Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей каталога приложений Snap Store. Вместо регистрации новых учётных записей, злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов. После перекупки домена злоумышленники перенаправляют почтовый трафик на свой сервер и получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи.

( читать дальше... )

>>> Источник (OpenNet)

Новый шифровальщик 01flip, написанный на Rust, всё чаще начал появляться в атаках на организации в Азиатско-Тихоокеанском регионе. По данным подразделения Unit 42 компании Palo Alto Networks, активность пока затронула ограниченное число целей, но включает структуры, связанные с критической инфраструктурой в Юго-Восточной Азии.

( читать дальше... )

>>> Подробности

Новый малоизвестный Linux-бекдор GhostPenguin вышел из тени благодаря автоматизированной охоте на угрозы, в которой Trend Research использовала ИИ для анализа тысяч недетектируемых образцов с VirusTotal. Специалисты обнаружили ранее не документированное вредоносное ПО, скрывавшееся более четырёх месяцев без единого срабатывания антивирусов, и детально разобрали его устройство, коммуникации и архитектуру. По сути, GhostPenguin — это многопоточный C++-имплант, который обеспечивает удалённый интерактивный shell, практически полный контроль над файловой системой и надёжный обмен данными через RC5-шифрованный канал по UDP на порту 53.

( читать дальше... )

>>> AI-Automated Threat Hunting Brings GhostPenguin Out of the Shadows

Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код (про последние два отдельная новость на ЛОРе была опубликована ранее).

( читать дальше... )

>>> Источник

Платформа для совместной разработки GitLab сообщила об устранении критической уязвимости, получившей идентификатор CVE-2025-6454. Проблема затронула серверные инсталляции Community и Enterprise Edition и позволяла выполнять запросы к внутренним ресурсам через специально сформированные заголовки веб-хуков.

( читать дальше... )

>>> Подробности

Ведущий блога Anagogistis, обнаружил серьёзные уязвимости в Linux-клиентах PureVPN, которые подрывают базовые гарантии анонимности и защиты трафика. Проблемы затрагивают как графическую версию (2.10.0), так и консольную (2.0.1). Обе были протестированы на Ubuntu 24.04.3 LTS.

Главная брешь связана с тем, что при переподключении к Wi-Fi или выходе системы из спящего режима реальный IPv6-адрес пользователя становится видимым. В консольном клиенте с активированной функцией Internet Kill Switch сервис автоматически сообщает о восстановлении соединения, но в это время система получает маршруты IPv6 через Router Advertisements, и пакеты начинают уходить в обход VPN-туннеля. Так как политика ip6tables по умолчанию остаётся в состоянии ACCEPT, трафик свободно покидает компьютер напрямую.

GUI-клиент добавляет ещё больше риска. При разрыве соединения он корректно блокирует IPv4 и выводит уведомление о потере сессии, но при этом IPv6-трафик продолжает передаваться без ограничений до тех пор, пока пользователь вручную не нажмёт кнопку Reconnect. Таким образом, остаётся значительный временной промежуток, когда данные уходят в открытый интернет.

Не менее опасен и способ, которым клиент работает с настройками брандмауэра.

( читать дальше... )

>>> Подробности

Спустя семь лет разработки представлена версия LKRG 1.0.0. LKRG (Linux Kernel Runtime Guard) — модуль ядра Linux, предназначенный для проверки целостности ядра во время его работы и для обнаружения попыток использования уязвимостей.

( читать дальше... )

>>> Анонс на официальном сайте

На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper.

( читать дальше... )

>>> Подробности на opennet

По информации команды Nextron Systems, в течение года вредоносный модуль под названием Plague оставался незаметным для средств защиты Linux-систем, несмотря на его активное распространение и глубокую интеграцию в критическую часть системы — стек аутентификации. Обнаружить его удалось лишь благодаря анализу артефактов, загруженных на VirusTotal в конце июля 2024 года. Ни один из них до сих пор не распознан антивирусами как угроза, что указывает на крайне высокий уровень маскировки и осторожности разработчиков.

( читать дальше... )

>>> Подробности

Команда разработчиков curl выпустила обновление для устранения уязвимости CVE-2025-5025, оцененной как средней (Medium Severity).

Уязвимость проявляется при выполнении трех условий:

 
1. Используется TLS-библиотека wolfSSL
2. Соединение устанавливается по протоколу HTTP/3 (QUIC).
3. Включена функция безопасности certificate pinning (пиннинг публичного ключа сертификата сервера).

Проверка пиннинга не выполнялась. Это означает, что злоумышленник может провести атаку 'Атака посредника' (MITM-атака) и представить любой действительный сертификат, curl примет соединение, несмотря на несоответствие ожидаемого ключа. Это позволяет злоумышленнику перехватывать и модифицировать зашифрованный трафик.

( читать дальше... )

>>> CVE-2025-5025

В модуле ksmbd, который обеспечивает встроенную в ядро Linux реализацию SMB-сервера, обнаружена опасная уязвимость (CVE-2025-37899). Она позволяет злоумышленнику выполнить произвольный код на уровне ядра, отправив специально сформированные SMB-пакеты. Интересно, что проблема была выявлена не вручную, а с помощью ИИ-модели OpenAI o3 в ходе автоматизированного аудита безопасности.

Поскольку код модуля ksmbd слишком велик для полного анализа в рамках одного запроса, проверка проводилась поэтапно. ИИ исследовал реализацию отдельных SMB-команд, используя типовые запросы, и в итоге обнаружил use-after-free в обработчике команды logoff.

( читать дальше... )

>>> Подробности (OpenNet)