Утечки данных эскалируют стремительными темпами
Киберразведка этой недели рисует мрачную картину эскалации утечек данных в критически важных секторах. Vercel, известная облачная платформа для фронтенда, раскрыла значительный инцидент безопасности, возникший в результате компрометации Context.ai. Украденные токены OAuth стали ключами к несанкционированному доступу через подключенное приложение, что привело к раскрытию информации о сотрудниках, внутренних логов и части переменных окружения. Хотя компания уверяет, что её самые конфиденциальные секреты остались в безопасности, инцидент подчёркивает опасный волновой эффект от утечек у сторонних поставщиков.
France Titres, французский орган, ответственный за удостоверения личности и регистрационные документы, также подтвердил утечку данных 15 апреля. Сообщается, что раскрытая информация включает имена, даты рождения, адреса электронной почты, логины, а также некоторые физические адреса и номера телефонов. Жуткие последствия? Предполагаемые агентские данные появились в продаже на тёмной стороне сети, что является суровым напоминанием о финансовой мотивации этих атак.
Даже исследовательские организации не застрахованы. UK Biobank, жизненно важная британская исследовательская организация, подтвердила взлом после того, как деидентифицированные медицинские данные 500 000 добровольцев появились на китайских торговых площадках. Несмотря на заявления официальных лиц об удалении объявлений и непроданности, а также о приостановке доступа с введением ограничений на скачивание, целостность таких конфиденциальных данных для исследовательских целей теперь неоспоримо подорвана.
ИИ вступает в бой: новые векторы эксплуатации
Но ландшафт угроз — это не только украденные учётные данные и персональные данные. Искусственный интеллект, некогда провозглашённый щитом, всё чаще становится орудием. Исследователи выявили несанкционированный доступ к Claude Mythos Preview от Anthropic, невыпущенной ИИ-модели для кибербезопасности, через среду стороннего поставщика. Небольшая группа в Discord, как сообщается, использовала общие учётные записи подрядчиков, API-ключи и предсказуемые URL-адреса для проникновения в систему. Anthropic проводит расследование, но последствия несанкционированного доступа к зарождающимся ИИ-моделям защиты глубоки.
Мы также наблюдаем, как ИИ активно помогает в наступательных операциях. Bissa Scanner, платформа для эксплуатации с использованием ИИ, использует Claude Code и OpenClaw для облегчения массового сканирования, эксплуатации и сбора учётных данных. Основное внимание уделяется уязвимости React2Shell (CVE-2025-55182): сканируются миллионы целей, подтверждено более 900 компрометаций и похищены десятки тысяч раскрытых файлов окружения. Это не просто теория; это масштабируемая операционализация охоты за угрозами, основанная на ИИ.
Промпт-инъекции, эта, казалось бы, безобидная техника, также оказывается мощным вектором. Цепочка эксплойтов с помощью промпт-инъекций была продемонстрирована в agentic IDE Google Antigravity, что позволило обойти песочницу и выполнить удалённый код. Уязвимость хитроумно злоупотребляла инструментом поиска файлов, который выполнялся до проверок безопасности, позволяя атакующим трансформировать безобидный промпт в полную компрометацию системы, даже в защищённых режимах. Несмотря на то, что Google уже устранил эту проблему, она демонстрирует присущую хрупкость ИИ-систем при столкновении с враждебными входными данными.
Безопасны ли ваши менеджеры паролей от атак на цепочку поставок?
Даже инструменты, призванные нас защищать, становятся мишенями. Bitwarden, широко используемый менеджер паролей, недавно стал жертвой атаки на цепочку поставок. В репозитории npm был опубликован заражённый вредоносным ПО выпуск CLI (Command Line Interface). Bitwarden подтвердил, что 334 разработчика установили версию 2026.4.0. Этот короткий промежуток времени компрометации, возникший из-за взломанного аккаунта GitHub, потенциально мог привести к раскрытию учётных данных. Компания заявила, что данные хранилища не пострадали, но любая утечка, связанная с раскрытием учётных данных, вызывает серьёзную обеспокоенность у пользователей, доверяющих этим сервисам свою самую конфиденциальную информацию.
Критические уязвимости требуют немедленного внимания
Постоянный поток уязвимостей не прекращается. Microsoft срочно выпустила внеплановые исправления для CVE-2026-40372 — критической уязвимости повышения привилегий в ASP.NET Core с рейтингом 9.1. Ошибка в версиях Data Protection с 10.0.0 по 10.0.6 могла позволить атакующим подделывать куки и токены антиподделки, фактически выдавая себя за пользователей и получая доступ уровня SYSTEM при развёртывании на Linux или macOS. Для организаций, использующих эти платформы, это исправление нельзя откладывать.
Apple также выпустила исправления для CVE-2026-28950 в iOS и iPadOS. Эта ошибка в службе уведомлений обладала тревожной возможностью: она сохраняла удалённые оповещения, позволяя восстановить предварительный просмотр конфиденциальных сообщений. Затронув множество моделей iPhone и iPad, уязвимость предоставляла криминалистический доступ при наличии устройства и, как утверждается, использовалась правоохранительными органами для получения доступа к входящим сообщениям из зашифрованных приложений. Эрозия конфиденциальности сообщений, даже через, казалось бы, исправленные ошибки, является тревожной тенденцией.
Инструменты с открытым исходным кодом, являющиеся основой современной разработки, не являются исключением. LMDeploy, набор инструментов с открытым исходным кодом для развёртывания больших языковых моделей, затронут CVE-2026-33626 — уязвимостью серверной подделки запросов высокого уровня серьёзности. Тревожит скорость эксплуатации: активные атаки начались в течение 13 часов после раскрытия. Атакующие используют загрузчик изображений для доступа к метаданным облака, исследования внутренних служб и облегчения горизонтального перемещения в скомпрометированных сетях.
А для тех, кто всё ещё использует устаревшее оборудование: маршрутизаторы D-Link DIR-823X с окончанием жизненного цикла уязвимы к CVE-2025-29635 — уязвимости удалённого выполнения кода. Akamai сообщила, что атакующие активно используют её для развёртывания ботнета на базе Mirai, принудительно подключая эти устройства к атакам типа «отказ в обслуживании». Учитывая, что эти модели больше не поддерживаются, исправления не ожидаются, оставляя значительную часть интернет-инфраструктуры постоянно уязвимой.
Как работают операции “Программы-вымогатели как услуга”?
Помимо немедленных утечек и уязвимостей, сохраняется и эволюционирует постоянная угроза программ-вымогателей. Check Point Research проанализировала операцию “The Gentlemen” в рамках модели “Программы-вымогатели как услуга” (RaaS). Эта группа, появившаяся в 2025 году, предоставляет шифраторы для широкого спектра систем — Windows, Linux, NAS, BSD и ESXi. Их деятельность детализирует вызывающий беспокойство конвейер найма в подполье, модель утечки данных для их публикации, переговоры через Tox и использование инфраструктуры прокси SystemBC для поддержания постоянства и доступа. Это не мелкая операция; это структурированное криминальное предприятие.
Кроме того, продолжаются изощрённые кампании шпионажа. Исследователи картировали кампанию Mustang Panda, нацеленную на банковский сектор Индии и круги, занимающиеся разработкой политики в Южной Корее, развёртывая обновлённый бэкдор LOTUSLITE. Их тактика включает использование файлов справки с тематикой HDFC и поддельных всплывающих окон банков, а также DLL sideloading для установки вредоносного ПО. Такой уровень целенаправленного, постоянного шпионажа подчёркивает геополитические подводные течения в киберпространстве.
Наконец, цепочка поставок остаётся критическим слабым звеном. Исследователи обнаружили атаку, в результате которой вредоносное ПО для кражи учётных данных было внедрено в инструменты разработчика Checkmarx на Docker Hub и Visual Studio Code, затронув KICS-образы, загруженные более пяти миллионов раз. Цель вредоносного ПО ясна: собрать учётные данные облака и разработчиков и распространяться через скомпрометированные токены GitHub. Это бьёт по самому сердцу разработки программного обеспечения, подрывая доверие и безопасность с самого основания.
🧬 Связанные материалы
- Читать далее: EvilTokens: кошмар фишинга “drag-and-drop” для входа в Microsoft
- Читать далее: Что такое APT (Advanced Persistent Threat)?
