Атака на пользователей больших моделей
Популярный python-пакет LiteLLM (более 3.4 млн загрузок в день), предназначенный для подключения к множеству поставщиков больших языковых моделей через единый API, стал жертвой атаки на цепочку поставок. Злоумышленники скомпрометировали репозиторий PyPI и опубликовали вредоносные версии библиотеки 1.82.7 и 1.82.8, которые при установке через pip автоматически внедряют в систему код, перехватывающий токены аутентификации, API-ключи, пароли и SSH-учетные записи из памяти процессов и конфигурационных файлов пользователей. Ответственность взяла на себя группа TeamTCP, реализовавшая недавно несколько аналогичных атак — внедрение в docker-образы Aqua Security, распространение скрипта, очищающего кластеры Kubernetes, настроенные для Ирана, и т.п.
обсуждение | Telegram

(Comment on this)

Notepad++ полгода раздавал зараженные обновления
С июня 2025 года взломанный хостинг популярного редактора Notepad++ перехватывал запросы на автообновление, перенаправляя их на вредоносные серверы, откуда уже приходил затрояненный инсталлятор в формате NSIS. Ситуацию усугубило отсутствие надежной проверки получаемых обновлений (в частности, использование самоподписанного корневого сертификата, открыто лежащего на GitHub). Хостер устранил взлом 2 сентября, но взломщики сохраняли возможность перенаправлять трафик до 2 декабря. Предположительно взлом является точечным и не направлен на рядовых пользователей (так себе утешение), среди мишеней называются "телекоммуникационные и финансовые компании восточной Азии". Признаками заражения могут быть:
- подозрительная активность процесса gup.exe, отправляющего запросы куда-нибудь помимо notepad-plus-plus.org;
- файлы AutoUpdater.exe либо update.exe во временном каталоге;
- каталог %AppData%\Bluetooth, содержащий в том числе файл BluetoothService.exe. Неожиданной защитой российских пользователей...»»
обсуждение | Telegram

(Comment on this)

Китайский прорыв из ESXi
Не сказать, чтобы уязвимости в VMware ESXi были чем-то из ряда вон выходящим. В 2024 году, например, был обход аутентификации с получением прав администратора, в прошлом году несколько уязвимостей, потенциально дающих выйти за границы виртуальной машины. Но одно дело потенциальная возможность, другое — выявленный полноценный тулкит, да еще созданный за год до обнародования уязвимости. Исследователи из Huntress сообщили о выявленной в декабре атаке, следы которой ведут в Китай (судя по оставшимся в бинарниках именам каталогов на китайском). Первичное проникновение произошло с помощью скомпрометированного приложения SonicWall VPN, после чего атакующие получили доступ к администрированию домена и загрузили собственно тулкит, использующий ряд уязвимостей ESXi, о которых Broadcom сообщила в мае прошлого года. Что любопытно, все в тех же pdb-путях из бинарников засветился каталог с именем 2024_02_19, что как бы намекает на то, что часть уязвимостей использовалась еще за год с лишним до исправления. Среди прочих...»»
обсуждение | Telegram

(Comment on this)

С наступающим
Всех причастных — с неуклонно надвигающейся второй четвертью XXI века.
обсуждение | Telegram

(Comment on this)

libmdbx => MithrilDB
Текущее состояние и перспективы развития libmdbx:
юбилейный пост на форуме
слайды с комментариями
обсуждение | Telegram

(Comment on this)

700 с лишним git-серверов пострадало из-за атаки нулевого дня на Gogs
В популярном легковесном сервисе для самостоятельного развертывания git-репозитариев Gogs обнаружилась неприятная уязвимость, ставшая развитием предыдущей, исправление которой не учло возможности использования атакующими символических ссылок. Из 1400 экземпляров Gogs с открытым доступом половина уже была инфицирована.
обсуждение | Telegram

(Comment on this)

От повторного пришествия Шаи-Хулуда пострадало 25 с лишним тысяч разработчиков
Распространяющийся через npm-пакеты червь с романтическим именем Шаи-Хулуд, первое появление которого было зафиксировано еще в сентябре, вернулся с гораздо более впечатляющими последствиями. Червь представляет собой пост-инсталляционный скрипт, после запуска которого происходит поиск доступных токенов, облачных паролей, json-секретов и прочей критичной информации. Дальше червь переиздает все пакеты, принадлежащие жертве, прописывая в них себя. По самым скромным оценкам, в течение трех дней было заражено 25 тысяч репозитариев.
обсуждение | Telegram

(Comment on this)

Крупный сбой Azure и других сервисов Microsoft
Вскоре после сбоя у Amazon аналогичные проблемы случились у Microsoft (спасибо Сергею Никифорову за подсказку). azure.status.microsoft сообщает, что примерно с 16:00 UTC (19:00 MSK) начались проблемы в инфраструктуре Azure Front Door, отразившиеся на ряде сервисов (сначала сообщалось о проблемах с DNS). Сайт Microsoft ожил, Microsoft 365 пока недоступен. Среди пострадавших называются Starbucks и Minecraft.
обсуждение | Telegram

(Comment on this)

Серьезный сбой AWS положил множество сервисов
В Amazon Web Services (AWS) (примерно в полночь по PDT и 10 утра по Москве) случился серьезный сбой, затронувший такие популярные сервисы, как Alexa, Snapchat, Fortnite, ChatGPT, Epic Games Store, Epic Online Services, сам Amazon и множество других. Как показало расследование, цепочку сбоев потянули за собой проблемы с DNS у точки подключения к DynamoDB API в регионе US-EAST-1. Примерно через два часа работа сервисов начала постепенно восстанавливаться. Прямо сейчас затронутыми остаются 66 AWS-сервисов.
обсуждение | Telegram

(Comment on this)

Фишинговая атака на Python-разработчиков
Python Software Foundation предупреждает разработчиков о массовой рассылке, предлагающей залогиниться на поддельном PyPI-сайте "для верификации почтового адреса". С учетом того, что на PyPI размещено более 680 тысяч проектов, это делает его заманчивой целью для атак класса supply chain (и третьей крупной атакой за этот месяц с учетом двух предыдущих атак на NPM).
обсуждение | Telegram

(Comment on this)

ФБР нашла русский след в атаках на древние Cisco
ФБР объявила о том, что русские хакеры используют уязвимость семилетней давности для проникновения в американские критические инфраструктурные сети и для сбора информации о промышленных системах. Злоумышленники, атрибутированные как 16 Центр ФСБ, они же Static Tundra, они же Berserk Bear, они же Dragonfly, предположительно более десятка лет занимались атаками устаревших устройств, использующих незашифрованные протоколы типа Cisco Smart Install (SMI) и SNMP. В последнем раунде атак использовалась уязвимость CVE-2018-0171, исправленная аж в марте 2018 года. В качестве целей называется ряд телекоммуникационных, образовательных и промышленных организаций из Северной Америки, Азии, Африки и Европы, отобранных "в соответствии со стратегическими интересами российского правительства". Компании из Южной Америки, Австралии и Антарктиды могут спать спокойно. Cisco настоятельно рекомендовала своим пользователям наконец-то обновить свое оборудование.
обсуждение | Telegram

(Comment on this)

Массовый взлом SharePoint
Eye Security сообщает о четерых волнах взломов организаций, использующих MS SharePoint, начиная с прошлого четверга. Используется уязвимость нулевого дня, существование которой Microsoft подтвердила 19 июля и выпустила срочный патч для совсем другой уязвимости и не для всех версий SharePoint. Окончательные патчи для всех версий SharePoint вышли только во вторник. Среди пострадавших свыше 400 организаций, включая министерство энергетики США, в том числе входящее в него национальное управление ядерной безопасности (National Nuclear Security Administration, NNSA).
обсуждение | Telegram

(Comment on this)

Microsoft Authenticator прекращает поддержку паролей
Microsoft выпиливает работу с паролями из Microsoft Authenticator для того, чтобы упростить использование автозаполнения на различных устройствах (не спрашивайте, мне эта логика тоже непонятна). С июня 2025 Authenticator перестанет генерировать и импортировать пароли, с июля Authenticator перестанет работать с автозаполнением, с августа паролей в Authenticator не останется вообще. При этом сохраненная в аккаунте Microsoft информация о паролях останется доступной через Edge. Плюс в Authenticator останется поддержка passkeys.
обсуждение | Telegram

(Comment on this)

Очередное исследование 19 миллиардов паролей показало, что с ними по-прежнему все плохо
Анализ 19 миллиардов паролей, утекших за последний год, в очередной раз продемонстрировал, что пользователи ничему не учатся. Большинство людей (42%) использует пароли длиной 8-10 символов, причем чаще 8, чем 10. Практически треть (27%) использует пароли только из цифр и букв нижнего регистра (и на самом деле это нормально).

Традиционно первое место с 4% (более 727 миллионов) удерживает "1234". Чуть отстает с 338 миллионами "123456". Большой проблемой остаются пароли по умолчанию — "password" и "admin" встречаются 56 и 53 миллиона раз соответственно.
обсуждение | Telegram

(Comment on this)

Оптимизация ввода-вывода как инструмент обхода антивирусов
Представленный в 2019 году в Linux 5.1 асинхронный интерфейс io_uring предназначен для оптимизации операций ввода-вывода за счет буферизации пользовательских запросов к ядру и тем самым снижения числа переключений из пользовательского режима в режим ядра. Но внезапно выяснилось, что этот интерфейс позволяет прекрасно обходить мониторящие антивирусы, которые следят за системными вызовами. Ну как внезапно, первые публикации на тему потенциального использования io_uring в руткитах вышли еще три года назад, теперь же дело дошло до демонстрационного прототипа, получившего название Curing, который обошел таким образом стандартные конфигурации Falco, Tetragon и Microsoft Defender.

Антивирусы теперь планируют помечать конфигурации с разрешенным io_uring как потенциально опасные, а пользователям предлагается запретить этот интерфейс с помощью команды sysctl -w kernel.io_uring_disabled=2. Причем именно это еще в середине 2023 года сделала Google, запретив его в ChromeOS и Android.
обсуждение | Telegram

(Comment on this)

Зловреды выбирают Lisp и Delphi
Исследователи из Пирейского унверситета, Афинского исследовательского центра и Делфтского технического университета на днях опубликовали любопытный препринт «Coding Malware in Fancy Programming Languages for Fun and Profit». Как отмечается в исследовании, в текущей ситуации с обвальным появлением нового вредоносного кода (26 миллионов образцов только за начало 2025 года) одним из основных способов его идентификации остается статический анализ. Естественно, авторы зловредов это прекрасно знают и стараются по возможности применять всевозможные техники обфускации. И внезапно проще всего оказывается использовать не такой популярный язык, как традиционные C/C++. Так, недавний противоукраинский зловред от APT29 Masepie (видимо, Мазепа) был написан на Питоне, их же Zebrocy использует смесь Delphi, Python, C# и Go, Akira переехал с С++ на Rust, BlackByte с C# на Go и т.п. С одной стороны, здесь есть признаки наивного security through obscurity — чем меньше людей знают язык, тем сложней ожидать ручного распознавания,...»»
обсуждение | Telegram

(Comment on this)

Уязвимости в Mongoose ставят под удар MongoDB
Библиотека Mongoose используется для интеграции MongoDB в Node.js-приложения, обеспечивая дополнительный уровень абстракции для отображения объектов JS в базы MongoDB. Две обнародованные сегодня (и уже закрытые сначала в актуальной версии) уязвимости приводят к классической SQL-инъекции (хотя для NOSQL базы звучит забавно) со всеми вытекающими последствиями вплоть до удаленного исполнения кода.
обсуждение | Telegram

(Comment on this)

По роутерам Juniper расползается бэкдор, активирующийся "волшебным пакетом"
Исследователи из Black Lotus Labs сообщают о том, что с середины 2023 года ряд корпоративных роутеров Juniper с Junos OS, половина из которых была сконфигурирована как VPN-шлюз, тихо и незаметно заражается вариантом "невидимого" бэкдора cd00r, заточенного под максимально незаметное исполнение в атакованной системе. В отличие от традиционных бэкдоров, которые незатейливо открывают какой-нибудь порт и ожидают поступления команд, J-Magic мониторит стандартный трафик, проходящий через роутер, на предмет обнаружения "магического пакета", содержащего определенные значения в TCP-заголовке. Далее отправителю этого пакета отсылается случайная строка из пяти символов, зашифрованная публичным RSA-ключом, и если отправителю удается ее расшифровать и отправить роутеру для верификации, тот начинает выполнять удаленные команды.
обсуждение | Telegram

(Comment on this)

С наступающим
Всех присутствующих — с неумолимо надвигающимися 5*5 и 45*45.
обсуждение | Telegram

(Comment on this)

Microsoft обещает радикально усилить безопасность Windows в следующем году
Традиционно любой крупный провал в области безопасности (будь то червь Морриса, эпидемия Blaster и т.п.) приводил серьезной перетряске устоявшихся правил и практик. Не исключением стала и летняя катастрофа с CrowdStrike, обрушившая 8 с лишним миллионов пользовательских компьютеров и серверов, что обошлось пострадавшим в не один миллиард долларов. Для предотвращения подобных инцидентов в будущем Microsoft выступила с инициативой Windows Resiliency. Самые заметные изменения, ожидаемые в следующем году, включают быстрое восстановление (Quick Machine Recovery) позволяющее удаленно вытащить систему из постоянной перезагрузки, и защиту администратора (Administrator Protection), требующую для выполнения критичных действий не просто подтверждения в диалоге, а биометрическую аутентификацию через Windows Hello либо ввода отдельного пин-кода. Наконец, включенный по умолчанию Smart App Control не даст запускать неизвестные приложения и скачанные из сети скрипты,...»»
обсуждение | Telegram

(Comment on this)