Сегодня в ТОП-5 — Hades атакует цепочки поставок ПО, новая 0-day-уязвимость RoguePlanet в Windows Defender, GitHub блокирует атаки на цепочки поставок через обновление npm, атака FROST: отслеживание активности пользователя через задержки SSD, атака на цепочку поставок в Arch Linux + Лето в Cyber Camp — первый опен-эйр для специалистов кибербезопасности!
Лето в Cyber Camp — первый опен-эйр для специалистов кибербезопасности
17 июля, Москва, в «Берёзы Парк Строгино» «Инфосистемы Джет» проводят «Лето в Киберкэмпе» — фестиваль по информационной безопасности на свежем воздухе.
В программе — доклады экспертов рынка, киберучения, практические воркшопы и разборы кейсов. Участники обсудят применение искусственного интеллекта в кибербезопасности, современные целевые атаки, цифровую криминалистику и программы Bug Bounty. Также в программе — TableTop-сессии и киберучения от команды Jet CyberCamp. У участников будет возможность получить экспертную консультацию от спикеров, записаться на которую можно на площадке в день мероприятия. Специальный гость — астроном Владимир Сурдин с лекцией «Заблуждения и мифы о Вселенной».
Помимо деловой части участников ждут игровые активности на свежем воздухе, квесты по социальной инженерии, настольные игры и неформальное общение с единомышленниками и экспертами ИБ.
Трансляции не будет — всё самое интересное случится только на площадке. Количество мест ограничено, так что лучше забронировать билет заранее.
Hades атакует цепочки поставок ПО
Исследователи зафиксировали новую волну атак червя Hades (ответвление Miasma) на экосистему PyPI, поразившую 19 пакетов (37 вредоносных wheel-артефактов) через файлы -setup.pth, которые автоматически выполняются при запуске Python. Вредонос загружает среду Bun и запускает обфусцированный JavaScript для кражи данных разработчиков, извлекает секреты из памяти GitHub Actions на macOS и Windows, а также имеет возможность распространения по SSH. В отличие от предыдущих кампаний, Hades изменила цепочку выполнения (разделив загрузчик и полезную нагрузку), сменила репозитории эксфильтрации и включила методы обмана ИИ-сканеров через текстовые подсказки. Атаки нацелены на пакеты для биоинформатики, машинного обучения и MCP-технологий с использованием как файлов .pth, так и внедрения кода в init.py. Рекомендуется проверить все пакеты PyPI, внедрить строгую проверку файлов .pth и init.py, настроить мониторинг запросов к GitHub, ограничить права токенов OIDC и GitHub, а также изолировать ИИ-ассистентов в средах разработки.
Новая 0-day-уязвимость RoguePlanet в Windows Defender
Исследователь Nightmare Eclipse опубликовал новую 0-day-уязвимость в Microsoft Defender под названием RoguePlanet. Она затрагивает Windows 10 и Windows 11, позволяя злоумышленникам получить права SYSTEM, что разрешает им запускать произвольный код или совершать несанкционированные действия. Эксплойт был протестирован на официальных и тестовых сборках Windows 11, а также на обновлённых за июнь 2026 года системах Windows 10. Компания ThreatLocker подтвердила работоспособность эксплойта на полностью обновлённых устройствах с KB5094126. Изначально RoguePlanet представляла собой RCE-уязвимость через файлы на удалённых SMB-ресурсах, но Microsoft усилила защиту, закрыв один из использовавшихся в атаке механизмов. Рекомендуется временно ограничить работу Microsoft Defender, настроить контроль приложений и минимальные привилегии, а также мониторить подозрительные SMB-соединения.
GitHub блокирует атаки на цепочки поставок через обновление npm
GitHub анонсировал выход npm версии 12 с критическими изменениями, направленными на блокировку атак на цепочку поставок. В новой версии команда npm install по умолчанию перестанет выполнять скрипты preinstall, install и postinstall из зависимостей, которые ранее выполняли произвольный код на машине разработчика автоматически. Также будет запрещено автоматическое разрешение Git-зависимостей и зависимостей с удалённых HTTPS-архивов, если это не разрешено пользователем через флаги —allow-git и —allow-remote. Эти изменения закрывают основные векторы атак, использовавшиеся в недавних кампаниях, включая вредоносные скрипты и злоупотребление Git-зависимостями. После перехода на npm 12 продолжат работать только те скрипты и источники зависимостей, которые разработчик явно одобрит. GitHub рекомендует разработчикам заранее обновиться до npm 11.16.0 или новее, чтобы увидеть предупреждения о будущих неработоспособных действиях.
Атака FROST: отслеживание активности пользователя через задержки SSD
Исследователи из Грацского технического университета разработали атаку FROST, которая позволяет вредоносному веб-сайту через JavaScript отслеживать, какие программы и сайты открывает пользователь, анализируя задержки при доступе к SSD. Метод использует стандартную веб-функцию Origin Private File System (OPFS), создающую на диске изолированный файл размером более доступной оперативной памяти, что заставляет браузер постоянно обращаться к накопителю. Когда пользователь запускает приложение или открывает сайт, возникает конкуренция за пропускную способность SSD, и по изменению времени чтения обученная нейросеть распознаёт активность с точностью до 89–96%. На Mac mini атака правильно определяла открытые сайты в 89% случаев, а приложения — в 96%, даже если они запускались в другом браузере. Несмотря на эффективность, метод имеет ограничения: он требует, чтобы злоумышленник создал на диске файл свыше гигабайта, и работает только при открытой вредоносной вкладке.
Атака на цепочку поставок в Arch Linux
11 июня 2026 года Sonatype обнаружила кампанию Atomic Arch, нацеленную на заброшенные пакеты в AUR. Злоумышленники захватывают abandoned-проекты и добавляют в PKGBUILD команду npm install atomic-lockfile (а позже также bun install и js-digest). При сборке такого пакета запускается вредоносный ELF-файл deps — программа на Rust, которая крадёт секреты разработчиков: от cookie-файлов браузеров и SSH-ключей до токенов GitHub, npm, Vault, данных Slack, Discord, Teams, Docker, Podman и VPN, эксфильтрируя их через HTTP. При работе от имени root активируется руткит на основе eBPF, скрывающий процессы, файлы и сетевые интерфейсы через BPF-карты (hidden_pids, hidden_names, hidden_inodes), а также устанавливается systemd-сервис для автоматического перезапуска. По состоянию на 12 июня затронуто около 1500 пакетов. Удаление скомпрометированного пакета AUR не очищает систему, поскольку полезная нагрузка уже выполнилась и могла внедриться в ядро, поэтому пользователям рекомендуется сменить все затронутые учётные данные, проверить systemd-сервисы и карты BPF, а при подозрении на запуск от имени root — полностью переустановить ОС с доверенного носителя.
ссылка на оригинал статьи https://habr.com/ru/articles/1047770/