, а также создание и раскрутка в даркнете собственного кибербренда.
Другие подробности и IOCs - в отчете.
12 декабря 2025 года ранее неизвестная группировка Punishing Owl выкатила пост о взломе сетей российского госучреждения в сфере безопасности со ссылками на DLS-сайт, где публиковались внутренние документы жертвы и хранилище Mega.nz, дублирующее эти файлы.
Кроме того, в день публикации Punishing Owl, имея доступ к DNS-конфигурации доменной зоны жертвы, создала субдомен hacked.[REDACTED].ru, для которого вместе с корневым доменом изменила DNS-записи, делегировав их серверу, расположенному в Бразилии.
На этом сервере также были опубликованы ссылки на украденные из внутренней сети файлы и политический манифест.
Дополнительно на сервере группировка настроила поддельный TLS-сертификат для доменной зоны жертвы, выпущенный в день публикации сообщения о кибератаке, а также сетевые порты, IMAP- и SMTP-службы для работы с электронной почтой.
Изменение DNS-маршрутов было реализовано для рекламы DLS-сайта среди пользователей официального ресурса жертвы, распространение информации о компрометации среди ее клиентов и контрагентов, формирование инфоповвода.
В течение последующих дней на адреса электронной почты контрагентов жертвы были отправлены электронные письма, в которых группировка от своего имени сообщала о факте компрометации сети учреждения и его клиентов.
В них также была ссылка на домен с измененной DNS-записью, ведущей на DLS-сайт. Письма отправлялись с того же сервера в Бразилии, в качестве отправителя использовался созданный в почтовом домене жертвы адрес punishingowl@[REDACTED].
Спустя час с этого же бразильского сервера, но уже с электронного адреса сотрудника жертвы была запущена новая email-рассылка в адрес контрагентов якобы с официальным подтверждением факта компрометации корпоративной сети.
К сообщениям под видом подтверждающих документов прилагался защищенный паролем вредоносный ZIP, внутри которого упакован LNK, маскирующийся (с помощью двойного расширения) под PDF. В теме писем был сделан акцент на срочности изучения приложенных документов.
Открытие LNK-файла приводило к скрытому выполнению в PowerShell-оболочке команды на загрузку с С2-сервера bloggoversikten[.]com (82.221.100[.]40) и запуск на зараженном хосте PowerShell-стилера ZipWhisper.
Стилер собирает файлы с данными браузеров зараженного хоста и упаковывает в ZIP-архивы, которые сохраняются в директорию AppData/Local/Temp и выгружаются на тот же С2 с использованием эндпойнта upload/[COMPUTER NAME]/[USER NAME].
Программный код одного из обнаруженных экземпляров ZipWhisper-стилера содержал строку с фразой «generated at», указывающую на возможное использование группировкой AI-инструментов для генерации кода стилера.
Все обнаруженные кибератаки Punishing Owl направлены исключительно на российские КИИ, в числе жертв - госучреждения, научные предприятия, IT-организации.
Сама группировка находится в самом начале киберпреступного пути и активно обзаводится аккаунтами для публичного освещения будущих кибератак, дислоцируясь при этом на территории Казахстана.
Как полагают Позитивы, в условиях продолжающейся международной политической напряженности прогнозируется сохранение тенденции к появлению новых политически мотивированных хактивистских группировок в российском и международном киберпространстве.
При этом кибератаки Punishing Owl не являются одноразовой PR-акцией и группировка намерена сохранить устойчивое присутствие на ландшафте российских киберугроз.
Во всяком случае, на это указывает использование собственных вредоносных инструментов, длительное сохранение режима тишины в условиях продолжительного нахождения в сети жертв, а также создание и раскрутка в даркнете собственного кибербренда.
Другие подробности и IOCs - в отчете.
Хабр
Punishing Owl атакует Россию: новая сова в лесу хактивистов
Первая атака 12 декабря 2025 года ранее неизвестная группировка*, именующая себя Punishing Owl, опубликовала пост о взломе сетей российского государственного учреждения из сферы безопасности....
Разработчики Notepad++ предоставили дополнительные подробности атаки на цепочку поставок, раскрытой в декабре 2025 года, согласно которым в ходе взлома китайская APT нацеливалась на конкретных пользователей через хостинг-провайдера в течение нескольких месяцев.
Информация об инциденте появилась после того, как Notepad++ выпустила обновления для нейтрализации взлома инфраструктуры обновления.
В начале декабря исследователь Кевин Бомонт сообщил, что ряд организаций, использующих Notepad++, стали жертвами вредоносных обновлений ПО.
В то время исследователь заявил, что связанные с Китаем хакеры использовали Notepad++ для получения первоначального доступа к системам телекоммуникационных и финансовых компаний в Восточной Азии.
Результаты соответствующего расследования анонсировал создатель и разработчик Notepad++ - Дон Хо, подтвердивший компрометацию инфраструктуры, которая позволила злоумышленникам перехватывать трафик обновлений, предназначенный для notepad-plus-plus.org.
Точный технический механизм до конца еще не понятен. Тем не менее, установлено, что взлом произошёл на уровне хостинг-провайдера, уязвимости в самом коде Notepad++ не использовались.
Трафик от определённых целевых пользователей выборочно перенаправлялся на контролируемый злоумышленниками сервер с вредоносными манифестами обновлений.
Судя по целевому характеру атак в рамках изучаемой кампании, принимавшие в расследовании участие исследователи сошлись во мнении, что инцидент мог быть реализован силами одной из китайских APT.
Информация, собранная в ходе расследования на стороне хостинг-провайдера, показала, что злоумышленники целенаправленно атаковали Notepad++ с целью перехвата трафика его пользователей.
При этом сам провайдер не обнаружил доказательств того, что какие-либо иные клиенты на общем сервере могли стать объектом атаки.
Сама кампания, по всей видимости, стартовала в июне 2025 года, а сервер, ставший целью хакеров, был скомпрометирован до 2 сентября, когда система прошла плановое техническое обслуживание, а также были обновлены ядро и микропрограмма.
Тем не менее, учетные данные, полученные злоумышленниками до сентября, позволили им сохранить доступ к внутренним сервисам хостинг-провайдера вплоть до 2 декабря.
В течение этого периода злоумышленник смог перенаправлять трафик, идущий к серверам обновления Notepad++, на свои собственные для распространения вредоносного ПО.
С тех пор Notepad++ перебрался на нового хостинг-провайдера и внедрил изменения на стороне клиента для проверки целостности обновлений.
Информация об инциденте появилась после того, как Notepad++ выпустила обновления для нейтрализации взлома инфраструктуры обновления.
В начале декабря исследователь Кевин Бомонт сообщил, что ряд организаций, использующих Notepad++, стали жертвами вредоносных обновлений ПО.
В то время исследователь заявил, что связанные с Китаем хакеры использовали Notepad++ для получения первоначального доступа к системам телекоммуникационных и финансовых компаний в Восточной Азии.
Результаты соответствующего расследования анонсировал создатель и разработчик Notepad++ - Дон Хо, подтвердивший компрометацию инфраструктуры, которая позволила злоумышленникам перехватывать трафик обновлений, предназначенный для notepad-plus-plus.org.
Точный технический механизм до конца еще не понятен. Тем не менее, установлено, что взлом произошёл на уровне хостинг-провайдера, уязвимости в самом коде Notepad++ не использовались.
Трафик от определённых целевых пользователей выборочно перенаправлялся на контролируемый злоумышленниками сервер с вредоносными манифестами обновлений.
Судя по целевому характеру атак в рамках изучаемой кампании, принимавшие в расследовании участие исследователи сошлись во мнении, что инцидент мог быть реализован силами одной из китайских APT.
Информация, собранная в ходе расследования на стороне хостинг-провайдера, показала, что злоумышленники целенаправленно атаковали Notepad++ с целью перехвата трафика его пользователей.
При этом сам провайдер не обнаружил доказательств того, что какие-либо иные клиенты на общем сервере могли стать объектом атаки.
Сама кампания, по всей видимости, стартовала в июне 2025 года, а сервер, ставший целью хакеров, был скомпрометирован до 2 сентября, когда система прошла плановое техническое обслуживание, а также были обновлены ядро и микропрограмма.
Тем не менее, учетные данные, полученные злоумышленниками до сентября, позволили им сохранить доступ к внутренним сервисам хостинг-провайдера вплоть до 2 декабря.
В течение этого периода злоумышленник смог перенаправлять трафик, идущий к серверам обновления Notepad++, на свои собственные для распространения вредоносного ПО.
С тех пор Notepad++ перебрался на нового хостинг-провайдера и внедрил изменения на стороне клиента для проверки целостности обновлений.
Исследователи Socket сообщают о возвращении GlassWorm, использующей скомпрометированные расширения OpenVSX и нацеленной на кражу паролей, данных криптокошельков, а также учетных данных разработчиков и конфигураций из систем macOS.
Злоумышленник получил доступ к учетной записи легитимного разработчика (oorzc) и распространил вредоносные обновления с полезной нагрузкой GlassWorm для четырех расширений, которые были загружены 22 000 раз.
Атаки GlassWorm впервые были замечены в конце октября и отличались сокрытием вредоносного кода с помощью «невидимых» символов Unicode для кражи данных криптокошельков и учетных записей разработчиков.
Вредоносная ПО также поддерживает удаленный доступ на основе VNC и проксирование SOCKS.
В рамках нескольких компаний GlassWorm затронул как официальный магазин Visual Studio Code от Microsoft, так и его альтернативный IDE с открытым исходным кодом, OpenVSX, предназначенный для неподдерживаемых IDE.
Причем предыдущая кампания GlassWorm продемонстрировала признаки эволюции ПО, включая нацеливание на системы macOS и добавление механизма замены для приложений Trezor и Ledger.
В своем отчете Socket описывает новую кампанию, основанную на внедрении троянских ПО в следующие расширения: oorzc.ssh-tools v0.5.1, oorzc.i18n-tools-plus v1.6.8, oorzc.mind-map v1.0.61 и oorzc.scss-to-css-compile v1.3.4.
Вредоносные обновления распространялись 30 января, и, по данным Socket, до этого расширения были неопасны в течение двух лет. Это говорит о том, что аккаунт oorzc, скорее всего, был взломан операторами GlassWorm.
По данным исследователей, кампания нацелена исключительно на системы macOS, используя инструкции из транзакционных заметок Solana. Примечательно, что системы с российской локализацией исключены, что может указывать на происхождение злоумышленника.
GlassWorm загружает программу для кражи информации из macOS и обеспечивает постоянное присутствие в зараженных системах через LaunchAgent, позволяя запускать ее при входе в систему.
Она собирает данные браузеров Firefox и Chromium, расширений и приложений кошельков, данные связки ключей macOS, базы данных Apple Notes, cookie-файлы Safari, секреты разработчиков и документы из файловой системы, передавая все это на инфраструктуру злоумышленника: 45.32.150[.]251.
Socket сообщила о пакетах в Eclipse Foundation, оператору платформы Open VSX. Группа безопасности подтвердила несанкционированный доступ, аннулировала токены и удалила вредоносные релизы.
Единственным исключением является oorzc.ssh-tools, который был полностью удален из Open VSX после обнаружения нескольких вредоносных версий.
В настоящее время версии затронутых расширений безопасны, но разработчикам, загрузившим вредоносные версии, следует выполнить полную очистку системы и сменить все свои секретные ключи и пароли.
Злоумышленник получил доступ к учетной записи легитимного разработчика (oorzc) и распространил вредоносные обновления с полезной нагрузкой GlassWorm для четырех расширений, которые были загружены 22 000 раз.
Атаки GlassWorm впервые были замечены в конце октября и отличались сокрытием вредоносного кода с помощью «невидимых» символов Unicode для кражи данных криптокошельков и учетных записей разработчиков.
Вредоносная ПО также поддерживает удаленный доступ на основе VNC и проксирование SOCKS.
В рамках нескольких компаний GlassWorm затронул как официальный магазин Visual Studio Code от Microsoft, так и его альтернативный IDE с открытым исходным кодом, OpenVSX, предназначенный для неподдерживаемых IDE.
Причем предыдущая кампания GlassWorm продемонстрировала признаки эволюции ПО, включая нацеливание на системы macOS и добавление механизма замены для приложений Trezor и Ledger.
В своем отчете Socket описывает новую кампанию, основанную на внедрении троянских ПО в следующие расширения: oorzc.ssh-tools v0.5.1, oorzc.i18n-tools-plus v1.6.8, oorzc.mind-map v1.0.61 и oorzc.scss-to-css-compile v1.3.4.
Вредоносные обновления распространялись 30 января, и, по данным Socket, до этого расширения были неопасны в течение двух лет. Это говорит о том, что аккаунт oorzc, скорее всего, был взломан операторами GlassWorm.
По данным исследователей, кампания нацелена исключительно на системы macOS, используя инструкции из транзакционных заметок Solana. Примечательно, что системы с российской локализацией исключены, что может указывать на происхождение злоумышленника.
GlassWorm загружает программу для кражи информации из macOS и обеспечивает постоянное присутствие в зараженных системах через LaunchAgent, позволяя запускать ее при входе в систему.
Она собирает данные браузеров Firefox и Chromium, расширений и приложений кошельков, данные связки ключей macOS, базы данных Apple Notes, cookie-файлы Safari, секреты разработчиков и документы из файловой системы, передавая все это на инфраструктуру злоумышленника: 45.32.150[.]251.
Socket сообщила о пакетах в Eclipse Foundation, оператору платформы Open VSX. Группа безопасности подтвердила несанкционированный доступ, аннулировала токены и удалила вредоносные релизы.
Единственным исключением является oorzc.ssh-tools, который был полностью удален из Open VSX после обнаружения нескольких вредоносных версий.
В настоящее время версии затронутых расширений безопасны, но разработчикам, загрузившим вредоносные версии, следует выполнить полную очистку системы и сменить все свои секретные ключи и пароли.
Socket
GlassWorm Loader Hits Open VSX via Developer Account Comprom...
Threat actors compromised four oorzc Open VSX extensions with more than 22,000 downloads, pushing malicious versions that install a staged loader, eva...
Исследователи из Лаборатории Касперского представили новые подробности инцидента, связанного с атакой на цепочку поставок Notepad++, раскрыв еще незамеченные цепочки выполнения и IOCs.
Вчера разработчики текстового редактора официально подтвердили компрометацию своей инфраструктуры обновления Notepad++.
Это произошло из-за инцидента на уровне хостинг-провайдера в период с июня по сентябрь 2025, который позволил злоумышленникам сохранить доступ к внутренним сервисам вплоть до декабря.
В своем анализе исследователи ЛК сообщают о трех различных цепочках заражения, разработанных для атак примерно на дюжину компьютеров, принадлежащих частным пользователям из Вьетнама, Сальвадора и Австралии, правительственной организации на Филиппинах, финансовой организации в Сальвадоре и IT-компании Вьетнаме.
В период с июля по октябрь 2025 злоумышленники постоянно меняли адреса серверов С2 для распространения вредоносных обновлений, загрузчиков, доставки вредоносных ПО, а также конечных полезных нагрузок.
Первая цепочка была реализована в период с июля по начало августа 2025.
Злоумышленники развернули вредоносное обновление Notepad++, размещенное по адресу: 45.76.155[.]202/update/update.exe, которое запускалось легитимным процессом Notepad++ WinGUp (gup.exe).
Установщик NSIS использовался для отправки системной информации на временный URL-адрес[.]sh путем выполнения ряда команд оболочки (whoami и tasklist).
Такое поведение описывалось на тематическом форуме пользователем soft-parsley в октябре 2025 года.
Update.exe, использованный в этой цепочке, применял технологию боковой загрузки DLL, злоупотребляя легитимным бинарным файлом, связанным с ПО ProShow (ProShow.exe), для развертывания двух шеллкодов.
Один из них не предназначен для выполнения и функционирует как механизм отвлечения внимания, а второй расшифровывает полезную нагрузку загрузчика Metasploit, которая извлекает шеллкод Cobalt Strike с удаленного URL-адреса.
В рамках второй цепочки (середина и конец сентября 2025) вредоносное обновление продолжало распространяться через 45.76.155[.]202/update/update.exe.
При этом установщик NSIS включал небольшие изменения для сбора дополнительной информации (whoami, tasklist и netstat) и доставки совершенно другого набора полезных нагрузок, включая скрипт Lua, предназначенный для выполнения шеллкода, который также представлял собой загрузчик Metasploit, размещающий маяк Cobalt Strike.
Впоследствии обнаруженный в конце сентября 2025 года вариант update.exe также собирал результаты команды systeminfo, а также whoami, tasklist и netstat.
Другая версия бинарного файла изменила URL-адрес для загрузки системной информации на self-dns.it[.]com/list, а также на URL-адрес, используемый загрузчиком Metasploit и сервером управления Cobalt Strike Beacon.
В начале октября 2025 злоумышленники снова поменяли цепочку заражения, задействовав новый C2 для распространения вредоносных обновлений, наблюдаемый URL-адрес обновления: http://45.32.144[.]255/update/update.exe.
Загруженная полезная нагрузка по-прежнему представляла собой установщик NSIS, однако, в отличие от цепочек 1 и 2, установщик не включал функцию отправки системной информации.
Эта цепочка выполнения основана на загрузке файла log.dll, который отвечает за запуск зашифрованного шеллкода BluetoothService в процесс BluetoothService.exe.
Примечательно, что такие цепочки выполнения часто используются китайскоязычными злоумышленниками.
Причем эта конкретная цепочка выполнения уже была описана Rapid7, а конечная полезная нагрузка в ней представляет собой пользовательский бэкдор Chrysalis.
В отличие от предыдущих цепочка №3 не загружает Cobalt Strike Beacon напрямую.
В середине октября 2025 злоумышленники возобновили развертывание полезной нагрузки цепочки № 2, используя URL: http://95.179.213[.]0/update/update.exe.
Затем с середины октября - еще три разных URL, запуская комбинацию цепочек выполнения №2 и №3: 5.179.213[.]0/update/update.exe, 95.179.213[.]0/update/install.exe и 95.179.213[.]0/update/AutoUpdater.exe.
Технические подробности, рекомендации и IOCs - в отчете.
Вчера разработчики текстового редактора официально подтвердили компрометацию своей инфраструктуры обновления Notepad++.
Это произошло из-за инцидента на уровне хостинг-провайдера в период с июня по сентябрь 2025, который позволил злоумышленникам сохранить доступ к внутренним сервисам вплоть до декабря.
В своем анализе исследователи ЛК сообщают о трех различных цепочках заражения, разработанных для атак примерно на дюжину компьютеров, принадлежащих частным пользователям из Вьетнама, Сальвадора и Австралии, правительственной организации на Филиппинах, финансовой организации в Сальвадоре и IT-компании Вьетнаме.
В период с июля по октябрь 2025 злоумышленники постоянно меняли адреса серверов С2 для распространения вредоносных обновлений, загрузчиков, доставки вредоносных ПО, а также конечных полезных нагрузок.
Первая цепочка была реализована в период с июля по начало августа 2025.
Злоумышленники развернули вредоносное обновление Notepad++, размещенное по адресу: 45.76.155[.]202/update/update.exe, которое запускалось легитимным процессом Notepad++ WinGUp (gup.exe).
Установщик NSIS использовался для отправки системной информации на временный URL-адрес[.]sh путем выполнения ряда команд оболочки (whoami и tasklist).
Такое поведение описывалось на тематическом форуме пользователем soft-parsley в октябре 2025 года.
Update.exe, использованный в этой цепочке, применял технологию боковой загрузки DLL, злоупотребляя легитимным бинарным файлом, связанным с ПО ProShow (ProShow.exe), для развертывания двух шеллкодов.
Один из них не предназначен для выполнения и функционирует как механизм отвлечения внимания, а второй расшифровывает полезную нагрузку загрузчика Metasploit, которая извлекает шеллкод Cobalt Strike с удаленного URL-адреса.
В рамках второй цепочки (середина и конец сентября 2025) вредоносное обновление продолжало распространяться через 45.76.155[.]202/update/update.exe.
При этом установщик NSIS включал небольшие изменения для сбора дополнительной информации (whoami, tasklist и netstat) и доставки совершенно другого набора полезных нагрузок, включая скрипт Lua, предназначенный для выполнения шеллкода, который также представлял собой загрузчик Metasploit, размещающий маяк Cobalt Strike.
Впоследствии обнаруженный в конце сентября 2025 года вариант update.exe также собирал результаты команды systeminfo, а также whoami, tasklist и netstat.
Другая версия бинарного файла изменила URL-адрес для загрузки системной информации на self-dns.it[.]com/list, а также на URL-адрес, используемый загрузчиком Metasploit и сервером управления Cobalt Strike Beacon.
В начале октября 2025 злоумышленники снова поменяли цепочку заражения, задействовав новый C2 для распространения вредоносных обновлений, наблюдаемый URL-адрес обновления: http://45.32.144[.]255/update/update.exe.
Загруженная полезная нагрузка по-прежнему представляла собой установщик NSIS, однако, в отличие от цепочек 1 и 2, установщик не включал функцию отправки системной информации.
Эта цепочка выполнения основана на загрузке файла log.dll, который отвечает за запуск зашифрованного шеллкода BluetoothService в процесс BluetoothService.exe.
Примечательно, что такие цепочки выполнения часто используются китайскоязычными злоумышленниками.
Причем эта конкретная цепочка выполнения уже была описана Rapid7, а конечная полезная нагрузка в ней представляет собой пользовательский бэкдор Chrysalis.
В отличие от предыдущих цепочка №3 не загружает Cobalt Strike Beacon напрямую.
В середине октября 2025 злоумышленники возобновили развертывание полезной нагрузки цепочки № 2, используя URL: http://95.179.213[.]0/update/update.exe.
Затем с середины октября - еще три разных URL, запуская комбинацию цепочек выполнения №2 и №3: 5.179.213[.]0/update/update.exe, 95.179.213[.]0/update/install.exe и 95.179.213[.]0/update/AutoUpdater.exe.
Технические подробности, рекомендации и IOCs - в отчете.
Securelist
The Notepad++ supply chain attack – unnoticed execution chains and new IoCs
Kaspersky GReAT experts discovered previously undocumented infection chains used in the Notepad++ supply chain attacks. The article provides new IoCs related to those incidents which employ DLL sideloading and Cobalt Strike Beacon delivery.
Хакеры использовали критическую уязвимость CVE-2025-11953 в сервере Metro для React Native для взлома систем разработки, отключая средства защиты и распространяя вредоносные ПО для Windows и Linux.
В Windows неавторизованный злоумышленник может использовать эту уязвимость для выполнения произвольных команд операционной системы через POST-запрос. В Linux и macOS - может привести к запуску произвольных исполняемых файлов с ограниченным контролем параметров.
Metro - это стандартный сборщик JavaScript для проектов React Native, поддерживающий сборку и запуску приложений на этапе разработки.
По умолчанию Metro может подключаться к внешним сетевым интерфейсам и предоставлять HTTP-конечные точки (/open-url), предназначенные только для разработки, для локального использования во время разработки.
Исследователи JFrog обнаружили уязвимость и сообщили о ней в начале ноября. После публичного раскрытия информации появилось множество PoC-эксплойтов.
Проблема заключалась в том, что HTTP-точка доступа /open-url принимала POST-запросы, содержащие предоставленное пользователем значение URL-адреса, которое могло передаваться в функцию open() без предварительной очистки.
Уязвимость затрагивает версии @react-native-community/cli-server-api от 4.8.0 до 20.0.0-alpha.2 и была исправлена в версии 20.0.0 и более поздних.
21 декабря 2025 года VulnCheck обнаружила злоумышленника, использующего CVE-2025-11953, известного как Metro4Shell. Эта активность продолжилась 4 и 21 января, когда злоумышленники распространяли те же вредоносные ПО.
В результате эксплуатации уязвимости были реализованы сложные полезные нагрузки как для Linux, так и для Windows, демонстрируя, что Metro4Shell предоставляет практичный кроссплатформенный механизм первоначального доступа.
Во всех трех атаках исследователи наблюдали доставку одних и тех же закодированных в base64 полезных нагрузок PowerShell, скрытых в теле HTTP POST-запросов, достигающих уязвимых конечных точек.
После декодирования и запуска полезная нагрузка отключает защиту конечных точек, добавляя пути исключения Microsoft Defender как для текущего рабочего каталога, так и для системного временного каталога с помощью команды Add-MpPreference.
Затем устанавливает прямое TCP-соединение с инфраструктурой злоумышленника и отправляет GET-запрос /windows для получения полезной нагрузки следующего этапа.
После чего грузит полученные данные на диск в виде исполняемого файла во временный каталог системы, запуская полученный исполняемый файл с использованием длинной строки аргументов, предоставленной злоумышленником.
В результате этих атак доставлялся вредоносный код для Windows, представляющий собой упакованный с помощью UPX бинарный файл на основе Rust с базовой логикой защиты от анализа. На той же инфраструктуре размещался соответствующий бинарный файл для Linux.
Согласно данным сканирования ZoomEye, охватывающей подключенные устройства, сервисы и веб-приложения, в сети находится около 3500 незащищенных серверов React Native Metro.
Тем не менее, вопреки активной эксплуатации уязвимости в течение уже более месяца, она по-прежнему имеет низкий балл в системе оценки прогнозирования эксплойтов (EPSS).
IOCs сетевой инфраструктуры злоумышленника, а также полезных нагрузок для Windows и Linux - отчете VulnCheck.
В Windows неавторизованный злоумышленник может использовать эту уязвимость для выполнения произвольных команд операционной системы через POST-запрос. В Linux и macOS - может привести к запуску произвольных исполняемых файлов с ограниченным контролем параметров.
Metro - это стандартный сборщик JavaScript для проектов React Native, поддерживающий сборку и запуску приложений на этапе разработки.
По умолчанию Metro может подключаться к внешним сетевым интерфейсам и предоставлять HTTP-конечные точки (/open-url), предназначенные только для разработки, для локального использования во время разработки.
Исследователи JFrog обнаружили уязвимость и сообщили о ней в начале ноября. После публичного раскрытия информации появилось множество PoC-эксплойтов.
Проблема заключалась в том, что HTTP-точка доступа /open-url принимала POST-запросы, содержащие предоставленное пользователем значение URL-адреса, которое могло передаваться в функцию open() без предварительной очистки.
Уязвимость затрагивает версии @react-native-community/cli-server-api от 4.8.0 до 20.0.0-alpha.2 и была исправлена в версии 20.0.0 и более поздних.
21 декабря 2025 года VulnCheck обнаружила злоумышленника, использующего CVE-2025-11953, известного как Metro4Shell. Эта активность продолжилась 4 и 21 января, когда злоумышленники распространяли те же вредоносные ПО.
В результате эксплуатации уязвимости были реализованы сложные полезные нагрузки как для Linux, так и для Windows, демонстрируя, что Metro4Shell предоставляет практичный кроссплатформенный механизм первоначального доступа.
Во всех трех атаках исследователи наблюдали доставку одних и тех же закодированных в base64 полезных нагрузок PowerShell, скрытых в теле HTTP POST-запросов, достигающих уязвимых конечных точек.
После декодирования и запуска полезная нагрузка отключает защиту конечных точек, добавляя пути исключения Microsoft Defender как для текущего рабочего каталога, так и для системного временного каталога с помощью команды Add-MpPreference.
Затем устанавливает прямое TCP-соединение с инфраструктурой злоумышленника и отправляет GET-запрос /windows для получения полезной нагрузки следующего этапа.
После чего грузит полученные данные на диск в виде исполняемого файла во временный каталог системы, запуская полученный исполняемый файл с использованием длинной строки аргументов, предоставленной злоумышленником.
В результате этих атак доставлялся вредоносный код для Windows, представляющий собой упакованный с помощью UPX бинарный файл на основе Rust с базовой логикой защиты от анализа. На той же инфраструктуре размещался соответствующий бинарный файл для Linux.
Согласно данным сканирования ZoomEye, охватывающей подключенные устройства, сервисы и веб-приложения, в сети находится около 3500 незащищенных серверов React Native Metro.
Тем не менее, вопреки активной эксплуатации уязвимости в течение уже более месяца, она по-прежнему имеет низкий балл в системе оценки прогнозирования эксплойтов (EPSS).
IOCs сетевой инфраструктуры злоумышленника, а также полезных нагрузок для Windows и Linux - отчете VulnCheck.
VulnCheck
VulnCheck - Outpace Adversaries
Vulnerability intelligence that predicts avenues of attack with speed and accuracy.
Исследователи F6 расчехлили новую вредоносную программу-блокировщик, которая маскируется под шифровальщика, связав активность с «Командой Legion», упоминания о которой ранее не встречались.
Обычно злоумышленники маскируют вредоносную активность под обычные операции. Куда реже бывает наоборот, когда киберпреступники маскируют свои действия под более опасную угрозу.
В конце декабря 2025 года специалисты обнаружили подозрительный исполняемый файл, который на первый взгляд выглядел как ransomware, способная шифровать файлы и выводить на экран сообщение с требованием выкупа.
Однако анализ показал, что это блокировщик, маскирующийся под шифровальщика. На самом деле вместо шифрования он блокировал доступ к операционной системе, оставляя сообщение, что файлы и диски «зашифрованы … командой Legion».
Аналитики F6 внимательно исследовали новую угрозу, изучив связанные с ней артнфакты, включая записки, которые злоумышленники оставляли на устройствах жертв. По результатам анализа Telegram-аккаунтов, упоминаемых в записках, выявили пересечения с группировкой NyashTeam.
Группа известна как минимум с 2022 года и специализируется на продаже вредоносного ПО в формате MaaS. Ее клиенты атаковали пользователей как минимум в 50 странах мира, большинство целей этих злоумышленников находились в России.
Летом 2025 года инфраструктуру группировки удалось вскрыть, после чего были заблокированы более 110 доменов в зоне .RU, которые киберпреступники использовали для атак.
В ходе анализа одного из образцов нового зловредна был установлен PDB-путь файла - C:\Users\123quig\Desktop\Новая папка\obj\Release\net40\lc.pdb, что косвенно указывает на том, что разработчик вредоносной ПО может быть русскоговорящим.
Она содержит Anti-VM модуль для проверки факта выполнения в виртуальной среде или песочнице. Для закрепления в системе используются различные ключи реестра.
Малварь создает файлы записок следующей командой: cmd.exe /c cd «%DIR%&attrib +h +s +r +i /D & echo [%RANDOM%] Ooops! Your files are encrypted by the KVM-i7! Telegram for contact: nyashteam*** 1>info-Locker.txt & attrib -h +s +r info-Locker.txt
Блокировщик перечисляет все диски от D и далее и создает файл info-Locker.txt в их корне, если диск существует. На финальном этапе отображает окно с якобы загрузкой ОС и ошибками. Но как оказалось, это всего лишь замаскированное пользовательское окно.
Он блокирует доступ к ПК и возможность управления им, перехватывая нажатие комбинаций клавиш (Ctrl+Alt, Ctrl+Alt+Del), предназначенных для перезагрузки или вызова диспетчера задач, и блокирует ОС (Win+L) при попытке их нажатия.
Кроме того, перехватывает нажатие комбинации клавиш (Alt+F4), предназначенной для закрытия основного окна приложения.
При выполнении задач блокировщик генерирует ID компьютера формата 10-A*, основываясь на содержимом файла %Temp%\$unlocker_id.ux-cryptobytes, в котором сохранено локальное время запуска ВПО.
После ввода верного кода приложение удаляется из автостарта и завершает работу. Расшифрования каких-либо файлов не происходит.
Дополнительное исследование показало, что это вредоносное ПО применяется минимум с 2022 года. Файл с аналогичными индикаторами был загружен на одну из публичных песочниц в июле 2022 года и продавалось на GitHub (winlocker-site[.]github[.]io).
Однако записки, которые отображались на устройствах, отличаются. Вместо Legion злоумышленники выдавали себя за CryptoBytes hacker group, а в качестве контакта указывали Telegram-аккаунт yes_u_are_hacked.
Дальнейший анализ активности злоумышленников выявил взаимосвязи с NyashTeam, которая после блокировки инфраструктуры не прекратили свою работу, продолжив распространять вредоносное ПО.
Все дополнительные подробности и разбор артефактов - в отчете.
Обычно злоумышленники маскируют вредоносную активность под обычные операции. Куда реже бывает наоборот, когда киберпреступники маскируют свои действия под более опасную угрозу.
В конце декабря 2025 года специалисты обнаружили подозрительный исполняемый файл, который на первый взгляд выглядел как ransomware, способная шифровать файлы и выводить на экран сообщение с требованием выкупа.
Однако анализ показал, что это блокировщик, маскирующийся под шифровальщика. На самом деле вместо шифрования он блокировал доступ к операционной системе, оставляя сообщение, что файлы и диски «зашифрованы … командой Legion».
Аналитики F6 внимательно исследовали новую угрозу, изучив связанные с ней артнфакты, включая записки, которые злоумышленники оставляли на устройствах жертв. По результатам анализа Telegram-аккаунтов, упоминаемых в записках, выявили пересечения с группировкой NyashTeam.
Группа известна как минимум с 2022 года и специализируется на продаже вредоносного ПО в формате MaaS. Ее клиенты атаковали пользователей как минимум в 50 странах мира, большинство целей этих злоумышленников находились в России.
Летом 2025 года инфраструктуру группировки удалось вскрыть, после чего были заблокированы более 110 доменов в зоне .RU, которые киберпреступники использовали для атак.
В ходе анализа одного из образцов нового зловредна был установлен PDB-путь файла - C:\Users\123quig\Desktop\Новая папка\obj\Release\net40\lc.pdb, что косвенно указывает на том, что разработчик вредоносной ПО может быть русскоговорящим.
Она содержит Anti-VM модуль для проверки факта выполнения в виртуальной среде или песочнице. Для закрепления в системе используются различные ключи реестра.
Малварь создает файлы записок следующей командой: cmd.exe /c cd «%DIR%&attrib +h +s +r +i /D & echo [%RANDOM%] Ooops! Your files are encrypted by the KVM-i7! Telegram for contact: nyashteam*** 1>info-Locker.txt & attrib -h +s +r info-Locker.txt
Блокировщик перечисляет все диски от D и далее и создает файл info-Locker.txt в их корне, если диск существует. На финальном этапе отображает окно с якобы загрузкой ОС и ошибками. Но как оказалось, это всего лишь замаскированное пользовательское окно.
Он блокирует доступ к ПК и возможность управления им, перехватывая нажатие комбинаций клавиш (Ctrl+Alt, Ctrl+Alt+Del), предназначенных для перезагрузки или вызова диспетчера задач, и блокирует ОС (Win+L) при попытке их нажатия.
Кроме того, перехватывает нажатие комбинации клавиш (Alt+F4), предназначенной для закрытия основного окна приложения.
При выполнении задач блокировщик генерирует ID компьютера формата 10-A*, основываясь на содержимом файла %Temp%\$unlocker_id.ux-cryptobytes, в котором сохранено локальное время запуска ВПО.
После ввода верного кода приложение удаляется из автостарта и завершает работу. Расшифрования каких-либо файлов не происходит.
Дополнительное исследование показало, что это вредоносное ПО применяется минимум с 2022 года. Файл с аналогичными индикаторами был загружен на одну из публичных песочниц в июле 2022 года и продавалось на GitHub (winlocker-site[.]github[.]io).
Однако записки, которые отображались на устройствах, отличаются. Вместо Legion злоумышленники выдавали себя за CryptoBytes hacker group, а в качестве контакта указывали Telegram-аккаунт yes_u_are_hacked.
Дальнейший анализ активности злоумышленников выявил взаимосвязи с NyashTeam, которая после блокировки инфраструктуры не прекратили свою работу, продолжив распространять вредоносное ПО.
Все дополнительные подробности и разбор артефактов - в отчете.
Хабр
Иллюзия разбоя: F6 проанализировала активность «Команды Legion» и её связь с кибергруппой NyashTeam
Привет! На связи - департамент киберразведки компании F6 c анонсом нашего нового исследования . Мимикрия в кибербезопасности – обычное дело: злоумышленники маскируют вредоносную активность под...
Исследователи Koi Security обнаружили вредоносные навыки ClawHub для кражи данных пользователей OpenClaw, которые задействуется в рамках нескольких кампаний.
ClawHub позволяет пользователям OpenClaw осуществлять поиск и установку сторонних навыков. Фактически это расширение проекта OpenClaw, представляющего собой саморазмещаемый помощник на основе ИИ, ранее известный как Clawdbot и Moltbot.
Анализ 2857 навыков позволил Koi выявить 335, которые используют фейковые предварительные условия для установки стилера Atomic Stealer (AMOS). Этот набор получил кодовое название ClawHavoc.
Причем казалось бы, легитимный навык содержит профессионально исполненную документацию.
Включает инструкции: в Windows пользователям предлагается загрузить файл openclaw-agent.zip из репозитория GitHub.
В macOS документация указывает на необходимость копирования установочного скрипта на glot[.]io и запуска в Terminal.
При этом выбор macOS в качестве целевой платформы не случаен, поскольку появились пользователи в последнее время массово скупают Mac Mini для работы ИИ-помощника.
Внутри защищенного паролем архива находится троян с функцией перехвата нажатий клавиш для получения ключей API, учетных данных и другой конфиденциальной информации на компьютере, включая ту, к которой бот уже имеет доступ.
С другой стороны, скрипт glot[.]io содержит обфусцированные команды оболочки для загрузки полезных нагрузок следующего этапа из инфраструктуры злоумышленника.
В свою очередь, это предполагает обращение к IP (91.92.242[.]30) для получения другого скрипта оболочки, который настроен на обращение к тому же серверу для получения универсального исполняемого файла Mach-O, обладающего характеристиками, схожими с Atomic Stealer.
Кроме того, исследователи выявили навыки, которые скрывают бэкдоры обратной оболочки внутри функционального кода (например, better-polymarket и polymarket-all-in-one) или позволяют извлекать учетные данные ботов, находящиеся в ~/.clawdbot/.env, на веб-хук-сайт (например, rankaj).
Аналогичную активность фиксировали OpenSourceMalware в своем отчете, в котором также указывалось на ту же самую кампанию ClawHavoc, нацеленную на пользователей OpenClaw.
Кроме того, подробным разбором кампании поделился исследователь 6mile, отметив, что все выявленные навыки маскируются под инструменты автоматизации, используя одну и ту же инфраструктуру С2 и реализуя сложные методы социнженерии для кражи информации на macOS и Windows.
Основная проблема заключается в том, что ClawHub по умолчанию открыт и позволяет любому пользователю загружать навыки. Единственное ограничение на данном этапе - у издателя должна быть учетная запись GitHub, созданная не менее недели назад.
Вместе с тем, проблема со вредоносными навыками не осталась незамеченной создателем OpenClaw Питером Штайнбергером, который с тех пор внедрил функцию отправки жалоб, позволяющую авторизованным пользователям отмечать навыки.
Результаты исследований подчеркивают, как экосистемы с открытым исходным кодом продолжают активно использоваться злоумышленниками, которые на фоне популярности OpenClaw, организуют вредоносные кампании по распространению вредоносное ПО в широком диапазоне.
В Palo Alto Networks вообще считают, что OpenClaw представляет собой то, что британский программист Саймон Уиллисон описал как «смертельную тройку», которая делает агентов ИИ уязвимыми по своей сути в виду их доступа к конфиденциальным данным, ненадежному контенту и возможности внешней коммуникации.
По мнению исследователей сочетание этих трех возможностей с постоянной памятью OpenClaw «действует как ускоритель» и усиливает риски.
Благодаря постоянной памяти атаки перестают быть просто эксплойтами на определенный момент времени, а становятся атаками с отложенным выполнением и сохранением состояния. Вредоносным ПО больше не нужно немедленно выполняться после доставки.
Вместо этого они могут представлять собой безобидные фрагментированные, ненадежные входные данные, записываются в долговременную память агента, а затем собираются в исполняемые инструкции со сдвигом во времени по типу логической бомбы.
ClawHub позволяет пользователям OpenClaw осуществлять поиск и установку сторонних навыков. Фактически это расширение проекта OpenClaw, представляющего собой саморазмещаемый помощник на основе ИИ, ранее известный как Clawdbot и Moltbot.
Анализ 2857 навыков позволил Koi выявить 335, которые используют фейковые предварительные условия для установки стилера Atomic Stealer (AMOS). Этот набор получил кодовое название ClawHavoc.
Причем казалось бы, легитимный навык содержит профессионально исполненную документацию.
Включает инструкции: в Windows пользователям предлагается загрузить файл openclaw-agent.zip из репозитория GitHub.
В macOS документация указывает на необходимость копирования установочного скрипта на glot[.]io и запуска в Terminal.
При этом выбор macOS в качестве целевой платформы не случаен, поскольку появились пользователи в последнее время массово скупают Mac Mini для работы ИИ-помощника.
Внутри защищенного паролем архива находится троян с функцией перехвата нажатий клавиш для получения ключей API, учетных данных и другой конфиденциальной информации на компьютере, включая ту, к которой бот уже имеет доступ.
С другой стороны, скрипт glot[.]io содержит обфусцированные команды оболочки для загрузки полезных нагрузок следующего этапа из инфраструктуры злоумышленника.
В свою очередь, это предполагает обращение к IP (91.92.242[.]30) для получения другого скрипта оболочки, который настроен на обращение к тому же серверу для получения универсального исполняемого файла Mach-O, обладающего характеристиками, схожими с Atomic Stealer.
Кроме того, исследователи выявили навыки, которые скрывают бэкдоры обратной оболочки внутри функционального кода (например, better-polymarket и polymarket-all-in-one) или позволяют извлекать учетные данные ботов, находящиеся в ~/.clawdbot/.env, на веб-хук-сайт (например, rankaj).
Аналогичную активность фиксировали OpenSourceMalware в своем отчете, в котором также указывалось на ту же самую кампанию ClawHavoc, нацеленную на пользователей OpenClaw.
Кроме того, подробным разбором кампании поделился исследователь 6mile, отметив, что все выявленные навыки маскируются под инструменты автоматизации, используя одну и ту же инфраструктуру С2 и реализуя сложные методы социнженерии для кражи информации на macOS и Windows.
Основная проблема заключается в том, что ClawHub по умолчанию открыт и позволяет любому пользователю загружать навыки. Единственное ограничение на данном этапе - у издателя должна быть учетная запись GitHub, созданная не менее недели назад.
Вместе с тем, проблема со вредоносными навыками не осталась незамеченной создателем OpenClaw Питером Штайнбергером, который с тех пор внедрил функцию отправки жалоб, позволяющую авторизованным пользователям отмечать навыки.
Результаты исследований подчеркивают, как экосистемы с открытым исходным кодом продолжают активно использоваться злоумышленниками, которые на фоне популярности OpenClaw, организуют вредоносные кампании по распространению вредоносное ПО в широком диапазоне.
В Palo Alto Networks вообще считают, что OpenClaw представляет собой то, что британский программист Саймон Уиллисон описал как «смертельную тройку», которая делает агентов ИИ уязвимыми по своей сути в виду их доступа к конфиденциальным данным, ненадежному контенту и возможности внешней коммуникации.
По мнению исследователей сочетание этих трех возможностей с постоянной памятью OpenClaw «действует как ускоритель» и усиливает риски.
Благодаря постоянной памяти атаки перестают быть просто эксплойтами на определенный момент времени, а становятся атаками с отложенным выполнением и сохранением состояния. Вредоносным ПО больше не нужно немедленно выполняться после доставки.
Вместо этого они могут представлять собой безобидные фрагментированные, ненадежные входные данные, записываются в долговременную память агента, а затем собираются в исполняемые инструкции со сдвигом во времени по типу логической бомбы.
www.koi.ai
ClawHavoc: 341 Malicious Clawed Skills Found by the Bot They Were Targeting
We audited all 2,632 skills on ClawHub and found 341 were malicious - 335 from a single campaign we're calling ClawHavoc. The attack exploits the trust between AI bots and their users, tricking them into installing infostealers disguised as legitimate tools.
Forwarded from Russian OSINT
OpenClaw (ранее известный как Moltbot и ClawdBot) — крайне популярный ИИ-ассистент с открытым исходным кодом, способный выполнять действия от вашего имени. Его обсуждение стало одной из самых обсуждаемых тем в
Пока сообщество восхищалось возможностями системы, специализирующийся на 0-day исследователь в области кибербезопасности Мав Левин, ранее работавший в Anthropic и служивший в 🇮🇱
Проблема кроется в слепом принятии адреса шлюза через ссылку и последующей автоматической передаче токена аутентификации третьим лицам.
Эксплойт срабатывает после посещения вредоносного сайта и предоставляет атакующему полный доступ к системе жертвы. Разработчики оперативно отреагировали и выпустили исправление в версии v2026.1.29, добавив обязательное модальное окно подтверждения для новых подключений (уязвимы все версии до v2026.1.28 включительно).
--------------------------
Кроме того, команда исследователей из Ethiack сообщила, что их автономный
Левин (depthfirst): Уязвимость в app-settings.ts, где параметр gatewayUrl из URL принимается без проверки, и приложение сразу отправляет туда authToken.
Ethiack (Hackian): Уязвимость в том, что Control UI honors the gatewayUrl query parameter (интерфейс принимает параметр gatewayUrl), немедленно открывает WebSocket и отправляет токен.
Исследователи из 2 команд сообщили о проблемах разработчикам. Патч (исправление) уже доступен.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Стали подкатывать последствия широкомасштабных кампаний, связанных с атаками Sha1-Hulud и GlassWorm.
Новый инцидент затронул Plone CMS, написанную на Python, которой посчастливилось в начале этого года избежать атаки на цепочку поставок.
Злоумышленник внедрил вредоносный код в пять репозиториев организации, но изменения удалось обнаружить и откатить до того, как они попали в официальный релиз.
Расследование показало, что злоумышленникам удалось скомпрометировать одного единственного разработчика, завладев его личным токеном доступа к GitHub, принудительно внедрить вредоносный код, скрытый за большим количеством пробелов.
Локально разница в коде казалась лишь пробелами, но вредоносный код скрывается после большого количества пробелов, исчезая справа от терминала (возможно, это связано с настройками Git). На GitHub его можно увидеть, нажав дополнительную кнопку.
По словам менеджера Plone Мауритса ван Рееса, злоумышленник изменил JavaScript-код в CMS Plone, который впоследствии был удален.
По данным группы безопасности GitHub, которая расследовала инцидент от имени пользователя, чья система была взломана, код был нацелен на других разработчиков, работающих с Plone, а не на посетителей сайтов.
Код запускает скрипты оболочки для обеспечения постоянного присутствия в системе, реализует RCE для получения контроля над машиной разработчика, а затем начинает извлекать конфиденциальные данные, включая креды, ключи API, профили браузеров и файлы криптокошельков.
Неясно, как злоумышленник получил доступ к личному токену доступа скомпрометированного разработчика, но пользователь заявил, что злоумышленник имел доступ к токену в течение двух месяцев.
Судя по всему, первоначальный взлом учетной записи разработчика произошел примерно в октябре, когда в экосистемы npm и VSCode проникли самовоспроизводящиеся черви Sha1-Hulud и GlassWorm.
В свою очередь, в Plone заявляют о пересмотре некоторых настроек безопасности проекта, отключении множества рискованных операций и разрешений Git, включая принудительную отправку изменений.
Так что, в ближайшее время сообществу следует ожидать новых атак на цепочку поставок, а может сразу - уже их последствий. Будем посмотреть.
Новый инцидент затронул Plone CMS, написанную на Python, которой посчастливилось в начале этого года избежать атаки на цепочку поставок.
Злоумышленник внедрил вредоносный код в пять репозиториев организации, но изменения удалось обнаружить и откатить до того, как они попали в официальный релиз.
Расследование показало, что злоумышленникам удалось скомпрометировать одного единственного разработчика, завладев его личным токеном доступа к GitHub, принудительно внедрить вредоносный код, скрытый за большим количеством пробелов.
Локально разница в коде казалась лишь пробелами, но вредоносный код скрывается после большого количества пробелов, исчезая справа от терминала (возможно, это связано с настройками Git). На GitHub его можно увидеть, нажав дополнительную кнопку.
По словам менеджера Plone Мауритса ван Рееса, злоумышленник изменил JavaScript-код в CMS Plone, который впоследствии был удален.
По данным группы безопасности GitHub, которая расследовала инцидент от имени пользователя, чья система была взломана, код был нацелен на других разработчиков, работающих с Plone, а не на посетителей сайтов.
Код запускает скрипты оболочки для обеспечения постоянного присутствия в системе, реализует RCE для получения контроля над машиной разработчика, а затем начинает извлекать конфиденциальные данные, включая креды, ключи API, профили браузеров и файлы криптокошельков.
Неясно, как злоумышленник получил доступ к личному токену доступа скомпрометированного разработчика, но пользователь заявил, что злоумышленник имел доступ к токену в течение двух месяцев.
Судя по всему, первоначальный взлом учетной записи разработчика произошел примерно в октябре, когда в экосистемы npm и VSCode проникли самовоспроизводящиеся черви Sha1-Hulud и GlassWorm.
В свою очередь, в Plone заявляют о пересмотре некоторых настроек безопасности проекта, отключении множества рискованных операций и разрешений Git, включая принудительную отправку изменений.
Так что, в ближайшее время сообществу следует ожидать новых атак на цепочку поставок, а может сразу - уже их последствий. Будем посмотреть.
GreyNoise сообщает о детектировании скоординированной разведывательной кампании, нацеленной на инфраструктуру Citrix NetScaler, в которой задействовались десятки тысяч резидентных прокси-серверов для выявления панелей авторизации.
Активность наблюдалась в период с 28 января по 2 февраля и также фокусирвяоалась на идентификации версий продукта, что указывает на спланированную организованную работу по целевому поиску и картировании инфраструктуры.
Целенаправленное указание пути к файлу настройки EPA свидетельствует о заинтересованности в разработке эксплойтов для конкретных версий или проверке уязвимостей на соответствие известным недостаткам Citrix ADC.
Исследователи отследили источник сканирующего трафика до более чем 63 000 различных IP, с которых было запущено 111 834 сессии. По данным GreyNoise, 79% трафика было направлено на ханипоты Citrix Gateway.
Примерно 64% трафика приходилось на резидентные прокси-серверы с IP, распределенными по всему миру, которые отображались как легитимные адреса интернет-провайдеров и обходили фильтрацию на основе репутации. Оставшиеся 36% приходились на один IP Azure.
Исследователи отмечают два признака вредоносных воздействий: наиболее активный из них связана с 109 942 сессиями с 63 189 уникальных IP и нацелен на интерфейс аутентификации по адресу '/logon/LogonPoint/index.html' для выявления уязвимых панелей входа в Citrix в масштабах предприятия.
Второй показатель, зафиксированный 1 февраля, представлял собой шестичасовой спринт с 10 IP, запустившими 1892 сессии, ориентированные на URL-адрес /epa/scripts/win/nsepa_setup.exe для определения версий Citrix с помощью артефактов EPA.
GreyNoise отмечает, что злоумышленник использовал пользовательский агент для Chrome 50, выпущенного в начале 2016 года.
При этом быстрое начало и завершение указывают на целенаправленный цикл сканирования, который мог быть инициирован обнаружением уязвимых конфигураций EPA или информацией об условиях развертывания.
К числу наиболее серьезных уязвимостей, затрагивающих продукты Citrix, относятся CVE-2025-5777, также известная как CitrixBleed, и CVE-2025-5775, RCE-уязвимость, которая была использована в качестве 0-day.
GreyNoise представила несколько способов обнаружения новой наблюдаемой активности, а также IP-адреса, использованные для запуска сканирования.
Кроме того, исследователи рекомендуют пересмотреть необходимость использования шлюзов Citrix, доступных из интернета, ограничить доступ к каталогу /epa/scripts/, отключить раскрытие версий в HTTP-ответах и отслеживать аномальный доступ со стороны домашних провайдеров.
Активность наблюдалась в период с 28 января по 2 февраля и также фокусирвяоалась на идентификации версий продукта, что указывает на спланированную организованную работу по целевому поиску и картировании инфраструктуры.
Целенаправленное указание пути к файлу настройки EPA свидетельствует о заинтересованности в разработке эксплойтов для конкретных версий или проверке уязвимостей на соответствие известным недостаткам Citrix ADC.
Исследователи отследили источник сканирующего трафика до более чем 63 000 различных IP, с которых было запущено 111 834 сессии. По данным GreyNoise, 79% трафика было направлено на ханипоты Citrix Gateway.
Примерно 64% трафика приходилось на резидентные прокси-серверы с IP, распределенными по всему миру, которые отображались как легитимные адреса интернет-провайдеров и обходили фильтрацию на основе репутации. Оставшиеся 36% приходились на один IP Azure.
Исследователи отмечают два признака вредоносных воздействий: наиболее активный из них связана с 109 942 сессиями с 63 189 уникальных IP и нацелен на интерфейс аутентификации по адресу '/logon/LogonPoint/index.html' для выявления уязвимых панелей входа в Citrix в масштабах предприятия.
Второй показатель, зафиксированный 1 февраля, представлял собой шестичасовой спринт с 10 IP, запустившими 1892 сессии, ориентированные на URL-адрес /epa/scripts/win/nsepa_setup.exe для определения версий Citrix с помощью артефактов EPA.
GreyNoise отмечает, что злоумышленник использовал пользовательский агент для Chrome 50, выпущенного в начале 2016 года.
При этом быстрое начало и завершение указывают на целенаправленный цикл сканирования, который мог быть инициирован обнаружением уязвимых конфигураций EPA или информацией об условиях развертывания.
К числу наиболее серьезных уязвимостей, затрагивающих продукты Citrix, относятся CVE-2025-5777, также известная как CitrixBleed, и CVE-2025-5775, RCE-уязвимость, которая была использована в качестве 0-day.
GreyNoise представила несколько способов обнаружения новой наблюдаемой активности, а также IP-адреса, использованные для запуска сканирования.
Кроме того, исследователи рекомендуют пересмотреть необходимость использования шлюзов Citrix, доступных из интернета, ограничить доступ к каталогу /epa/scripts/, отключить раскрытие версий в HTTP-ответах и отслеживать аномальный доступ со стороны домашних провайдеров.
GreyNoise Labs
Dual-Mode Citrix Gateway Reconnaissance: When Residential Proxies Meet Version Hunting – GreyNoise Labs
Analysis of a coordinated Citrix Gateway reconnaissance campaign using 63,000+ residential proxies and AWS infrastructure to map login panels and enumerate versions across 111,834 sessions. Includes detection signatures and defensive recommendations.
Критическая уязвимость DockerDash в Docker AI Assistant приводит к удаленному выполнению кода и краже данных.
Обнаружившие ошибку в голосовом помощнике Ask Gordon от Docker исследователи Noma Security предупредили, что проблему можно использовать для компрометации сред Docker.
Уязвимость заключается в контекстном доверии шлюза MCP, в результате чего вредоносные инструкции, внедренные в метаданные образа Docker, передаются в MCP и выполняются без проверки.
В современных архитектурах ИИ протокол контекста модели (MCP) выступает в качестве моста между LLM и локальной средой (файлами, контейнерами Docker, базами данных). MCP обеспечивают ИИ тот «контекст», который ему необходим для ответа на вопросы.
Поскольку шлюз MCP не различает информационные метаданные и исполняемые внутренние инструкции, злоумышленник может внедрить вредоносные инструкции в поля метаданных образа Docker.
Gordon AI считывает и интерпретирует вредоносную инструкцию, пересылает её на шлюз MCP, который затем выполняет её с помощью инструментов MCP.
Как отметили исследователи, на каждом этапе проверка выполняется без каких-либо изменений, используя преимущества существующих агентов и архитектуры шлюза MCP.
Компания назвала эту технику «внедрением метаконтекста» и пояснила, что она позволяет злоумышленнику перехватить процесс рассуждения ИИ.
Ask Gordon встроен в Docker Desktop и Docker CLI, так что успешная атака может иметь один из двух результатов: для облачных/CLI-систем это приводит к RCE, а для настольных приложений - к утечке данных.
Обе схемы атаки задействуют Ask Gordon для обработки вредоносных инструкций, маскирующихся под безобидное описание изображения. Однако настольная версия ИИ предотвращает выполнение команд и может использоваться только для кражи данных.
Главная проблема, как подчеркивает Noma Security, заключается в том, что ИИ-помощник воспринимает все метаданные изображений как безопасную контекстную информацию и интерпретирует команды в метаданных как легитимные задачи.
При этом шлюз MCP воспринимает запросы ИИ как авторизованные пользователем, а инструменты MCP обеспечивают широкую видимость системы.
В ноябре была выпущена версия Docker Desktop 4.50.0 с исправлениями для обоих путей атаки. Ask Gordon теперь блокирует утечку данных через внедрение тегов в образ и требует явного подтверждения перед выполнением встроенных и добавленных пользователем инструментов MCP.
Обнаружившие ошибку в голосовом помощнике Ask Gordon от Docker исследователи Noma Security предупредили, что проблему можно использовать для компрометации сред Docker.
Уязвимость заключается в контекстном доверии шлюза MCP, в результате чего вредоносные инструкции, внедренные в метаданные образа Docker, передаются в MCP и выполняются без проверки.
В современных архитектурах ИИ протокол контекста модели (MCP) выступает в качестве моста между LLM и локальной средой (файлами, контейнерами Docker, базами данных). MCP обеспечивают ИИ тот «контекст», который ему необходим для ответа на вопросы.
Поскольку шлюз MCP не различает информационные метаданные и исполняемые внутренние инструкции, злоумышленник может внедрить вредоносные инструкции в поля метаданных образа Docker.
Gordon AI считывает и интерпретирует вредоносную инструкцию, пересылает её на шлюз MCP, который затем выполняет её с помощью инструментов MCP.
Как отметили исследователи, на каждом этапе проверка выполняется без каких-либо изменений, используя преимущества существующих агентов и архитектуры шлюза MCP.
Компания назвала эту технику «внедрением метаконтекста» и пояснила, что она позволяет злоумышленнику перехватить процесс рассуждения ИИ.
Ask Gordon встроен в Docker Desktop и Docker CLI, так что успешная атака может иметь один из двух результатов: для облачных/CLI-систем это приводит к RCE, а для настольных приложений - к утечке данных.
Обе схемы атаки задействуют Ask Gordon для обработки вредоносных инструкций, маскирующихся под безобидное описание изображения. Однако настольная версия ИИ предотвращает выполнение команд и может использоваться только для кражи данных.
Главная проблема, как подчеркивает Noma Security, заключается в том, что ИИ-помощник воспринимает все метаданные изображений как безопасную контекстную информацию и интерпретирует команды в метаданных как легитимные задачи.
При этом шлюз MCP воспринимает запросы ИИ как авторизованные пользователем, а инструменты MCP обеспечивают широкую видимость системы.
В ноябре была выпущена версия Docker Desktop 4.50.0 с исправлениями для обоих путей атаки. Ask Gordon теперь блокирует утечку данных через внедрение тегов в образ и требует явного подтверждения перед выполнением встроенных и добавленных пользователем инструментов MCP.
noma.security
DockerDash: Two Attack Paths, One AI Supply Chain Crisis - Noma Security
Explore the findings of Noma Labs on Docker vulnerability research, revealing the critical security flaw in Docker.
Возвращаясь к кейсу React2Shell, можно констатировать стабильно высокую вредоносную в сфере эксплуатации, ведь, согласно свежим данным GreyNoise, за последнюю неделю было зафиксировано более 1,4 млн. попыток.
В версии 19 библиотеки React2Shell с открытым исходным кодом на JavaScript, React (React.js), обнаружена критическая уязвимость - CVE-2025-55182 с максимальной оценкой CVSS 10.
Уязвимость может быть использована без аутентификации для удаленного выполнения кода с помощью одного HTTP POST-запроса, и активность вокруг нее резко возросла после публикации модуля Metasploit.
Ошибка связана с декодированием данных, отправляемых в конечные точки React Server Function. При этом приложения без конечных точек React Server Function также могут быть уязвимы, если они поддерживают React Server Components (RSC).
Эксплуатация уязвимости началась примерно через два дня после ее публичного раскрытия в начале декабря, когда за ее использование принялись и APT, и вымогатели, и другие группировки.
Телеметрия GreyNoise за последнюю неделю задетектила эксплуатацию уязвимости React2Shell с участием более 1000 IP, но большая часть наблюдаемой активности пришлась на два из них.
Зафиксировано 488 342 сеанса атак, что составляет 34% от всей активности по эксплуатации уязвимостей, исходящих от IP-адреса 193.142.147[.]209 и приводящих к развертыванию обратной оболочки.
Как заметили исследователи, эти атаки, скорее всего, были направлены на обеспечение интерактивного доступа к уязвимым экземплярам, а не на автоматическую кражу данных.
Второй IP, 87.121.84[.]24, генерировал 311 484 сеансов атак, что составляет 22% от всей вредоносной активности.
В результате успешной эксплуатации уязвимости React2Shell эти атаки привели к развертыванию майнера XMRig на одном из двух тестовых серверов.
Анализ GreyNoise показал, что один из этих серверов, используемых для тестирования вредоносного ПО, был задействован в вредоносной деятельности как минимум с 2020 года, а на соседних IP в настоящее время распространяются вредоносные ПО Mirai и Gafgyt.
В версии 19 библиотеки React2Shell с открытым исходным кодом на JavaScript, React (React.js), обнаружена критическая уязвимость - CVE-2025-55182 с максимальной оценкой CVSS 10.
Уязвимость может быть использована без аутентификации для удаленного выполнения кода с помощью одного HTTP POST-запроса, и активность вокруг нее резко возросла после публикации модуля Metasploit.
Ошибка связана с декодированием данных, отправляемых в конечные точки React Server Function. При этом приложения без конечных точек React Server Function также могут быть уязвимы, если они поддерживают React Server Components (RSC).
Эксплуатация уязвимости началась примерно через два дня после ее публичного раскрытия в начале декабря, когда за ее использование принялись и APT, и вымогатели, и другие группировки.
Телеметрия GreyNoise за последнюю неделю задетектила эксплуатацию уязвимости React2Shell с участием более 1000 IP, но большая часть наблюдаемой активности пришлась на два из них.
Зафиксировано 488 342 сеанса атак, что составляет 34% от всей активности по эксплуатации уязвимостей, исходящих от IP-адреса 193.142.147[.]209 и приводящих к развертыванию обратной оболочки.
Как заметили исследователи, эти атаки, скорее всего, были направлены на обеспечение интерактивного доступа к уязвимым экземплярам, а не на автоматическую кражу данных.
Второй IP, 87.121.84[.]24, генерировал 311 484 сеансов атак, что составляет 22% от всей вредоносной активности.
В результате успешной эксплуатации уязвимости React2Shell эти атаки привели к развертыванию майнера XMRig на одном из двух тестовых серверов.
Анализ GreyNoise показал, что один из этих серверов, используемых для тестирования вредоносного ПО, был задействован в вредоносной деятельности как минимум с 2020 года, а на соседних IP в настоящее время распространяются вредоносные ПО Mirai и Gafgyt.
Telegram
SecAtor
Продолжаем отслеживать кейс React2Shell, которым уже помимо замеченных акторов заинтересовались банды вымогателей, использующих CVE-2025-55182 для получения первоначального доступа к корпоративным сетям и развертывания ransomware в считанные минуты.
React2Shell…
React2Shell…
В последнее время достаточно много материала вышло по части угроз безопасности, связанных с MoltBot.
Еще одним ударом по ИИ-индустрии можно считать масштабную утечку данных Moltbook, социальную сеть для персональных ИИ-помощников OpenClaw.
Как передают Permiso и Wiz (1 и 2 соответственно), база данных бэкэнда ИИ-платформы Moltbook раскрыла более 1,5 миллиона API-токенов.
Утечка привела к раскрытию API-токенов подключенных агентов OpenClaw, сообщений, которыми они обменивались, а также информации о владельцах агентов.
Источником утечки стала неправильно настроенная продовая база данных Supabase, оставленная в открытом доступе в интернете с полными правами на чтение и запись.
Еще одним ударом по ИИ-индустрии можно считать масштабную утечку данных Moltbook, социальную сеть для персональных ИИ-помощников OpenClaw.
Как передают Permiso и Wiz (1 и 2 соответственно), база данных бэкэнда ИИ-платформы Moltbook раскрыла более 1,5 миллиона API-токенов.
Утечка привела к раскрытию API-токенов подключенных агентов OpenClaw, сообщений, которыми они обменивались, а также информации о владельцах агентов.
Источником утечки стала неправильно настроенная продовая база данных Supabase, оставленная в открытом доступе в интернете с полными правами на чтение и запись.
permiso.io
Inside the OpenClaw Ecosystem: What Happens When AI Agents Get Credentials to Everything
Permiso research shows how an AI agent experiment uncovered malware, credential theft, and C2 infrastructure inside OpenClaw skill marketplaces.
Исследователи из Лаборатории Касперского сообщают о детектировании активности группировки Stan Ghouls (Bloody Wolf), нацеленной на Узбекистан и Россию с использованием NetSupport RAT.
Группа действует как минимум с 2023 года на российском, киргизском, казахском и узбекском направлениях, фокусирует на финансовых, производственных и IT компаниях, атаки готовит тщательно, адаптируясь под конкретных жертв, включая инфраструктуру, и задействуя семейство специальных вредоносных загрузчиков на Java.
В общей сложности на счету Stan Ghouls в рамках новой наблюдаемой кампании примерно 50 жертв в Узбекистане, 10 - в России, а также еще несколько в Казахстане, Турции, Сербии и Беларуси (вероятно, что заражения в последних трех странах носили случайный характер).
Stan Ghouls использует в качестве первоначального вектора фишинговые электронные письма, содержащие вредоносные PDF-вложения. Это подтверждают и результаты исследований коллег ЛК (1, 2, 3).
Почти все фишинговые письма и файлы-приманки содержат текст на узбекском, что согласуется с их прошлыми атаками, где также применялись языки стран-целей.
Большинство жертв относятся к промышленному производству, сфере финансов и IT.
Кроме того, фиксировались попытки заражений устройств в госорганизациях, логистических компаниях, учебных и медицинских учреждениях.
Примечательно, что более 60 жертв - это довольно много для одной таргетированной кампании, включающей атаки с существенным участием операторов. Это указывает на готовность инвестировать значительные ресурсы в свою деятельность.
Поскольку Stan Ghouls активно атакует финансовые организации, мы полагаем, что основная мотивация этой группы финансовая.
При этом стоит отметить, что злоумышленники используют RAT-ники, что может также указывать на кибершпионаж.
Ранее основным инструментом злоумышленников выступал STRRAT, также известный как Strigoi Master, однако с прошлого года они начали использовать легитимное ПО NetSupport в качестве средства управления зараженной машиной.
Как показали новые наблюдения, Stan Ghouls продолжает использовать прежний набор инструментов, включая легитимную утилиту удаленного управления NetSupport, а также уникальный вредоносный загрузчик, написанный на Java.
Злоумышленники активно обновляют только инфраструктуру.
В частности, для этой вредоносной кампании они использовали два новых домена для размещения своего вредоносного загрузчика и один новый домен для хостинга файлов NetSupport RAT.
Любопытной находкой стали файлы Mirai на одном из доменов, фигурировавших в прошлых кампаниях группы, что может указывать на то, что операторы этой группы начали использовать вредоносное ПО для IoT-систем. Однако достоверно это утверждать пока сложно.
Подробный технический разбор и IOCs - в отчете.
В ЛК также отмечают, что дополнительные индикаторы и правило YARA для детектирования активности Stan Ghouls доступны клиентам сервиса Threat Intelligence.
Группа действует как минимум с 2023 года на российском, киргизском, казахском и узбекском направлениях, фокусирует на финансовых, производственных и IT компаниях, атаки готовит тщательно, адаптируясь под конкретных жертв, включая инфраструктуру, и задействуя семейство специальных вредоносных загрузчиков на Java.
В общей сложности на счету Stan Ghouls в рамках новой наблюдаемой кампании примерно 50 жертв в Узбекистане, 10 - в России, а также еще несколько в Казахстане, Турции, Сербии и Беларуси (вероятно, что заражения в последних трех странах носили случайный характер).
Stan Ghouls использует в качестве первоначального вектора фишинговые электронные письма, содержащие вредоносные PDF-вложения. Это подтверждают и результаты исследований коллег ЛК (1, 2, 3).
Почти все фишинговые письма и файлы-приманки содержат текст на узбекском, что согласуется с их прошлыми атаками, где также применялись языки стран-целей.
Большинство жертв относятся к промышленному производству, сфере финансов и IT.
Кроме того, фиксировались попытки заражений устройств в госорганизациях, логистических компаниях, учебных и медицинских учреждениях.
Примечательно, что более 60 жертв - это довольно много для одной таргетированной кампании, включающей атаки с существенным участием операторов. Это указывает на готовность инвестировать значительные ресурсы в свою деятельность.
Поскольку Stan Ghouls активно атакует финансовые организации, мы полагаем, что основная мотивация этой группы финансовая.
При этом стоит отметить, что злоумышленники используют RAT-ники, что может также указывать на кибершпионаж.
Ранее основным инструментом злоумышленников выступал STRRAT, также известный как Strigoi Master, однако с прошлого года они начали использовать легитимное ПО NetSupport в качестве средства управления зараженной машиной.
Как показали новые наблюдения, Stan Ghouls продолжает использовать прежний набор инструментов, включая легитимную утилиту удаленного управления NetSupport, а также уникальный вредоносный загрузчик, написанный на Java.
Злоумышленники активно обновляют только инфраструктуру.
В частности, для этой вредоносной кампании они использовали два новых домена для размещения своего вредоносного загрузчика и один новый домен для хостинга файлов NetSupport RAT.
Любопытной находкой стали файлы Mirai на одном из доменов, фигурировавших в прошлых кампаниях группы, что может указывать на то, что операторы этой группы начали использовать вредоносное ПО для IoT-систем. Однако достоверно это утверждать пока сложно.
Подробный технический разбор и IOCs - в отчете.
В ЛК также отмечают, что дополнительные индикаторы и правило YARA для детектирования активности Stan Ghouls доступны клиентам сервиса Threat Intelligence.
Securelist
Атаки группы Stan Ghouls в Узбекистане и России: NetSupport RAT и возможный интерес к IoT
Разбираем недавнюю кампанию группы Stan Ghouls, нацеленную на организации в России и Узбекистане: загрузчики на Java, NetSupportRAT и возможный интерес злоумышленников к IoT.
Позитивы выкатили аналитику по ландшафту киберугроз в 2025-м в России и мире, рассказывая: какие отрасли подвергались кибератакам, кто приложил к этому руку, какими техниками пользовались киберпреступники, сопроводив все цифрами, фактами, реальными историями атак.
Ежегодно количество успешных кибератак стремительно растет, а их сложность и агрессивность продолжают увеличиваться. Суммарное количество инцидентов в 2025 году на 6% превосходит количество за 2024 (на 11% и 37% - за 2023 и 2022 соответственно).
По оценкам экспертов, глобальный ущерб от действий киберпреступников в 2026 году достигнет 11,9 трлн. долл., что составляет около 11% от мирового ВВП на 2024 год.
Как отмечают Позитивы, геополитическая напряженность активно связана с киберпространством: кибератаки стали инструментом политического давления.
Другой фактор растущей киберпреступности - денежная составляющая: в России 33% всех успешных кибератак были мотивированы желанием злоумышленников заработать.
Выручка позволяет злоумышленникам инвестировать в разработку и покупку ПО и инструментов, нанимать лучших специалистов и выстраивать сложные бизнес‑модели, что еще больше усиливает их потенциал.
Помимо этого, распространение на теневых форумах готовых решений для кибератак значительно снизило порог входа в киберпреступность. Как и в легальном секторе, создание вредоносного ПО стало высококонкурентным бизнесом: разработчики совершенствуют свои инструменты.
Безусловно, эскалация кибератак не была бы возможна без непрерывной интеграции технологий в повседневную жизнь: современные организации все сильнее зависят друг от друга в цифровой среде.
Нарушение безопасности в одном звене способно запустить цепочку проблем у всех участников экосистемы, создавая эффект домино. Эта проблема стала одной из главенствующих в 2025 году.
Нельзя забывать и об изменениях, которые привнес и продолжает привносить ИИ, - безусловно, он полезен не только для общества, но и для злоумышленников.
Стоит отметить и дефицит специалистов в области ИБ, который наблюдается не только в России, но и в целом по миру: по прогнозам всемирного экономического форума, к 2030 году дефицит специалистов в сфере кибербезопасности достигнет 85 млн. человек.
Ознакомиться с подробной инфографикой, цифрами и трендами по кибератакам, включая аналитику по жертвам, методам и последствиям, рекомендуем в оригинале.
Ежегодно количество успешных кибератак стремительно растет, а их сложность и агрессивность продолжают увеличиваться. Суммарное количество инцидентов в 2025 году на 6% превосходит количество за 2024 (на 11% и 37% - за 2023 и 2022 соответственно).
По оценкам экспертов, глобальный ущерб от действий киберпреступников в 2026 году достигнет 11,9 трлн. долл., что составляет около 11% от мирового ВВП на 2024 год.
Как отмечают Позитивы, геополитическая напряженность активно связана с киберпространством: кибератаки стали инструментом политического давления.
Другой фактор растущей киберпреступности - денежная составляющая: в России 33% всех успешных кибератак были мотивированы желанием злоумышленников заработать.
Выручка позволяет злоумышленникам инвестировать в разработку и покупку ПО и инструментов, нанимать лучших специалистов и выстраивать сложные бизнес‑модели, что еще больше усиливает их потенциал.
Помимо этого, распространение на теневых форумах готовых решений для кибератак значительно снизило порог входа в киберпреступность. Как и в легальном секторе, создание вредоносного ПО стало высококонкурентным бизнесом: разработчики совершенствуют свои инструменты.
Безусловно, эскалация кибератак не была бы возможна без непрерывной интеграции технологий в повседневную жизнь: современные организации все сильнее зависят друг от друга в цифровой среде.
Нарушение безопасности в одном звене способно запустить цепочку проблем у всех участников экосистемы, создавая эффект домино. Эта проблема стала одной из главенствующих в 2025 году.
Нельзя забывать и об изменениях, которые привнес и продолжает привносить ИИ, - безусловно, он полезен не только для общества, но и для злоумышленников.
Стоит отметить и дефицит специалистов в области ИБ, который наблюдается не только в России, но и в целом по миру: по прогнозам всемирного экономического форума, к 2030 году дефицит специалистов в сфере кибербезопасности достигнет 85 млн. человек.
Ознакомиться с подробной инфографикой, цифрами и трендами по кибератакам, включая аналитику по жертвам, методам и последствиям, рекомендуем в оригинале.
Хабр
Ландшафт киберугроз в 2025-м в России и мире
Хабр, привет! Мы с коллегами в отделе аналитических исследований регулярно подводим киберитоги года, рассказываем, кто кого атаковал и как это было: делимся цифрами, фактами,...
В n8n обнаружены многочисленные критические уязвимости, позволяющие выйти за пределы среды и получить полный контроль над хост-сервером.
Уязвимости, отлеживаемые в совокупности как CVE-2026-25049, могут быть использованы любым авторизованным пользователем, имеющим право создавать или редактировать рабочие процессы, для выполнения RCE на сервере n8n.
Исследователи сразу нескольких ИБ-компаний сообщили о проблемах, которые связаны с механизмом проверки подлинности n8n и фактически обходят патч для CVE-2025-68613, еще одной критической уязвимости, исправленной 20 декабря.
По данным Pillar Security, использование CVE-2026-25049 позволяет полностью скомпрометировать экземпляр n8n и привести к выполнению произвольных системных команд на сервере, кражи учетных данных, секретов (ключей API, токенов OAuth) и файлов конфигурации.
Используя уязвимость, исследователи также смогли получить доступ к файловой системе и внутренним системам, перехватить подключенные облачные учетные записи и перехватить рабочие процессы ИИ.
Поскольку n8n представляет собой многопользовательскую среду, доступ к внутренним кластерным сервисам потенциально может позволить переключаться на данные других арендаторов.
Причем, как отмечает в Pillar Security, для реализации атаки не требуется ничего особенного: если вы сможете создать рабочий процесс, вы сможете захватить контроль над сервером.
21 декабря 2025 года Pillar продемонстрировала команде n8n цепочку обходных путей, позволяющую выйти из песочницы и получить доступ к глобальному объекту Node.js, что привело по итогу к RCE.
Исправление было внедрено два дня спустя, но в ходе дальнейшего анализа Pillar обнаружила его неполноту, поскольку второй способ обхода защиты с помощью другого механизма на основе эквивалентных операций продолжал работать.
Разработчики n8n подтвердили возможность обхода защиты 30 декабря, и в итоге 12 января 2026 года n8n выпустила версию 2.4.0, в которой проблема была устранена.
В свою очередь, исследователи Endor Labs также выявили обходные пути для проверки безопасности и проодемонстирировали уязвимость CVE-2026-25049 с помощью тривиального RCE-эксплойта.
Оказалось, что во всех версиях до 2.5.2 и 1.123.17 функция проверки подлинности предполагает, что ключи при доступе к свойствам представляют собой строки в коде, контролируемом злоумышленником.
Причем эта проверка отражена в типизации TypeScript, но не применяется во время выполнения, что создает уязвимость, связанную с путаницей типов, а это приводит к полному обходу механизмов контроля качества, позволяя осуществлять атаки с произвольным выполнением кода.
В своем отчете исследователи SecureLayer7 приводят технические подробности, которые позволили им добиться выполнения JavaScript на стороне сервера с использованием конструктора Function.
Кроме того, в отчете фигурирует описание PoC и подробный гайд по эуксплуатации.
CVE-2026-25049 была обнаружена в процессе анализа уязвимости CVE-2025-68613 и исправления для неё, разработанного n8n. Потребовалось более 150 неудачных попыток, чтобы разработать успешный способ обхода защиты.
Пользователям n8n следует обновить платформу до последней версии (в настоящее время - 1.123.17 и 2.5.2).
В ином случае воспользоваться разработанными мерами по смягчения последствий.
Pillar Security также рекомендует ротировать ключ шифрования и все учетные данные, хранящиеся на сервере, а также проверять рабочие процессы на наличие подозрительных выражений.
К настоящему время не фиксируется никаких публичных сообщений об использовании CVE-2026-25049.
Однако растущая популярность n8n, по-видимому, привлекает внимание киберподполья, особенно в контексте уязвимости Ni8mare (более 33 000 запросов, по данным GreyNoise, нацеленных на уязвимые для CVE-2026-21858 конечные точки n8n с 27 января по 3 февраля).
Уязвимости, отлеживаемые в совокупности как CVE-2026-25049, могут быть использованы любым авторизованным пользователем, имеющим право создавать или редактировать рабочие процессы, для выполнения RCE на сервере n8n.
Исследователи сразу нескольких ИБ-компаний сообщили о проблемах, которые связаны с механизмом проверки подлинности n8n и фактически обходят патч для CVE-2025-68613, еще одной критической уязвимости, исправленной 20 декабря.
По данным Pillar Security, использование CVE-2026-25049 позволяет полностью скомпрометировать экземпляр n8n и привести к выполнению произвольных системных команд на сервере, кражи учетных данных, секретов (ключей API, токенов OAuth) и файлов конфигурации.
Используя уязвимость, исследователи также смогли получить доступ к файловой системе и внутренним системам, перехватить подключенные облачные учетные записи и перехватить рабочие процессы ИИ.
Поскольку n8n представляет собой многопользовательскую среду, доступ к внутренним кластерным сервисам потенциально может позволить переключаться на данные других арендаторов.
Причем, как отмечает в Pillar Security, для реализации атаки не требуется ничего особенного: если вы сможете создать рабочий процесс, вы сможете захватить контроль над сервером.
21 декабря 2025 года Pillar продемонстрировала команде n8n цепочку обходных путей, позволяющую выйти из песочницы и получить доступ к глобальному объекту Node.js, что привело по итогу к RCE.
Исправление было внедрено два дня спустя, но в ходе дальнейшего анализа Pillar обнаружила его неполноту, поскольку второй способ обхода защиты с помощью другого механизма на основе эквивалентных операций продолжал работать.
Разработчики n8n подтвердили возможность обхода защиты 30 декабря, и в итоге 12 января 2026 года n8n выпустила версию 2.4.0, в которой проблема была устранена.
В свою очередь, исследователи Endor Labs также выявили обходные пути для проверки безопасности и проодемонстирировали уязвимость CVE-2026-25049 с помощью тривиального RCE-эксплойта.
Оказалось, что во всех версиях до 2.5.2 и 1.123.17 функция проверки подлинности предполагает, что ключи при доступе к свойствам представляют собой строки в коде, контролируемом злоумышленником.
Причем эта проверка отражена в типизации TypeScript, но не применяется во время выполнения, что создает уязвимость, связанную с путаницей типов, а это приводит к полному обходу механизмов контроля качества, позволяя осуществлять атаки с произвольным выполнением кода.
В своем отчете исследователи SecureLayer7 приводят технические подробности, которые позволили им добиться выполнения JavaScript на стороне сервера с использованием конструктора Function.
Кроме того, в отчете фигурирует описание PoC и подробный гайд по эуксплуатации.
CVE-2026-25049 была обнаружена в процессе анализа уязвимости CVE-2025-68613 и исправления для неё, разработанного n8n. Потребовалось более 150 неудачных попыток, чтобы разработать успешный способ обхода защиты.
Пользователям n8n следует обновить платформу до последней версии (в настоящее время - 1.123.17 и 2.5.2).
В ином случае воспользоваться разработанными мерами по смягчения последствий.
Pillar Security также рекомендует ротировать ключ шифрования и все учетные данные, хранящиеся на сервере, а также проверять рабочие процессы на наличие подозрительных выражений.
К настоящему время не фиксируется никаких публичных сообщений об использовании CVE-2026-25049.
Однако растущая популярность n8n, по-видимому, привлекает внимание киберподполья, особенно в контексте уязвимости Ni8mare (более 33 000 запросов, по данным GreyNoise, нацеленных на уязвимые для CVE-2026-21858 конечные точки n8n с 27 января по 3 февраля).
GitHub
n8n Remote Code Execution via Expression Injection
### Impact
n8n contains a critical Remote Code Execution (RCE) vulnerability in its workflow expression evaluation system. Under certain conditions, expressions supplied by authenticated users dur...
n8n contains a critical Remote Code Execution (RCE) vulnerability in its workflow expression evaluation system. Under certain conditions, expressions supplied by authenticated users dur...
По всей видимости, урегулировать отступные не удается: RansomHouse приступила к публикации файлов, украденных у Luxshare Precision Industry, ключевого поставщика Apple.
Утечка на DLS включает инженерные материалы, схемы печатных плат и конфиденциальные проектные документы, предположительно, связанные с Apple и крупными технологическими компаниями, в том числе NVIDIA, Tesla, LG и Geely.
Раскрытые материалы были опубликованы «пакетами с пруфами», часть из которых, как утверждается, содержат конфиденциальные 3D CAD-модели, чертежи, файлы Parasolid и данные по производству печатных плат.
RansomHouse также обвинила Luxshare в преднамеренном сокрытии утечки и предупредила, что дальнейшее игнорирование их требований повлечет новые утечки.
Хакеры пока не называют конкретную сумму выкупа и не назначают крайний срок его уплаты. В свою очередь, в упомянутых компаниях пока также никак не комментируют ситуацию.
Возможно, стороны близки к согласованию условий «сделки» на переговорном треке.
Но будем посмотреть.
Утечка на DLS включает инженерные материалы, схемы печатных плат и конфиденциальные проектные документы, предположительно, связанные с Apple и крупными технологическими компаниями, в том числе NVIDIA, Tesla, LG и Geely.
Раскрытые материалы были опубликованы «пакетами с пруфами», часть из которых, как утверждается, содержат конфиденциальные 3D CAD-модели, чертежи, файлы Parasolid и данные по производству печатных плат.
RansomHouse также обвинила Luxshare в преднамеренном сокрытии утечки и предупредила, что дальнейшее игнорирование их требований повлечет новые утечки.
Хакеры пока не называют конкретную сумму выкупа и не назначают крайний срок его уплаты. В свою очередь, в упомянутых компаниях пока также никак не комментируют ситуацию.
Возможно, стороны близки к согласованию условий «сделки» на переговорном треке.
Но будем посмотреть.