Взлом тысяч репозиториев GitHub, отключение First VPN Интерполом и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Новая версия ПО для кражи криптовалют обошла защиту Apple.

Хакеры получили доступ к тысячам репозиториев на GitHub.

Интерпол провел масштабные аресты на Ближнем Востоке и в Северной Африке.

В базе данных для ИИ-разработчиков ChromaDB нашли критическую уязвимость.

Новая версия ПО для кражи криптовалют обошла защиту Apple

Новый инфостилер Reaper обходит защиту macOS, используя фейковое сообщение об обновлении безопасности. Он нацелен на конфиденциальные данные браузеров и криптокошельки. Угрозу обнаружили эксперты SentinelOne.

В отличие от прежних атак с применением ранней версии софта SHub, где злоумышленники полагались на тактику ClickFix, в новой кампании используется специальную ссылку формата applescript://. При переходе по ней на компьютере автоматически открывается встроенное приложение macOS для работы со скриптами и запускается вредоносный код.

По данным SentinelOne, злоумышленники распространяли вредонос через поддельные установщики приложений WeChat и Miro. Некоторые фейковые домены, маскирующиеся под сервисы Microsoft и QQ, оставались активны на момент публикации. 

Перед вызовом AppleScript вредоносные сайты снимают цифровой отпечаток устройства посетителя, чтобы отфильтровать исследователей и терминалы с русской локализацией. Код сканирует наличие виртуальных машин и VPN, а также установленные расширения браузера для менеджеров паролей и криптокошельков. Все данные отправляются злоумышленнику с помощью бота в Telegram.

После запуска пользователь видит поддельное уведомление об обновлении Apple. Программа загружает shell-скрипт и запрашивает пароль macOS.

Запрос пароля. Источник: SentinelOne. 

Далее инфостилер нацеливается на:

данные браузеров Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc и Orion;

браузерные расширения криптовалютных кошельков, включая MetaMask и Phantom;

браузерные расширения менеджеров паролей 1Password, Bitwarden и LastPass;

десктопные приложения криптокошельков, включая Exodus, Atomic Wallet, Ledger Live, Electrum и Trezor Suite;

данные учетной записи iCloud и Telegram;

конфигурационные файлы, связанные с программированием.

Поиск браузерных менеджеров паролей и криптокошельков. Источник: SentinelOne.

В состав Reaper также входит модуль Filegrabber, который ищет на рабочем столе и в папке «Документы» типы файлов, потенциально содержащие конфиденциальную информацию. Он собирает целевые файлы размером менее 2 МБ (или до 6 МБ для изображений формата PNG), при этом общий лимит объема данных установлен на уровне 150 МБ.

Специалисты предупредили, что вредонос закрепляется в системе, маскируясь под обновления Google.

В SentinelOne подчеркнули, что операторы SHub расширяют возможности стилера, добавляя функции удаленного доступа к взломанным устройствам. Что в будущем позволит распространять дополнительную нагрузку.

Хакеры получили доступ к тысячам репозиториев на GitHub 

19 мая хакеры взломали 3800 внутренних репозиториев GitHub, получив к ним доступ через вредоносное расширение для редактора VS Code. Об этом сообщила директор по информационной безопасности компании Алексис Уэйлс.

Инцидент произошел из-за того, что один из сотрудников GitHub установил зараженную версию популярного плагина Nx Console (версия 18.95.0). Вредоносный код был нацелен на кражу учетных данных разработчиков и секретов для облачных платформ, включая AWS, Kubernetes, GitHub и Docker.

Ответственность за взлом взяла на себя киберпреступная группировка TeamPCP. Хакеры выставили украденный код на продажу на теневом форуме Breached, требуя за него не менее $50 000. До инцидента эту же группу связывали с атаками на Mistral AI, UiPath, OpenSearch и сотрудников OpenAI.

Разработчики Nx Console пояснили, что один из их собственных сотрудников ранее пострадал от атаки на цепочку поставок npm-пакетов проекта TanStack. Через утилиту GitHub CLI хакеры украли его токены, вошли в рабочий аккаунт и внедрили вредоносный код в обновление расширения.

Зараженная версия Nx Console пробыла в официальном магазине Visual Studio Marketplace всего 18 минут (и 36 минут на платформе OpenVSX). За это время ее успели скачать менее 70 раз.

В GitHub заявили, что оперативно изолировали взломанное устройство и провели экстренную ротацию всех критически важных секретов и ключей доступа.

Интерпол провел масштабные аресты на Ближнем Востоке и в Северной Африке

Правоохранители из 13 стран Ближнего Востока и Северной Африки арестовали 201 подозреваемого в ходе операции Ramz. Ее цель — борьба с киберпреступностью, сообщает Интерпол.

Во время операции были установлены личности 382 подозреваемых в Алжире, Бахрейне, Египте, Ираке, Иордании, Ливане, Ливии, Марокко, ОАЭ, Омане, Палестине, Катаре, и Тунисе.

Кроме того, правоохранители изъяли 53 сервера, использовавшихся для фишинга, распространения вредоносного ПО и интернет-мошенничества. Анализ данных, полученных с этого оборудования, показал, что жертвами злоумышленников стали 3867 человек.

Для отслеживания хакерской инфраструктуры Интерпол привлек частные компании в сфере кибербезопасности, включая «Лабораторию Касперского», Group-IB, The Shadowserver Foundation, Team Cymru и TrendAI.

В базе данных для ИИ-разработчиков ChromaDB нашли критическую уязвимость

В базе данных ChromaDB, активно применяемой при разработке ИИ-приложений, нашли критическую уязвимость наивысшего уровня. Об этом сообщили специалисты HiddenLayer.

ChromaDB — векторная база с открытым исходным кодом и бэкенд для поиска данных, который активно используется в агентных ИИ-системах и смежных приложениях.

Согласно HiddenLayer, уязвимость затрагивает Python-версию API (на базе FastAPI) и кроется в нарушенной логике проверок безопасности. При получении запроса система сначала скачивает и запускает указанную ML-модель (например, вредоносную полезную нагрузку с платформы Hugging Face), и лишь затем проверяет подлинность пользователя. Сервер ожидаемо выдает ошибку авторизации, но к этому моменту хакерский код уже успевает успешно отработать. 

По данным специалистов, около 73% узлов Chroma работают на уязвимых версиях. Локальные сборки и проекты, использующие фронтенд на Rust, находятся вне опасности. Команда ChromaDB игнорирует запросы исследователей, и на данный момент неясно, устранена ли уязвимость в последнем релизе 1.5.9.

До появления официальных разъяснений и патчей эксперты рекомендовали пользователям:

изолировать Python-сервер от публичного доступа (ограничить доступ к порту API с помощью брандмауэра);

использовать Rust-фронтенд в качестве альтернативы для открытых сред;

внимательно проверять сторонние ML-модели на наличие закладок перед их запуском, особенно если активен параметр доверия к удаленному коду.

Европол ликвидировал First VPN за частое использование мошенниками

Правоохранители отключили виртуальную частную сеть First VPN, использовавшуюся для вымогательства и кражи данных. О международной операции сообщил Европол.

По данным полиции, сервис рекламировался на хакерских форумах как ориентированный на конфиденциальность инструмент, который не ведет журналы активности пользователей и игнорирует запросы правоохранителей. Название First VPN фигурировало практически в каждом крупном деле о киберпреступлениях, которое поддерживало агентство.

Расследование в отношении сервиса началось в декабре 2021 года под руководством властей Франции и Нидерландов. В определенный момент агенты внедрились в инфраструктуру VPN, собрали базу данных пользователей и идентифицировали соединения, которые использовали хакеры.

В результате операции, проведенной с 19 по 20 мая, нарушена работа ключевой инфраструктуры. Правоохранители изъяли 33 сервера, расположенных в 27 странах, конфисковали домены, арестовали администратора и провели обыск в доме подозреваемого в Украине.

Также на ForkLog:

В Polymarket подтвердили компрометацию закрытого ключа.

Токен MAPO упал на 96% после взлома.

СМИ: Пентагон создал группу для внедрения хакерских ИИ-моделей.

Мнение: ИИ и квантовые технологии поставят под угрозу существующие системы безопасности.

BTCFi-протокол Echo подвергся взлому на $816 000.

Хакеры вывели $11,5 млн из протокола Verus.

Команда THORChain раскрыла детали взлома на $10 млн.

Что почитать на выходных?

В новом материале ForkLog рассказал, как бесплатно познакомиться с ИИ-моделями, не требующими доступа в интернет и какие ресурсы использовать новичкам.

Источник