Сегодня в ТОП-5 — кража учетных данных через KeePass, патч GitLab, майнер Dero, предупреждение Cisco о критической уязвимости в сервисе аутентификации и зловредные Chrome-расширения с двойным функционалом.
Кража учетных данных через менеджера паролей KeePass
Исследователи WithSecure в своем отчете описали новую кампанию APT-группировки UNC4696, нацеленную на пользователей популярного менеджера паролей. Злоумышленники более восьми месяцев распространяли модифицированную версию KeePass через рекламу в Bing, которая вела на поддельные сайты вроде keeppaswrd[.]com. Вредоносная сборка, KeeLoader, сохраняла функционал KeePass, но скрытно передавала базы паролей злоумышленникам и развертывала программы-вымогатели с помощью инструмента Cobalt Strike. Рекомендуется скачивать парольные менеджеры только с официальных сайтов и остерегаться рекламных ссылок.
GitLab выпустил патч, который исправляет 10 уязвимостей
Специалисты компании GitLab представили экстренный патч 18.0.1, закрывающий серьезную уязвимость в системе. Обнаруженная брешь могла позволить злоумышленникам получать доступ к защищенной информации без необходимости входа в систему. Уязвимость признана критической из-за простоты ее эксплуатации и потенциального масштаба последствий.
Список основных закрытых уязвимостей:
· CVE-2025-0993 (CVSS: 7.5) — незащищенная конечная точка GitLab позволяет выполнение Denial-of-service-атаки;
· CVE-2024-12093 (CVSS: 6.8) — неправильная проверка xPath позволяет модифицировать ответ SAML для обхода двухфакторной аутентификации;
· CVE-2024-7803 (CVSS 6.5) — интеграция webhook Discord может вызвать Denial-of-service-атаку;
· CVE-2025-3111 (CVSS: 6.5) — позволяет создать неограниченное количество токенов кластеров Kubernetes, которые могут привести к Denial-of-service-атаке;
· CVE-2025-0605 (CVSS: 4.6) — обход требований двухфакторной аутентификации.
Команда GitLab настоятельно рекомендует немедленно установить обновление.
Майнер Dero массово заражает контейнеры через открытые API Docker
Эксперты Kaspersky обнаружили новую вредоносную кампанию, нацеленную на уязвимые Docker-контейнеры через открытые API. Атака позволяет злоумышленникам развертывать скрытый майнер криптовалюты Dero, который искусно маскирует свою деятельность, чтобы избежать обнаружения. Особую опасность представляет способность майнера обходить мониторинг ресурсов, что приводит к значительным финансовым потерям из-за повышенного потребления вычислительных мощностей. Для защиты специалисты рекомендуют закрывать открытые Docker API, использовать строгую аутентификацию и регулярно проверять контейнеры на подозрительную активность.
Cisco предупреждает о критической уязвимости в сервисе аутентификации
Компания Cisco выпустила предупреждение о выявлении серьезной уязвимости в своем решении Identity Services Engine (ISE), используемом для централизованного управления доступом к корпоративным сетям. Обнаруженная брешь, получившая идентификатор CVE-2025-20152 (CVSS: 8.6), затрагивает механизм RADIUS-аутентификации и позволяет злоумышленникам полностью обходить процедуры проверки подлинности пользователей. Злоумышленник может сформировать специальный запрос на аутентификацию, который заставляет систему ISE предоставлять доступ без должной проверки учетных данных. Рекомендуется обновить ПО до безопасной версии 3.4.1.
Зловредные Chrome-расширения с двойным функционалом
Исследователи DomainTools Investigations обнаружили Chrome-расширения, которые маскируются под легитимные инструменты, но содержат вредоносный код. Они крадут данные, перенаправляют трафик и даже внедряют скрытые майнеры. Особенность этих расширений — двойная функциональность: они работают как заявлено (например, блокируют рекламу), но параллельно выполняют скрытые вредоносные действия. Это усложняет их обнаружение как пользователями, так и системами защиты. Эксперты рекомендуют устанавливать расширения только из официального магазина Chrome Web Store и проверять отзывы, разрешения и историю обновлений. Даже доверенные приложения могут быть скомпрометированы, поэтому важно регулярно аудитировать установленные плагины.
