ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — новая вредоносная приложение IronWorm поразила 36 пакетов в процессе атаки на цепочку поставок npm, критическая уязвимость Kirki была использована для взлома учетных записей администраторов WordPress, CISA добавила в свой каталог активно используемую уязвимость в Oracle, обнаруженную два года назад, бэкдор FlutterShell распространился на macOS через вредоносную рекламу Google и YouTube, уведомления WhatsApp и Slack могут перехватить управление Google Gemini на Android.

Новая вредоносная приложение IronWorm поразила 36 пакетов в процессе атаки на цепочку поставок npm

Эксперты из JFrog Security Research опубликовали исследование мощного ВПО IronWorm для кражи информации, которое собирает все секреты на компьютере жертвы, скрывается за руткитом ядра eBPF и подчиняется оператору через Tor. Подобно червю Shai-Hulud, он использует украденные учетные данные в качестве механизма распространения, незаметно внедряясь в репозитории GitHub и используя доверенные рабочие процессы для публикации в реестре NPM. Это самовоспроизводящаяся атака на цепочку поставок, направленная непосредственно на разработчиков программного обеспечения, и например — разработчиков криптографических / Web3.0-приложений. Рекомендуется проверить устаревшие коммиты, подозрительные ветки, неожиданные хуки в сборках и изменения, приписываемые claude, dependabot[bot], renovate[bot], github-actions[bot] или другим учетным записям автоматизации вне их обычного контекста.

Критическая уязвимость Kirki была использована для взлома учетных записей администраторов WordPress

Компания Wordfence сообщила об уязвимости, приводящей к несанкционированному повышению привилегий в плагине Kirki для WordPress. Эта уязвимость позволяет злоумышленникам захватывать произвольные учетные записи пользователей на сайте, включая учетные записи администраторов. После захвата учетных записей ссылки на сброс пароля отправляются на адрес электронной почты злоумышленников. Уязвимость полностью устранена в версии 6.0.7 плагина. Пользователям WordPress рекомендуется обновить свои плагины до последней исправленной версии Kirki.

CISA добавила в свой каталог активно используемую уязвимость в Oracle, обнаруженную два года назад

CISA добавила в свой каталог известных эксплуатируемых уязвимостей (KEV) серьезную уязвимость безопасности, затрагивающую Oracle WebLogic Server, на основании данных об активной эксплуатации. Уязвимость CVE-2024-21182 (CVSS: 7.5) даёт возможность неавторизованному злоумышленнику с сетевым доступом через T3, IIOP скомпрометировать уязвимые сервера и получить доступ к критически важным данным или ко всем доступным данным Oracle WebLogic Server. В настоящее время нет публичных сообщений о том, как эта уязвимость используется в реальных условиях. В свете активной эксплуатации этой уязвимости рекомендуется внедрить необходимые исправления в соответствии с инструкциями поставщика.

Бэкдор FlutterShell распространился на macOS через вредоносную рекламу Google и YouTube

Специалисты из Palo Alto Networks Unit 42 раскрыли подробности работы ВПО FlutterShell, созданного на основе фреймворка Flutter, которое заражает целевые устройства рекламным ПО через вредоносные настольные приложения. Помимо функций рекламного ПО, полезная нагрузка обладает возможностями бэкдора, включая выполнение команд оболочки и манипулирование файловой системой. Злоумышленники распространяют вредоносную рекламу, используя сеть проверенных Google компаний-подставных лиц. Эта реклама была разработана для того, чтобы обманом заставить жертв установить вредоносное ПО, маскирующееся под легитимные настольные приложения. Рекомендуется устанавливать приложения только с официальных сайтов и внимательно проверять, какие разрешения они запрашивают после установки.

Уведомления WhatsApp и Slack могут перехватить управление Google Gemini на Android

Исследователи SafeBreach Labs обнаружили новую уязвимость безопасности, которая позволяет злоумышленникам применять Google Gemini посредством управления уведомлениями в мессенджерах, таких как WhatsApp, Slack и SMS. Злоумышленник может незаметно манипулировать контекстом разговора, скрывая вредоносные инструкции на иностранных языках или замалчивая гиперссылки, чтобы заставить голосового помощника выполнять несанкционированные действия. Эти уязвимости включают управление устройствами умного дома, запускание несанкционированных видеопотоков, организацию масштабной социальной инженерии путем подделки сообщений от доверенных контактов и отравление долговременной памяти для постоянного доступа. Google опубликовал обновления классификатора контента для устранения этих уязвимостей.