Предупреждён — значит вооружён! Конец весны не даёт расслабиться и «балует» нас новыми кибератаками и уязвимостями. Собрали для вас несколько новостей из мира кибербезопасности. Будьте на шаг впереди — понимание этих рисков уже половина защиты.
Применение метода zip-бомбы для защиты от вредоносных веб-ботов
В последнее время увеличилась активность веб-ботов, которые занимаются индексацией сайтов. Помимо стандартных ботов, которые работают корректно, появились «агрессивные» боты, которые игнорируют правила индексирования robots.txt, используют десятки тысяч разных IP-адресов. Эти боты создают чрезмерную нагрузку на серверы, нарушают нормальную работу систем и отнимают время администраторов. Многие воспринимают активность таких ботов как вредоносную.
Для замедления работы подобных ботов, а также ботов, сканирующих уязвимости в типовых веб-приложениях, один из администраторов предложил метод «zip-бомбы». Его суть заключается в том, что веб-боту в ответ на запрос страницы передаётся содержимое, эффективно сжатое методом «deflate», размер которого при распаковке значительно превышает размер переданных по сети данных.
Однако этот метод не рекомендуется использовать, так как сайт может быть занесён в чёрный список Google и начать помечаться как вредоносный в браузере Chrome с включённым режимом «Safe Browsing».
На PyPI обнаружены вредоносные пакеты, использующие Gmail и веб-сокеты
Специалисты обнаружили в PyPI семь вредоносных программ, которые использовали SMTP-серверы Gmail и веб-сокеты для кражи данных и удалённого выполнения команд.
После обнаружения все программы были удалены. Однако некоторые из них находились в PyPI более четырёх лет, а одна программа была загружена более 18 000 раз.
Программы Coffin выдавали себя за легитимный пакет Coffin, который представляет собой лёгкий адаптер для интеграции шаблонов Jinja2 в проекты Django. Вредоносные функции программ были направлены на скрытый удалённый доступ и кражу данных через Gmail. Они использовали жёстко закодированные учётные данные для входа на SMTP-сервер Gmail и отправляли своим операторам информацию, собранную на компьютерах жертв. Поскольку Gmail является доверенным ресурсом, брандмауэры и системы EDR вряд ли сочтут такую активность подозрительной.
Исследователи полагают, что программы в основном были нацелены на кражу криптовалюты.
В ядре Linux обнаружена уязвимость, позволяющая получить повышенные права через VSOCK
Была продемонстрирована возможность создания эксплойта для уязвимости CVE-2025-21756 в ядре Linux, которая приводит к обращению к памяти после её освобождения. Эта проблема затрагивает сокеты с адресацией AF_VSOCK, используемые для сетевого взаимодействия между гостевыми системами и хостами.
Эксплойт работает на системах с ядром версии 6.6.75, для других версий требуется модификация. Уязвимость была устранена в ядрах 6.14 и февральских/мартовских обновлениях веток 6.12.16, 6.6.79 и 6.1.131.
Уязвимость была исправлена в SUSE/openSUSE, Ubuntu и Debian 12, но остаётся в Debian 11 и RHEL. Причина — некорректное уменьшение счётчика ссылок на объект vsock при переназначении транспорта.
В сотнях магазинов на платформе Magento обнаружены уязвимости шестилетней давности
Специалисты Sansec обнаружили сложную атаку на цепочку поставок. В 2019 году 21 расширение для Magento было заражено бэкдором, который активировался в апреле 2025 года, взломав от 500 до 1000 онлайн-магазинов.
Злоумышленники получили контроль над ecommerce-серверами через PHP-бэкдор, добавленный в файлы проверки лицензии (License.php или LicenseApi.php). Бэкдор позволял загружать и выполнять PHP-код, что включало кражу данных, установку веб-скиммеров и создание новых учётных записей.
Компания MGS не ответила на предупреждение; Tigren заявил об отсутствии взлома; Meetanshi признал взлом сервера, но не расширений. Пользователям заражённых расширений рекомендуется проверить сервер и восстановить сайт из чистой резервной копии.
Sansec продолжает расследование и обещает предоставить дополнительную информацию. Одной из жертв стала «40-миллиардная транснациональная корпорация».
В удалённом доступе к Windows есть уязвимость, которую компания Microsoft не планирует устранять
Исследователи обнаружили уязвимость в протоколе RDP, позволяющую использовать устаревшие пароли даже после их изменения. Microsoft отказалась устранять проблему из-за риска совместимости, рекомендовав двухфакторную аутентификацию. Уязвимость затрагивает все версии Windows за последние два десятилетия. Независимый эксперт отметил, что поведение RDP нарушает принципы информационной безопасности, а облачные платформы Microsoft не фиксируют угрозу. Эксперты предупреждают, что это ставит под угрозу корпоративные сети, особенно в условиях удалённой работы.
Вредоносное ПО в Linux, стирающее все данные с дисков
Специалисты по безопасности обнаружили три вредоносных модуля Go с зашифрованным кодом для загрузки удалённой полезной нагрузки. Эти модули перезаписывают основной диск Linux нулями, делая систему невосстановимой.
Угроза выявлена в следующих пакетах:
- github.com/truthfulpharm/prototransform
- github.com/blankloggia/go-mcp
- github.com/steelpoor/tlsproxy
Пакеты проверяют запуск в Linux и загружают полезную нагрузку через wget. Вредоносный скрипт уничтожает данные на диске (/dev/sda), делая сервер неработоспособным.
Для снижения рисков рекомендуется проверять подлинность пакетов, авторов, ссылки на репозитории, регулярно проводить аудит зависимостей и контролировать доступ к ключам.
