Всем привет! Подводим итоги марта дайджестом ключевых ИБ-новостей. Месяц выдался богатым на события. Ключевым стала утечка гос-эксплойтов на вторичный рынок — в сетевых дебрях засветились два эксплойт-кита под iOS.
Март в целом не скупился на утечки: у Claude Code случайно слили исходники, а у Cisco утекли исходники из ~300 репозиториев после компрометации Trivy. Другой заметной атакой на цепочку поставок после Trivy стала компрометация Axios на npm. В Бразилии ввели закон о верификации возраста с далеко идущими последствиями, а в США запретили импорт иностранных роутеров. Об этом и других интересных новостях первого весеннего месяца читайте под катом!
Навигация по новостям
Утечка гос-эксплойтов под iOS на вторичный рынок
Несомненно, самая горячая история марта: к киберпреступникам попали инструменты для эксплуатации айфонов. И не простые, а разработанные для американского госсектора. Их уже не первый месяц применяют в массовом эксплойте, и это первый случай в своём роде. С почином!
Кит с эксплойтами проделал интересный путь: в феврале 2025-го он светился в попытке взлома по американскому госзаказу. Позже — в арсенале APT, а затем всплыл у киберпреступников в Китае. Кит при этом мощный: 5 цепочек на 23 уязвимости, взламывает модели версий с 13 по 17.2.1. Огоньку добавляет и то, что в нём обнаружили компоненты из “Операции Триангуляция”. В общем, у нас кейс с EternalBlue, но под мобилки.
Вы ждали этого, вы предупреждали об этом, и это случилось: судя по всему, у вендора на госконтракте произошла утечка, и эксплойты ушли в народ. Вскоре у утечки появились и новые интересные подробности: пошла информация, что он был разработан L3Harris. Тем самым господрядчиком, топ-менеджера которого недавно осудили за продажу эксплойтов. Чуете, куда ветер дует?
Двое сотрудников L3Harris на условиях анонимности подтвердили, что Coruna — её разработка и часть тулкита компании: это было внутреннее название одного из компонентов, и техдетали в отчёте им знакомы. Как Coruna попала с господряда “Пяти Глаз” к APT, а затем к китайским киберпреступникам? Хватило одной сделки в стране любителей удачных сделок.
Журналисты спекулировали, что это те самые эксплойты, которые Питер Уильямс продал на сторону — прямых доказательств изначально не было, но по времени и некоторым деталям совпадало. И всё это параллельно увязывалось с “Операцией Триангуляция”, на участие L3Harris в которой раньше жирно намекали. В общем, у нас лучший кроссовер 2026-го, круче в этом году уже не будет.
И наконец, у “Лаборатории Касперского” вышел отчёт по Coruna. Судя по его содержимому, в нём обновлённая версия той же цепочки, которую использовали в пресловутой “Операции Триангуляция”. Так что вопрос с разработчиком и происхождением утечки закрыт.
Когда Coruna только всплыл, у Касперского заявили, что с операцией кит может быть не связан — одни и те же уязвимости не подтверждают общего разработчика. Но в Google всё же были правы: те же уязвимости, один и тот же разраб, L3Harris. Эксплойты ядра собраны на одном фреймворке, у них общий код, и в Coruna четыре новых эксплойта, добавленные уже после Триангуляции.
Так что по итогам загадочный инструмент из 2023-го на острие государственного шпионажа в 2026-м одной удачной сделкой топ-менеджера с гибкими моральными принципами превратился в игрушку для киберпреступников.
Если эксплойт-кит Coruna настолько хорош, то где Coruna-2? Конечно же, в руках апэтэшечек: исследователи обнаружили второй кит под iOS за месяц, DarkSword. Он снабжён цепочкой эксплойта для взлома айфонов версий с 18.4 по 18.7, в коде следы порта с предыдущих вариантов, заточенных под ранние версии ОС.
В цепочке шесть уязвимостей, из них три эксплойтили как нулевые дни. Этот инструмент заточен под быстрое стягивание данных: стягивает их за секунды и чистит следы эксплуатации. Вектор атаки тот же, что и у Coruna, засветился DarkSword у тех же APT и разных вендоров.
Как же он к ним попал и кто его разработал? Загадка. Исследователи чешут головы и прозревают, обнаружив вторичный рынок эксплойтов с пайплайном госуха — серые вендоры — APT и киберпреступность. Предположительно, DarkSword изначально был продан самим же разрабом, а дальше пошёл по рукам. Ну а тем, кто давно предупреждал, что это неизбежно, остаётся только довольно хмыкнуть.
Утечка исходников Claude Code
В конце марта у Claude Code утёкли исходники. Причём утечка максимально неловкая: вместе со свежей версией пакета на npm запаковали sourcemap. А в нём 500к строк кода на TypeScript — вся внутренняя кухня приложения.
Саму модельку утечка не затронула, но слив исходников одного из своих ключевых продуктов Anthropic явно не планировала. Конкуренты ликуют, неожиданный децентрализованный бэкап форкают по всему GitHub и сторонним платформам.
Особо любознательные вовсю ковыряются в коде и находят интересные фичи в духе самовосстанавливающейся памяти для обхода ограничений контекстного окна, постоянной активности агентов в фоновом режиме, и контрибуции в опенсорс с промптом “Скрывай, что ты, ИИ-модель”, чтобы не раскрыть лишнего в коммитах. Иронично, не правда ли? Anthropic уже заявила, что это их ошибка, а не взлом, но кому в компании от этого легче? Уж лучше бы взломали.
Утечка исходников Claude Code не могла обойтись без доставки малвари по горячим следам. На GItHub закинули вредонос под видом исходного кода, вместо Клода в комплекте Vidar и GhostSocks.
К распространению подошли творчески: в readme упомянута утечка исходников через .map, но есть нюанс: анонимные благодетели собрали их в рабочий форк с разблокированными энтерпрайз-фичами и без ограничений по лимиту сообщений. Каким образом это всё должно работать? Попадающиеся на такую замануху не задают лишних вопросов.
Не было их и к архиву с ClaudeCode_x64.exe внутри: 793 форка и 564 звезды у одного из репозиториев. Помогло и то, что они были в топе выдачи по запросу “leaked Claude Code” — добрый друг Google в этом деле никогда не подведёт. Не раздавал ссылки на репы с малварью через своего ИИ-болванчика — уже добро. Прецеденты-то имеются.
Компрометация Axios на npm
31 марта скомпрометировали Axios. Версии 1.14.1 и 0.30.4 ночью обзавелись вредоносной зависимостью, подтягивающей мультиплатформенный RAT под macOS, Windows и Linux.
Axios — одна из ключевых библиотек на npm, она практически в любом приложении/решении на JavaScript. Злоумышленник скомпрометировал аккаунт основного мейнтейнера, судя по всему, стянув токен доступа. Причём скомпрометировали банально ClickFix-атакой на звонке в Teams. За счёт акка удалось обойти CI/CD пайплайн GutHub Actions и опубликовать троянизированные версии.
Атака была неплохо спланирована, но компрометацию оперативно засекли — малварь снесли с npm через несколько часов. Однако первые заражения пошли уже через минуту, и интернет ожидаемо стоял на ушах.
100 миллионов загрузок в неделю — это не шутки, и постэксплуатация предполагалась солидная. Из плюсов, могло быть гораздо хуже. Из минусов, ещё обязательно будет. И токены опять порежут. Пост-инцидентный отчёт от Axios здесь.
Cisco теряет исходники из ~300 репозиториев
У Cisco в марте стянули исходники. Злоумышленники клонировали больше 300 репозиториев с исходным кодом, включая невыпущенные продукты и ИИ-разработки. Всё это результат недавней атаки на цепочку поставок через Trivy.
У Trivy за пару недель до этого скомпрометировали сканер уязвимостей (об этом подробнее читайте в нашей подборке самых интересных CVE месяца). Через гитхабовский пайплайн стянули CI/CD креды использующих его компаний, включая Cisco — ушли креды от среды разработки, были скомпрометированы устройства разработчиков и в лаборатории, несколько аккаунтов на AWS.
Часть стянутых репозиториев, судя по всему, принадлежат клиентам, включая банки и американскую госуху; при этом в сетях Cisco орудовали сразу несколько злоумышленников — объяснять придётся многое. Здесь Cisco ещё повезёт, если не придётся объясняться за произошедшее с Конгрессом.
В итоге не очень успешная компрометация Axios проигрывает Trivy по последствиям, но ещё прошло не так много времени, так что можно не загадывать: атаки на цепочку поставок рискуют стать самой горячей темой сезона весна 2026.
Взлом почты директора ФБР
В марте иранские хакеры взломали почту директора ФБР. “Так называемые “непробиваемые” системы ФБР скомпрометированы” — борцы с американским империализмом торжествуют, гражданин? Ну, не совсем.
Как обычно, всё оказалось немного скромнее: вскрыли старую личную почту Каша Пателя на Gmail. Никаких хитроумных взломов, нет даже фишинга: похоже, у товарища директора почта была в утечках, с повторно используемым паролем и без 2FA. В сливе переписка до того, как он занял должность, и фото, на которых корчит рожи. А брифинг “Основы инфобеза для самых маленьких директоров ФБР” состоялся уже позже. Таких унижений Патель иранцам, конечно, простить не мог: уже через пять часов за головы Handala выставили стандартную награду в $10 миллионов. Так уж совпало.
Между тем вопрос для иранских хакеров не праздный: американцы с коллегами их бомбят, прецеденты имеются. Так что ставки высокие — за шутеечки над ФБР может и ракета в окошко от наносящих демократию прилететь.
Закон о верификации возраста в Бразилии
В Бразилии вступил в силу закон об обязательной верификации возраста пользователей. Платформы внедряют инструменты проверки возраста, некоторые сопротивляются, у пользователей всплеск интереса к трёхбуквенным сервисам. Классика.
Огоньку добавило то, что сумрачный законодательный гений потребовал внедрить проверку и разработчиков ОС. После этого в сообществе линуксоидов начался сущий кошмар — кто застал горячие обсуждения в рассылке, тот знает. Часть дистрибутивов блокирует доступ из Бразилии по IP, как форк ArchLinux32, MidnightBSD внесла в лицензию запрет юзерам из Бразилии и злачных мест США пользоваться дистром — в части штатов приняли аналогичный закон.
Бразилия грозит безумными штрафами и блокировками, так что вопрос непраздный, особенно для опенсорса. Но это закон от тех же грамотеев, что угрожали своим гражданам штрафом в ~9к долларов в день за доступ к заблокированному X, так что удивляться нечему. Держат планочку, так сказать.
В течение марта многие разработчики высказались против закона. Например, GrapheneOS выступила с заявлением, что никакой верификации возраста и прочего сбора персональной информации у них не будет. ОС будет доступна всем и каждому, а если телефоны с ней где-то запретят — это проблемы регуляторов.
Верификацию тем временем продавливают повсеместно под предлогом заботы о нашем всём: как известно, ребёнок с арчем на пека — горе в семье, так что нужно подумать о детях. И засунуть в оси API, который будет сливать возраст юзера магазинам приложений и разрабам. То, что это кошмар для приватности, законодателей не волнует, но оно и для других целей написано. Зато разом становится понятно, кто тварь дрожащая, а кто быть установленным право имеет. И то добро.
Запрет на импорт иностранных роутеров в США
Под конец марта по сети разлетелись заголовки про запрещённый в США импорт иностранных роутеров. На деле всё, конечно, скучнее: вендоры будут получать разрешение на импорт от федеральной комиссии по связи. Так что вместо роутерной автаркии обычная бюрократия.
Для получения разрешения производители должны раскрыть корпоративную структуру и владельцев, включая влияние и финансирование от правительств, цепочку производства компонентов и прошивки и планы по её переносу в США. Вендоры уже готовятся проходить дальше, показав бумаги, недобитые китайцы прощаются с рыночком, продавцы затягивают пояса.
По итогам это максимум давление на цепочку поставок и принуждение к прозрачности. Краткосрочно ничего не изменится, в долгосрочной перспективе подорожают роутеры. Поможет ли это с ИБ? Разве что самую малость — проблема штатовских сетей явно не в троянизированных китайских девайсах. Зато комиссия может нарисовать красивые отчёты. Затем и принимали, собственно.
В Штатах сразу же пошла критика закона о запрете импорта. Чересчур умная профессура заявляет, что это промышленная политика под видом кибербезопасности и бан только ухудшит ситуацию, расширив поверхность атаки.
Среди аргументов очевидные вещи: роутеры взламывают не через теоретические бэкдоры, а вполне реальные непатченные уязвимости, кривую настройку и дефолтные креды. У американского роутера всё ещё будет ОС от линуксоидов, прошивка из Тайваня и опенсорс со всего мира; старые роутеры никуда не денутся, а на новые подскочит ценник, и вообще это всё продукт лоббизма Netgear и сопричастных, которые годами продавливали запрет для захвата рыночка.
В результате, согласно выводам, запрет только снизит готовность юзера и бизнеса покупать новые роутеры и подтолкнет к тому, чтобы сидеть с легаси-устройствами, которые и являются основной целью атак. В общем, раздался голос со стороны рассудка. Китайский иностранный агент, не иначе.
