6 апреля 2026, 17:29
ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — Атака на цепочку поставок axios через npm, CrystalX RAT: MaaS с пранк-функциями, выявлены поддельные установщики для распространения Monero, Qilin EDR killer: многоступенчатый загрузчик через поддельный msimg32.dll, уязвимость в ChatGPT позволяла красть диалоги и файлы через DNS-запросы.
Атака на цепочку поставок axios через npm
Исследователи StepSecurity обнаружили, что злоумышленники захватили npm-аккаунт разработчика популярной HTTP-библиотеки axios (100+ млн загрузок в неделю) и опубликовали вредоносные версии 1.14.1 и 0.30.4 с фантомной зависимостью plain-crypto-js@4.2.1., которая загружает кроссплатформенный троян удалённого доступа (RAT). Атака эксплуатирует доверие разработчиков: при установке пакета вредоносный код автоматически выполняется в среде разработки или продакшена. Троян собирает переменные окружения, SSH-ключи, токены облачных провайдеров и устанавливает постоянное присутствие в системе. После выполнения вредонос самоуничтожается и подменяет свой package.json на чистую версию 4.2.0, скрывая следы. Рекомендуется фиксировать точные версии зависимостей в package-lock.json, использовать npm audit и проверять хеши пакетов перед развёртыванием.
CrystalX RAT: MaaS с пранк-функциями
Эксперты «Лаборатории Касперского» обнаружили CrystalX RAT — вредоносное ПО, предлагаемое как Malware-as-a-Service в приватных Telegram-чатах. Вредонос устанавливает WebSocket-соединение с C2, крадёт учётные информация из браузеров (через ChromeElevator для Chromium-браузеров и собственную реализацию для Yandex/Opera), перехватывает ввод с клавиатуры и подменяет адреса криптокошельков в буфере обмена через инъекцию расширения в Chrome/Edge. Опциональные возможности включают анти-отладку, проверку ВМ и патчинг AMSI/ETW. Среди «розыгрышей»: переворот экрана, переназначение кнопок мыши, хаотичное движение курсора, отключение диспетчера задач и cmd.exe, а также двусторонний чат с жертвой. Рекомендуется мониторить подозрительную активность PowerShell и CDP-запросы в браузерах.
Выявлены поддельные установщики для распространения Monero
Специалисты Elastic Security Labs обнаружили операцию REF1695, которая использует поддельные установщики с интерфейсом «регистрации» для распространения майнеров Monero и троянских программ (PureRAT, CNB Bot, AsyncRAT) через методы социальной инженерии. Жертва загружает .NET-установщик, защищённый комбинацией упаковщиков .NET Reactor и Themida/WinLicense. Установщик исключает себя из защиты Defender через PowerShell, создаёт задачу в планировщике для обеспечения автозагрузки и загружает главный вредоносный компонент с GitHub, используя его как сеть доставки контента. Рекомендуется скачивать программное обеспечение только с официальных источников и настроить оповещения на запускание программ для майнинга или разработка подозрительных задач в планировщике.
Qilin EDR killer: многоступенчатый загрузчик через поддельный msimg32.dll
Эксперты Cisco Talos обнаружили, что вредонос Qilin использует многоступенчатый загрузчик в виде поддельного msimg32.dll для отключения EDR. Атака начинается с загрузки кода через доверенное программа, после чего загрузчик через обфускацию потока управления с помощью SEH/VEH обходит user-mode хуки EDR. Затем загружается подписанный уязвимый драйвер ThrottleStop.sys (rwdrv.sys) для прямого доступа к физической памяти, что позволяет удалить callback-функции более 300 EDR-драйверов из объектов ядра. После этого через второй драйвер (hlpdrv.sys) завершаются процессы систем обнаружения и развёртывается шифровальщик. Рекомендуется внедрить контроль целостности драйверов и мониторинг попыток загрузки неподписанных или аномальных модулей ядра.
Уязвимость в ChatGPT позволяла красть диалоги и файлы через DNS-запросы
Исследователи Check Point сообщили об уязвимости в среде исполнения кода ChatGPT, которая позволяла через единственный вредоносный пользовательский запрос включить скрытый DNS-туннель для хищения данных из диалога. Злоумышленник мог незаметно извлекать текст сообщений, содержимое загруженных файлов и даже получать удалённый доступ к командной оболочке в изолированном Linux-контейнере. Эксплуатация использовала тот факт, что DNS-запросы не блокируются во время работы среды исполнения, а схема не распознавала их как исходящую передачу данных, требующую подтверждения пользователя. Уязвимость была устранена OpenAI 20 февраля 2026 года.
Читают сейчас

45 минут назад
«Сбер» открыл в Москве свежий офис центра робототехники для развития Physical AI
Центр робототехники «Сбер» открыл новый офис в Москве. В соответствии с заявлению компании, пространство связано с развитием направления Physical AI. В офисе работают исследовательские, инженерные, пр

1 час назад
«Офисного работника придумала Microsoft, чтобы продавать софт»: глава Perplexity защитил ИИ-революцию
Сооснователь и глава Perplexity Аравинд Шринивас пришел на подкаст Джо Рогана и заявил, что современная концепция офисного работника — конструкция, которую выстроила Microsoft, чтобы продавать корпора
1 час назад
Наталья Касперская и Игорь Ашамов представили критику законопроекта Минцифры РФ «О поддержке развития ИИ»
Президент группы компаний InfoWatch Наталья Касперская и глава компании «Ашманов и партнёры» Игорь Ашманов подготовили разбор законопроекта Минцифры РФ «О поддержке развития ИИ». Ранее они уже анализи

3 часа назад
Claude Fable 5 портировал Command & Conquer: Generals на iPhone
Аммаар Реши, руководитель продукта и дизайна Google AI Studio, запустил классическую стратегию Command & Conquer: Generals — Zero Hour 2003 года нативно на iPhone и iPad. Почти всю инженерную работу в
4 часа назад
СМИ: «VK Tech и Yandex B2B Tech — сотрудничество в корпоративном сегменте ПО»
VK Tech и Yandex B2B Tech обсуждают возможное партнёрство в корпоративном сегменте программного обеспечения. Об этом сообщили «Ведомости» со ссылкой на два неизвестных источника. По их данным, речь ид