Сегодня в ТОП-5 — Shai Hulud проводит вторую атаку на цепочку поставок, ClickFix использует поддельный экран Центра обновления Windows для распространения ВПО, Microsoft защитит входы Entra ID от атак с внедрением скриптов, OpenAI сообщает об утечке данных клиентов через Mixpanel, гостевой доступ MS Teams может отключить защиту Microsoft Defender.
Shai Hulud проводит вторую атаку на цепочку поставок
Исследователи Aikido Security сообщили о второй атаке Shai Hulud на цепочку поставок, в результате которой Zapier, ENS, AsyncAPI, PostHog, Postman были скомпрометированы. Shai-Hulud — это npm-червь, созданный для быстрого распространения через скомпрометированные среды разработки. После заражения системы он ищет раскрытые секретные данные, такие как ключи API и токены, и публикует все, что находит, в публичном репозитории GitHub. В новой версии атаки происходит заражение большего количества пакетов, а публикация украденных данных производится на GitHub со случайным именем и описанием репозитория. Для защиты рекомендуется использовать инструменты для блокировки вредоносных пакетов в NPM, отключить скрипты npm postinstall в CI, проверить GitHub на наличие странных репозиториев с описанием «Sha1-Hulud: Второе пришествие».
ClickFix использует поддельный экран Центра обновления Windows для распространения ВПО
Новый вариант атаки ClickFix имитирует Центр обновления Windows, отображая реалистичную заставку «Работа над обновлениями». Пользователю предлагается следовать шаблону ClickFix: открыть окно «Выполнить», затем вставить и выполнить вредоносную команду. В ходе анализа стало известно об использовании стеганографии для сокрытия заключительных этапов вредоносного кода в изображении: код внедряется непосредственно в пиксельные данные PNG-изображений, используя определенные цветовые каналы для реконструкции и расшифровки. Лучшим способом снижения риска является отключение окна «Выполнить». Пользователям следует знать методологии ClickFix и то, что легитимные процессы Центра обновления Windows никогда не требуют вставки и запуска команд.
Microsoft защитит входы Entra ID от атак с внедрением скриптов
Microsoft вносит важное обновление в политику безопасности контента (CSP), которое повышает безопасность входа Microsoft Entra ID. Целью обновления является усиление защиты путем разрешения запуска скриптов из доверенных доменов Microsoft во время аутентификации. Такая мера исключает выполнение несанкционированного или внедренного кода на этапе входа в систему и позволяет предотвратить эксплуатацию таких угроз безопасности, как межсайтовый скриптинг (XSS). Компания рекомендует не использовать расширения браузера или инструменты, внедряющие код или скрипт в процедуру входа в Microsoft Entra, после обновления эти инструменты перестанут функционировать. Microsoft Entra ID будет применять CSP по всему миру с середины–конца октября 2026 года.
OpenAI сообщает об утечке данных клиентов через Mixpanel
Представители OpenAI проинформировали об утечке данных аналитического подрядчика Mixpanel. Инцидент затронул ограниченные аналитические данные, относящиеся к некоторым пользователям API, в частности, адреса электронной почты и метаданные API OpenAI. Например, идентификаторы пользователей, электронная почта, операционная система и браузер, приблизительное местоположение. Чаты, запросы API, данные об использовании API, пароли, учётные данные, ключи API, платежные данные или правительственные идентификаторы не были скомпрометированы или раскрыты. Пользователи ChatGPT и других продуктов не пострадали. OpenAI призывает проявлять бдительность в отношении фишинговых атак или спама, которые могут показаться правдоподобными.
Гостевой доступ MS Teams может отключить защиту Microsoft Defender
Новая функция Teams, позволяющая начать чат с любым пользователем, доступна по недорогим лицензиям SMB, что упрощает создание вредоносных клиентов для злоумышленников. Уязвимость отражает не недостаток самого Teams, а архитектурную реальность взаимодействия между пользователями из разных тенантов (рабочая область Office 365). Когда пользователи работают в качестве гостей в другом тенанте, их защита полностью определяется этой средой хостинга, а не их основной организацией. Критическая уязвимость безопасности в гостевом взаимодействии Microsoft B2B позволяет злоумышленникам обходить все средства защиты Defender для Office 365, приглашая пользователей во вредоносные тенанты. Рекомендуется ��астроить параметры совместной работы B2B так, чтобы разрешать гостевые приглашения только с доверенных доменов, а также проинформировать пользователей о рисках, связанных с приглашениями извне.
