ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — RAT для Windows распространяется под видом популярных библиотек в npm, уязвимость нулевого дня в Cisco Catalyst SD-WAN используется для получения root-доступа, угроза в Microsoft Edge. Вредоносное расширение Edgecution обходит песочницу браузера, уязвимость DirtyClone позволяет локальным пользователям получить права root, известный блокировщик рекламы может выполнять произвольный JavaScript-код.

RAT для Windows распространяется под видом популярных библиотек в npm

Исследователи из JFrog Security Researcher обнаружили набор вредоносных пакетов npm, которые распространяли троян удаленного доступа (RAT) для Windows. Злоумышленник под ником abdrizak опубликовал три пакета: aes-decode-runner-pro, postcss-minify-selector и postcss-minify-selector-parser. Пакеты содержат встроенный JavaScript-дроппер, который записывает скрипт PowerShell на диск и выполняет его. Этот скрипт выступает в роли загрузчика: он использует curl.exe для скачивания ZIP-архива с вредоносным содержимым с домена nvidiadriver[.]net. Из архива извлекается и запускается файл скрипта Visual Basic, который отвечает за настройку среды Python на скомпрометированном хосте и запускание основного вредоносного скрипта. RAT обладает инструментами сбора информации о хосте, получения учетных данных из Google Chrome, сбора данных из расширений Chrome, выполнения команд оболочки и загрузки / выгрузки файлов на хост управления и контроля. Пользователям, установившим какой-либо из данных пакетов, рекомендуется немедленно удалить их и все созданные ими артефакты и сменить учетные информация на затронутых компьютерах.

Уязвимость нулевого дня в Cisco Catalyst SD-WAN используется для получения root-доступа

Специалисты Mandiant выявили злоумышленника, нацеленного на инфраструктуру SD-WAN. В процессе атаки злоумышленник сначала получил первоначальный доступ через неавторизованные пиринговые соединения, после чего скомпрометировал административную учетную запись admin. Затем он использовал уязвимость нулевого дня CVE-2026-20245 (CVSS: 7.8) в интерфейсе командной строки Cisco Catalyst SD-WAN для повышения привилегий до уровня root. Уязвимость связана с тем, что функция загрузки файлов устройства не способна должным образом фильтровать вредоносные данные. В ходе вторжения, чтобы избежать обнаружения, злоумышленник постоянно выборочно удалял и восстанавливал файлы конфигурации системы, измененные в ходе его действий. Организациям необходимо апдейтнуть Cisco Catalyst SD-WAN Manager до исправленных версий ПО (20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, 26.1.1.2 или новее), чтобы устранить уязвимость CVE-2026-20245.

Угроза в Microsoft Edge. Вредоносное расширение Edgecution обходит песочницу браузера

Zscaler ThreatLabz опубликовала аналитика операции программ-вымогателей, которые соответствуют тактике, ранее использовавшейся программой-вымогателем Payouts King. Злоумышленник использует методы социальной инженерии в сочетании с инновационным механизмом доставки вредоносного ПО. Эта техника использует вредоносное расширение для браузера Microsoft Edge, которое оперирует протприблизительном native messaging для взаимодействия с приложениями на хосте за пределами песочницы браузера. Злоупотребляя этим интерфейсом, злоумышленники получают прямой доступ к хосту, что даёт возможность им манипулировать локальной файловой системой, запускать процессы и выполнять произвольный исходник на скомпрометированном хосте. Исследователи Zscaler назвали этот веб-браузерный вредонос Edgecution. Пользователям рекомендуется удалить расширение из своих браузеров.

Уязвимость DirtyClone позволяет локальным пользователям получить права root

Исследовательская группа JFrog Security Research опубликовала отчет о DirtyClone — новой уязвимости повышения привилегий в ядре Linux из семейства DirtyFrag. Уязвимость, отслеживаемая как CVE-2026-43503 (CVSS 8.8), даёт возможность локальному пользователю повредить хранилище, связанную с файлом, с помощью клонированного сетевого пакета и получить права root. Когда движок ​​копирует сетевой пакет внутри себя, две вспомогательные функции сбрасывают флаг безопасности, который помечает хранилище пакета как общую с файлом на диске. Именно этот отсутствующий флаг и является главный уязвимостью. Рекомендуется инсталлировать апдейт ядра до версии v7.1-rc5 или новее.

Популярный блокировщик рекламы может выполнять произвольный JavaScript-код

Специалисты из Island выявили в популярном расширении Google Chrome Adblock for YouTube (более 11 миллионов установок) функция выполнения произвольного JavaScript-кода на любом сайте. Это активируется одним изменением на сервере (api.adblock-for-youtube.com) без обновления расширения, проверки в магазине или видимых признаков изменений. Расширение запрашивает доступ ко всем сайтам (<all_urls>), хотя блокирует рекламу только на YouTube. Встроенная тест URL легко обходится, а алгоритм scriptlets даёт возможность удаленно внедрять исходник на любую страницу. Это может привести к краже данных из личных кабинетов, рабочих приложений и других конфиденциальных сессий. Исследователи равным образом отмечают, что плагин сменило владельца в 2018 году, а связанные с ним расширения (Adblock for Chrome, Adblock for You) были удалены из Chrome Web Store в связи с наличия вредоносного П