Сегодня в ТОП-5 — RAT для Windows распространяется под видом популярных библиотек в npm, уязвимость нулевого дня в Cisco Catalyst SD-WAN используется для получения root-доступа, угроза в Microsoft Edge. Вредоносное расширение Edgecution обходит песочницу браузера, уязвимость DirtyClone позволяет локальным пользователям получить права root, популярный блокировщик рекламы может выполнять произвольный JavaScript-код.
RAT для Windows распространяется под видом популярных библиотек в npm
Исследователи из JFrog Security Researcher обнаружили набор вредоносных пакетов npm, которые распространяли троян удаленного доступа (RAT) для Windows. Злоумышленник под ником abdrizak опубликовал три пакета: aes-decode-runner-pro, postcss-minify-selector и postcss-minify-selector-parser. Пакеты содержат встроенный JavaScript-дроппер, который записывает скрипт PowerShell на диск и выполняет его. Этот скрипт выступает в роли загрузчика: он использует curl.exe для скачивания ZIP-архива с вредоносным содержимым с домена nvidiadriver[.]net. Из архива извлекается и запускается файл скрипта Visual Basic, который отвечает за настройку среды Python на скомпрометированном хосте и запуск основного вредоносного скрипта. RAT обладает инструментами сбора информации о хосте, получения учетных данных из Google Chrome, сбора данных из расширений Chrome, выполнения команд оболочки и загрузки / выгрузки файлов на сервер управления и контроля. Пользователям, установившим какой-либо из данных пакетов, рекомендуется немедленно удалить их и все созданные ими артефакты и сменить учетные данные на затронутых компьютерах.
Уязвимость нулевого дня в Cisco Catalyst SD-WAN используется для получения root-доступа
Специалисты Mandiant выявили злоумышленника, нацеленного на инфраструктуру SD-WAN. В ходе атаки злоумышленник сначала получил первоначальный доступ через неавторизованные пиринговые соединения, после чего скомпрометировал административную учетную запись admin. Затем он использовал уязвимость нулевого дня CVE-2026-20245 (CVSS: 7.8) в интерфейсе командной строки Cisco Catalyst SD-WAN для повышения привилегий до уровня root. Уязвимость связана с тем, что функция загрузки файлов устройства не способна должным образом фильтровать вредоносные данные. В ходе вторжения, чтобы избежать обнаружения, злоумышленник постоянно выборочно удалял и восстанавливал файлы конфигурации системы, измененные в ходе его действий. Организациям необходимо обновить Cisco Catalyst SD-WAN Manager до исправленных версий ПО (20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, 26.1.1.2 или новее), чтобы устранить уязвимость CVE-2026-20245.
Угроза в Microsoft Edge. Вредоносное расширение Edgecution обходит песочницу браузера
Zscaler ThreatLabz опубликовала анализ операции программ-вымогателей, которые соответствуют тактике, ранее использовавшейся программой-вымогателем Payouts King. Злоумышленник использует методы социальной инженерии в сочетании с инновационным механизмом доставки вредоносного ПО. Эта техника использует вредоносное расширение для браузера Microsoft Edge, которое оперирует протоколом native messaging для взаимодействия с приложениями на хосте за пределами песочницы браузера. Злоупотребляя этим интерфейсом, злоумышленники получают прямой доступ к хосту, что позволяет им манипулировать локальной файловой системой, запускать процессы и выполнять произвольный код на скомпрометированном хосте. Исследователи Zscaler назвали этот веб-браузерный вредонос Edgecution. Пользователям рекомендуется удалить расширение из своих браузеров.
Уязвимость DirtyClone позволяет локальным пользователям получить права root
Исследовательская группа JFrog Security Research опубликовала отчет о DirtyClone — новой уязвимости повышения привилегий в ядре Linux из семейства DirtyFrag. Уязвимость, отслеживаемая как CVE-2026-43503 (CVSS 8.8), позволяет локальному пользователю повредить память, связанную с файлом, с помощью клонированного сетевого пакета и получить права root. Когда ядро копирует сетевой пакет внутри себя, две вспомогательные функции сбрасывают флаг безопасности, который помечает память пакета как общую с файлом на диске. Именно этот отсутствующий флаг и является основной уязвимостью. Рекомендуется установить обновление ядра до версии v7.1-rc5 или новее.
Популярный блокировщик рекламы может выполнять произвольный JavaScript-код
Специалисты из Island выявили в популярном расширении Google Chrome Adblock for YouTube (более 11 миллионов установок) возможность выполнения произвольного JavaScript-кода на любом сайте. Это активируется одним изменением на сервере (api.adblock-for-youtube.com) без обновления расширения, проверки в магазине или видимых признаков изменений. Расширение запрашивает доступ ко всем сайтам (<all_urls>), хотя блокирует рекламу только на YouTube. Встроенная проверка URL легко обходится, а механизм scriptlets позволяет удаленно внедрять код на любую страницу. Это может привести к краже данных из личных кабинетов, рабочих приложений и других конфиденциальных сессий. Исследователи также отмечают, что расширение сменило владельца в 2018 году, а связанные с ним расширения (Adblock for Chrome, Adblock for You) были удалены из Chrome Web Store из-за наличия вредоносного П
