В подборке — сразу пять новых угроз. Червь Shai-Hulud атакует экосистему NPM для кражи данных; ботнет SystemBC превращает уязвимые VPS-серверы в прокси для вредоносных операций; хакеры обновили код в бэкдоре BrockenDoor и атакуют крупные российские компании и госсектор; в io_uring нашли уязвимость, а в crates.io — пакеты с вредоносным кодом. Все эти инциденты — прямые риски для инфраструктуры разработки и безопасности данных.
Шаи-Хулуд атакует NPM
Атаки на экосистему NPM вышли на новый уровень с появлением самораспространяющегося червя под кодовым названием «Shai-Hulud» (по имени монстра из романа Фрэнка Герберта «Дюна»). С его помощью злоумышленники автоматически заражают цепочки зависимостей, чтобы перехватить конфиденциальную информацию. Это может привести к масштабному захвату пакетов и массовым утечкам данных.
Атака представляет собой цепную реакцию:
- Злоумышленники получают учётную запись сопровождающего NPM-пакета (например, с помощью фишинга).
- С помощью этих данных они публикуют новый пакет релиза, который содержит вредоносный код.
- Червь активируется при установке скомпрометированного пакета в числе зависимостей, используя скрипт (postinstall-хук), прописанный в package.json.
- Вредоносный код запускает утилиту TruffleHog, которая сканирует систему (переменные окружения, файлы конфигурации) в поисках токенов и ключей доступа (NPM, GitHub, AWS, Azure, GCP).
- Обнаружив токен доступа к каталогу NPM, червь с помощью функции NpmModule.updatePackage формирует новые вредоносные релизы для самых популярных пакетов, к которым получил доступ. Процесс включает загрузку исходного архива пакета, изменение версии, добавление постустановочного хука и повторную публикацию.
- Собранные данные червь передаёт злоумышленникам. Для этого он создаёт на GitHub репозитории с именем Shai-Hulud и размещает в них файл data.json с закодированными данными, а также использует GitHub Actions для их отправки на внешние серверы.
Атака началась со взлома пакета @ctrl/tinycolor (2.2 млн загрузок в неделю). В результате червь заразил 187 пакетов, выпустил для них 477 вредоносных обновлений и продолжает распространяться. Среди поражённых — 25 пакетов компании CrowdStrike, также атака затронула проект gemini-cli от Google.
Это не единственная атака на NPM за последние месяцы: например, в июле зафиксировали волну фишинг-атак на сопровождающих JavaScript-библиотеки. В результате атаки злоумышленники, получив токен разработчика, выпустили вредоносные обновления для пяти популярных NPM-пакетов (100 млн загрузок/неделю). Поэтому репозиторий вводит усиленные меры безопасности:
- Обязательная двухфакторная аутентификация при публикации пакетов.
- Переход с одноразовых TOTP-паролей на протокол FIDO U2F.
- Замена классических токенов на гранулированные со сроком действия 7 дней.
- Внедрение механизма Trusted Publishers на основе стандарта OpenID Connect, который позволяет внешним сервисам безопасно подтверждать публикацию пакетов.
SystemBC: ботнет превращает VPS в каналы для преступников
Специалисты Lumen Technology провели расследование и предупреждают: ботнет SystemBC ищет уязвимые VPS-серверы, чтобы превратить их в прокси-каналы для злоумышленников.
Примерно с 2019 года около 1500 ботов в составе SystemBC ежедневно формируют инфраструктуру для вредоносной активности. Например, проводят с его помощью брутфорс учётных данных WordPress и продают их брокерам, чтобы они могли внедрять вредоносный код на сайты. Кроме того, ботнет служит основой для других вредоносных прокси-сервисов, например, REM Proxy.
Как происходит атака:
- Операторы ботнета сканируют интернет в поисках VPS с критическими уязвимостями.
- Уязвимые серверы заражают вредоносным ПО SystemBC.
- Заражённый сервер становится прокси-узлом в ботнете и помогает маршрутизировать вредоносный трафик.
Сейчас ботнент SystemBC насчитывает более 80 управляющих серверов. Он известен высокой пропускной способностью — до 16 ГБ прокси-данных в сутки с одного IP.
Эксперты Lumen Technology считают, что основу ботнета SystemBC (почти 80%) составляют VPS-серверы крупных коммерческих провайдеров, имеющие хотя бы одну критическую уязвимость. Благодаря этому злоумышленникам удаётся дольше удерживать контроль над жертвами: почти 40% систем остаются заражёнными дольше месяца.
Советуем организациям и пользователям отслеживать аномалии исходящего трафика.
Бэкдор BrockenDoor: новая волна атак на российские компании
Эксперты «Лаборатории Касперского» обнаружили новую кампанию хактивистов BO Team против крупных российских организаций и госсектора. Её цель — получить доступ к системам, чтобы использовать данные для уничтожения IT-инфраструктуры жертв или заразить её вирусом-шифровальщиком. Хактивисты обновили инструментарий и теперь атакуют компании с помощью новой версии бэкдора BrockenDoor.
Для проникновения в системы группировка рассылает персонализированные фишинговые письма. В одном из сценариев злоумышленники сообщают о злоупотреблении полисом ДМС и прикладывают архив с фальшивым протоколом о служебном расследовании. Сам архив — это исполняемый .exe-файл, замаскированный под PDF-документ. После запуска активируется бэкдор BrockenDoor, который передаёт на сервер хакеров данные системы (имя пользователя, ОС, файлы на рабочем столе).
Основной код BrockenDoor переписан на C#, что упрощает разработку и сокрытие кода с помощью доступных обфускаторов. Для затруднения анализа команды сокращены до 2–3 символов (например, команда set_poll_interval сократилась до spi).
Уязвимость в io_uring, позволяющая повысить привилегии в Linux
Обнаружена уязвимость (CVE-2025-39698) в подсистеме io_uring ядра Linux. Она позволяет непривилегированному пользователю выполнить код на уровне ядра. Проблема связана с отсутствием проверки существования объекта перед операциями с ним.
Уязвимость устранена в обновлениях ядер 6.16.4 и 6.12.44. Обновления для дистрибутивов можно проверить на страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (если страница недоступна, исправление ещё в разработке).
В crates.io обнаружены два вредоносных пакета
Разработчики предупредили, что в репозитории Rust обнаружены пакеты faster_log и async_println с вредоносным кодом. Их опубликовали 25 мая и скачали уже 8424 раза.
Злоумышленники дали своим пакетам названия, сходные с легитимными (например, faster_log вместо fast_log), рассчитывая на невнимательность пользователей. При выполнении или тестировании проектов с этими зависимостями код искал в логах приватные ключи Solana и Ethereum и отправлял их на сервер злоумышленников.
Отдельно сопровождающих PyPI предупредили о фишинговой рассылке с угрозой блокировки учётной записи. Сообщение содержит ссылку на поддельный домен pypi-mirror.org.
