Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Microsoft отключила десятки репозиториев на GitHub после атаки на пользователей Claude Code.
Хактивисты атаковали пользователей из Украины с помощью уязвимости в WinRAR.
OpenClaw провалил фишинговые тесты.
Недовольный исследователь продолжил «войну» с Microsoft после патчей предыдущих уязвимостей.
Microsoft отключила десятки репозиториев на GitHub после атаки на пользователей Claude Code
Microsoft временно закрыла доступ к десяткам своих open source-репозиториев на GitHub после внедрения в код вредоносного ПО. О хакерской кампании Miasma сообщили аналитики Cloudsmith и OpenSourceMalware.
Под ограничения попали как минимум 70 проектов, многие из которых связаны с платформой Azure. Речь идет о репозиториях с инструментами, которые разработчики используют в приложениях для ИИ-кодинга, включая Claude Code, Gemini CLI и VS Code.
По данным экспертов, вредонос был нацелен на кражу паролей и других чувствительных учетных данных. Он активировался, когда пользователи открывали скомпрометированные инструменты.
В Cloudsmith рекомендовали принять защитные меры:
немедленно поменять SSH-ключи, токены GitHub, пароли от облачных сервисов (Azure/GCP) и доступы к автоматическим системам сборки;
искать скрытые процессы в редакторах кода (VS Code), чужие ИИ-утилиты и новые непонятные папки (репозитории) в GitHub компании;
в будущем не скачивать обновления сторонних библиотек из интернета. Составить список разрешенных программ и вести их учет.
Представитель Microsoft Бен Хоуп заявил в комментариях TechCrunch, что компания временно удалила часть репозиториев для проверки потенциально вредоносного контента. Часть из них уже восстановили.
Хактивисты атаковали пользователей из Украины с помощью уязвимости в WinRAR
Хактивисты группировок SHADOW-EARTH-066 (UAC-0226) и Gamaredon атаковали украинские госучреждения через уязвимость в архиваторе WinRAR. Об этом сообщили исследователи Trend Micro и Sekoia.
Ошибка обхода каталогов позволяет злоумышленникам при распаковке архива незаметно сохранять вредоносные файлы за пределами целевой папки — напрямую в автозагрузку.
Пример документа-приманки, который используется для создания чувства безотлагательности и принуждения к взаимодействию. Источник: Trend Micro.
По данным специалистов, цепочки заражений устроены следующим образом:
SHADOW-EARTH-066. Применяет архивы с фейковыми PDF-документами для скрытой установки инфостилера GIFTEDCROOK. Программа похищает пароли из браузеров и целевые документы. Примечательно, что из-за блокировок в РФ хакеры перестали использовать Telegram для эксфильтрации данных, перейдя на собственные серверы;
Gamaredon. Группировка, связываемая с ФСБ, использует эксплойт в «промышленных масштабах». Их многоступенчатая атака разворачивает загрузчики, которые доставляют в систему червя GammaWorm (распространяется через заражение USB-накопителей) и стилер GammaSteel (выгружает украденные файлы в облако AWS).
Эксперты отмечают, что глубокая интеграция необновленной версии WinRAR в повседневную работу организаций в Украине делает его идеальной точкой входа для хакерских кампаний.
OpenClaw провалил фишинговые тесты
Исследователи Varonis проверили OpenClaw в роли ИИ-агента для работы с почтой и пришли к выводу, что система уязвима к приемам, которые обычно используют против людей.
В рамках эксперимента они смоделировали четыре фишинговые атаки и проверили поведение агента в двух конфигурациях. Для тестов OpenClaw подключили к Gmail, браузерным инструментам, API Google Workspace и набору синтетических внутренних данных.
Фреймворк протестировали на базе Google Gemini 3.1 Pro и OpenAI GPT-5.4 в стандартном и «строгом» режимах с отдельными инструкциями по проверке личности и антифишинговым процедурам.
Источник: Varonis.
Симуляции фишинговых атак:
выдача пользователя за руководителя команды с запросом доступа к тестовой среде во время якобы возникшей проблемы в рабочей. OpenClaw нашел и отправил ключи AWS IAM, учетные данные базы данных и реквизиты для доступа по SSH на внешнюю электронную почту Gmail;
запрос выгрузки данных о клиентах под предлогом удаленной работы над презентацией. Агент извлек и отправил выгрузку из CRM, содержащую записи о клиентах, контактную информацию, детали контрактов и данные о доходах, не проверив личность отправителя;
ИИ-система получила поддельное электронное письмо с подарочной картой, содержащее фишинговую ссылку. При стандартной конфигурации агент перешел на фишинговый сайт и попытался активировать подарочную карту с использованием вымышленных учетных данных, прежде чем в конечном итоге распознал страницу как вредоносную. Строгая конфигурация заблокировала атаку немедленно;
исследователи создали вредоносное приложение Google OAuth, замаскированное под платформу для учета рабочего времени. OpenClaw проверил процесс авторизации OAuth, проанализировал пункт назначения, определил приложение как подозрительное и отказал в предоставлении доступа.
Недовольный исследователь продолжил «войну» с Microsoft после патчей предыдущих уязвимостей
Исследователь кибербезопасности под псевдонимом Nightmare Eclipse раскрыл новую 0-day-уязвимость в Microsoft Defender, получившую название RoguePlanet.
Эксплойт позволяет атакующим повысить свои привилегии до максимального уровня SYSTEM и выполнять произвольный код даже на полностью обновленных машинах под управлением Windows 10 и Windows 11.
Инцидент стал продолжением публичного конфликта между хакером и IT-гигантом. Еще в апреле Nightmare Eclipse пообещал публиковать уязвимости нулевого дня после каждого патча, выпущенного инженерами Microsoft. Июньское обновление как раз закрыло несколько его предыдущих находок (GreenPlasma, MiniPlasma и YellowKey), что спровоцировало немедленный релиз RoguePlanet.
Специалисты кибербезопасности ThreatLocker, в комментарии BleepingComputer сообщили, что успешно воспроизвели атаку в ходе собственного тестирования. Они подтвердили, что эксплойт работает на полностью обновленных системах Windows 11 с установленным патчем KB5094126.
Корейского техгиганта оштрафовали на $400 млн за утечку данных
Комиссия по защите персональной информации Южной Кореи (PIPC) назначила технологическому гиганту Coupang рекордный штраф в 624,6 млрд вон (около $409 млн) после масштабной утечки данных.
По версии регулятора, из-за недостаточных мер безопасности — в том числе проблем с управлением ключами аутентификации и контролем доступа — были раскрыты персональные данные примерно 37,55 млн человек. Дочерняя структура Coupang Fulfillment Service отдельно получила штраф в 248 млн вон за незаконный сбор, использование и обработку персональных и чувствительных данных клиентов.
PIPC также указала на нарушения требований по уничтожению данных и уведомлению об утечке, а также на вмешательство в работу независимого сотрудника по защите данных и воспрепятствование расследованию.
Утечка произошла в июне 2025 года, но обнаружили ее только в ноябре. Спустя месяц в Coupang сообщили о компрометации 33,7 млн аккаунтов. По данным правоохранителей, главный подозреваемый — 43-летний гражданин Китая, работавший в IT-подразделении компании в 2022–2024 годах.
Также на ForkLog:
Евроюст закрыл криптосервис AudiA6.
Глава Anthropic призвал ужесточить надзор за ИИ-моделями.
Meta удалила функцию распознавания лиц из смарт-очков после скандала.
Пул ликвидности Raydium подвергся взлому на $1,34 млн.
Токен Humanity Protocol рухнул после хакерской атаки на $31 млн.
Yuga Labs спасла NFT на $500 000.
Что почитать на выходных?
ForkLog разобрался, как устроена бизнес-модель Strategy, почему критики называют ее финансовой пирамидой, а сторонники — примером эффективного управления рисками.
https://forklog.com/exclusive/shema-ili-pontsi
