За последние две недели отмечена серия серьёзных киберинцидентов. В их числе — компрометация сервера обновлений Notepad++, опасные уязвимости в GitLab и взлом сервера антивируса eScan. Если вы используете это ПО, советуем проверить и установить все последние обновления.
Отдельно расскажем о важной новости от Microsoft: начался процесс отключения устаревшего протокола аутентификации NTLM в Windows.
Хакеры взломали сервер Notepad++ и полгода рассылали заражённые обновления
Киберпреступники взломали сервер проекта Notepad++ и с июня по декабрь 2025 года рассылали отдельным пользователям вредоносные обновления программы, в частности организациям с интересами в Восточной Азии.
Злоумышленники скомпрометировали инфраструктуру хостинг-провайдера. Механизм атаки работал так:
- Трафик обновлений, идущий на официальный сайт, выборочно перенаправлялся на серверы злоумышленников, передававшие вредоносные манифесты.
- Это приводило к загрузке малвари, которая собирала данные системы (команды netstat, systeminfo, tasklist, whoami) и отправляла их на сервис temp[.]sh с помощью curl.
Согласно отчёту хостера, хакеры потеряли прямой доступ к серверу 2 сентября после его обновления. Однако они сохранили доступ к внутренним сервисам провайдера и возможность перенаправлять трафик вплоть до 2 декабря.
Для защиты разработчики уже предприняли ряд мер:
- Перенесли проект к новому хостинг-провайдеру.
- Ввели поэтапное усиление проверок: в версии 8.8.8 обновления стали загружаться только с GitHub, а в версии 8.8.9 добавлена проверка цифровой подписи и сертификата установщика. Ответы сервера обновлений теперь также подписываются (XMLDSig). В ожидаемой версии 8.9.2 проверка подписи станет обязательной.
Пользователям рекомендуется вручную загрузить и установить актуальную версию (8.9.1 или новее), где реализованы все указанные меры защиты.
Вредоносный код в репозиторий Plone на GitHub
Злоумышленники добавили вредоносный код в основные git-репозитории системы управления контентом Plone на GitHub. 27 января было обнаружено, что атака затронула пять ключевых репозиториев проекта.
Атакующие скомпрометировали учётную запись одного из разработчиков, похитили его токен доступа и получили права на внесение изменений. Вместо обычных коммитов они применяли операцию «force push», которая позволила перезаписать историю веток и скрыть подмену.
Вредоносный JavaScript-код добавлялся в файлы и активировался при сборке: загружал эксплойты для повышения привилегий, крал токены доступа, данные браузеров и ключи криптокошельков, настраивая автозапуск и удалённое управление сервером. Для маскировки код размещался в одной строке с легитимной операцией и смещался пробелами, поэтому не отображался в интерфейсе GitHub без нажатия кнопки «Load Diff». В одном из репозиториев злоумышленники даже подделали дату коммита, чтобы он выглядел как более раннее и безобидное изменение.
Разработчики Plone уже предприняли меры: в настройках репозиториев на GitHub были включены правила, полностью блокирующие операции «force push» для основных веток и тегов. Это не позволит в будущем перезаписывать историю.
Опасные уязвимости в GitLab, требующие срочных обновлений
Опубликованы корректирующие обновления GitLab (версии 18.8.2, 18.7.2, 18.6.4), в которых устранена уязвимость (CVE-2026-0723), позволяющая обойти двухфакторную аутентификацию, а также ещё четыре уязвимости, две из которых помечены опасными.
Уязвимость CVE-2026-0723 позволяет злоумышленнику, знающему идентификатор учётных данных жертвы, обойти проверку при двухфакторной аутентификации. Проблема вызвана отсутствием должной проверки возвращаемого значения в сервисах аутентификации.
Остальные уязвимости приводят к отказу в обслуживании при отправке специально оформленных запросов к компоненту для интеграции с Jira Connect (CVE-2025-13927), API управления релизами (CVE-2025-13928) и SSH (CVE-2026-1102), а также к зацикливанию при создании специально оформленного Wiki-документа (CVE-2025-13335).
Всем пользователям рекомендуется срочно установить одно из предоставленных обновлений. Детали уязвимостей не раскрываются и станут доступны публично спустя 30 дней после публикации исправлений.
Антивирус eScan распространял вредоносные обновления после взлома
В январе 2026 года злоумышленники взломали сервер обновлений eScan и разослали части пользователей вредоносное обновление.
Взломщики получили доступ к конфигурации сервера и подменили легитимный файл компонента Reload.exe на вредоносный. Файл был подписан сертификатом eScan, но система и VirusTotal считали подпись невалидной. Вредонос обеспечивал злоумышленникам закрепление в системе, выполнял команды, редактировал файл HOSTS (блокируя доступ к серверам обновлений) и загружал дополнительные модули, в том числе бэкдор.
Вендор антивируса компания MicroWorld Technologies уже изолировала скомпрометированную инфраструктуру и восстановила ее с нуля, сменила все учетные данные. Кроме того, она выпустила инструмент для пострадавших клиентов, который выявляет и откатывает вредоносные изменения, восстанавливает работу обновлений.
Отключение протокола NTLM в Windows
Компания Microsoft объявила, что отключит устаревший и уязвимый протокол аутентификации NTLM по умолчанию в будущих версиях Windows Server и Windows. Это часть стратегии по переходу на более безопасные методы аутентификации.
NTLM уязвим к атакам, например, NTLM relay: злоумышленники перенаправляют аутентификацию скомпрометированных устройств на свои серверы, чтобы получить контроль над доменом. Другой метод — pass-the-hash, при котором украденные хеши паролей используются для доступа к данным и продвижения по сети.
Microsoft представила план перехода: сначала аудит использования NTLM, на вторую половину 2026 года запланировано внедрение заменяющих технологий (IAKerb, Local KDC), и, наконец, отключение NTLM по умолчанию. Администраторам рекомендуется уже сейчас выявлять и отказываться от NTLM в пользу Kerberos или других безопасных методов.
Возможно, вам будет интересно
