Новый малоизвестный Linux-бекдор GhostPenguin вышел из тени благодаря автоматизированной охоте на угрозы, в которой Trend Research использовала ИИ для анализа тысяч недетектируемых образцов с VirusTotal. Специалисты обнаружили ранее не документированное вредоносное ПО, скрывавшееся более четырёх месяцев без единого срабатывания антивирусов, и детально разобрали его устройство, коммуникации и архитектуру. По сути, GhostPenguin — это многопоточный C++-имплант, который обеспечивает удалённый интерактивный shell, практически полный контроль над файловой системой и надёжный обмен данными через RC5-шифрованный канал по UDP на порту 53.

( читать дальше... )

>>> AI-Automated Threat Hunting Brings GhostPenguin Out of the Shadows

На платформе crates.io вскрыт новый случай компрометации цепочки поставок ПО: вредоносный пакет на Rust незаметно заражал рабочие станции разработчиков Web3, маскируясь под вспомогательный инструмент для Ethereum Virtual Machine и подстраиваясь под три популярные десктопные операционные системы.

Пакет под названием «evm-units» появился в репозитории в середине апреля 2025 года от пользователя «ablerust» и за восемь месяцев набрал более 7 тысяч загрузок. Тот же автор опубликовал пакет «uniswap-utils», где «evm-units» был указан как зависимость, что обеспечило ему ещё свыше 7,4 тысячи загрузок. Оба проекта уже удалены с площадки, однако вредоносный код успел широко разойтись по экосистеме.

По данным компании Socket, вредоносный функционал скрыт внутри на первый взгляд безобидной функции «get_evm_version()». Вместо того чтобы только возвращать версию Ethereum, она определяет операционную систему, проверяет, запущен ли процесс «qhsafetray.exe», и обращается к внешнему ресурсу «download.videotalks[.]xyz» за следующим этапом атаки.

В зависимости от платформы загружается и в фоновом режиме запускается отдельный компонент: на Linux это сценарий, сохраняемый в каталоге /tmp/init и запускаемый через nohup, на macOS загружается и исполняется файл init через osascript и nohup, а на Windows в каталог временных файлов записывается PowerShell-скрипт «init.ps1» с дальнейшим скрытым запуском.

Сотрудница Socket Оливия Браун связывает такую логику с целенаправленной ориентацией на пользователей в Китае и более широком азиатском регионе, где рынок розничных криптовалютных сервисов остаётся одним из крупнейших.

Ссылки на EVM и протокол Uniswap позволили злоумышленнику органично вписать вредоносный код в инфраструктуру Web3 и выдать его за полезные утилиты для работы с Ethereum. Дополнительный риск создала цепочка зависимостей: включение «evm-units» в популярный пакет «uniswap-utils» привело к тому, что вредоносный загрузчик автоматически выполнялся при инициализации проектов, использующих эту библиотеку.

Инцидент демонстрирует, насколько опасными становятся атаки через открытые репозитории кода и насколько критично для разработчиков блокчейн-проектов внимательно отслеживать состав и происхождение подключаемых модулей.

>>> Linux, macOS, Windows — вредонос адаптировался под все три системы.

Естественная идея упростить работу с домашней сетью и повысить уровень её защищённости неожиданно обернулась чередой почти катастрофических ошибок из-за советов популярных ИИ-помощников. Вместо того, чтобы сэкономить время и снизить риски, журналист издания Cybernews, полагаясь на помощь чат-ботов, столкнулся с рекомендациями, которые могли бы открыть его локальные сервисы всему интернету.

( читать дальше... )

>>> ChatGPT, Claude и Gemini дают опасные советы по кибербезопасности.

Одна из крупнейших алгоритмических торговых компаний мира XTX Markets, ежедневно обрабатывающая сделки на сумму около 250 миллиардов долларов и оперирующая более чем 650 петабайтами данных для прогнозов цен и торговых алгоритмов, открыла исходный код собственной файловой системы для Linux.

Система получила название TernFS и была создана, когда компания переросла возможности традиционного NFS и других решений для хранения. TernFS предназначена для распределённого хранения крупных неизменяемых файлов — как правило, они не редактируются после создания и имеют размер от нескольких мегабайт. Система рассчитана на масштаб до 10 эксабайт логического пространства, примерно триллион файлов и 100 миллиардов каталогов при подключении до миллиона клиентов. Всё это работает на стандартном оборудовании и обычных сетях Ethernet.

Код выложен на GitHub и распространяется под лицензиями GPLv2+ и Apache 2.0.

>>> Исходники на GitHub

>>> Подробности в блоге компании