3 декабря разработчики JavaScript-библиотеки для создания веб-приложений React сообщили об обнаружении критической уязвимости в компоненте React Server Components. Уязвимость с наивысшим, десятибалльным рейтингом опасности по шкале CVSS v3 получила идентификатор CVE-2025-55182. Еще один идентификатор CVE-2025-66478 является дублирующим — он относится к интеграции React Server Components во фреймворке Next.js. Уязвимые веб-приложения в худшем случае позволяют злоумышленнику без какой-либо аутентификации получить контроль над сервером, отправив специально подготовленный запрос. Отсюда название уязвимости, точнее два варианта — React4Shell и React2Shell.

Быстрое развитие ситуации вокруг уязвимости можно оценить как «идеальный шторм», максимально сложную ситуацию для администраторов уязвимых систем, происходящую все же достаточно редко. Уже в день публикации бюллетеня React началась эксплуатация уязвимости, предположительно, организованными группировками из Китая. На следующий день, 4 декабря, примеры кода для эксплуатации уязвимости были доступны публично. Потенциально уязвимы сотни тысяч сайтов и веб-приложений, использующих либо React, либо Next.js, хотя реально подвержены атаке не все из них.

Привет, Хабр. Меня зовут Мария Рылик, я — старший контент-менеджер группы управления пользовательским опытом веб-поддержки «Лаборатории Касперского». И полтора года назад я столкнулась с распространенной в техписовских кругах проблемой: децентрализованной базой знаний. Чтобы найти инфу по работе с конкретным продуктом, приходилось по крупицам искать ее в разных статьях, в большинстве своем имеющих мало общего с конкретной задачей, которую я пыталась решить.

Из-за этого в поддержку приходилось обращаться даже в несложных ситуациях. В результате поддержка, вместо того чтобы использовать свое время для решения действительно сложных, специфичных проблем, была постоянно перегружена однотипными и достаточно распространенными вопросами, ответы на которые можно было бы поместить в отдельную статью. И все из-за отсутствия систематизированного подхода.

В этой статье я расскажу, как мы с командой провели генеральную уборку баз знаний, наступили в процессе на всевозможные швабры грабли, но в итоге помогли и юзерам продуктов, и нашему саппорту: базами знаний стали активно пользоваться, снизилось количество итераций общения по проблеме от первого запроса саппорту до окончательного решения.

Использование языковых моделей во вредоносной деятельности является достаточно свежим феноменом, который, впрочем, активно изучается. Так, в этой публикации «Лаборатории Касперского» приведены реальные примеры использования широкодоступных чатботов для генерации фишинговых сообщений и другого контента на вредоносных страницах. Достаточно раннее исследование прошлого года выявляет факты использования ИИ по простым маркерам: когда забывают удалить характерные для чатботов словесные обороты. Со своей стороны, за вредоносной активностью наблюдают разработчики соответствующих сервисов — есть отчеты от Google по ассистенту Gemini, а также от OpenAI. Работа вендоров, соответственно, ограничивает возможности киберпреступников по использованию публичных сервисов, и решением этой «проблемы» часто становится разработка собственных LLM, не имеющих никаких ограничений.

Эта сторона использования LLM во вредоносной деятельности раскрывается в свежей публикации компании Palo Alto Networks. В ней описаны две кастомные модели WormGPT и KawaiiGPT, разработанные специально для использования в криминальных целях. Доступ к LLM продается на киберкриминальных форумах и рекламируется как помощник для генерации фишинговых сообщений, создания вредоносного ПО и автоматизации типовых операций, таких как сбор информации о зараженной системе. Из двух изученных языковых моделей WormGPT — старшая, о ней впервые стало известно в июле 2023 года. Предположительно, она была основана на опенсорсной модели GPT-J 6B.

Здравствуйте, меня зовут Анна Мелехова. Я старший архитектор в отделе развития архитектуры KasperskyOS. В статье я хочу поделиться практическим опытом системной разработки, которой я занималась сначала в проекте по виртуализации, а теперь в «Лаборатории Касперского», где мы делаем микроядерную операционную систему с повышенными требованиями к безопасности – KasperskyOS. Когда вы работаете в такой среде, быстро понимаете: харденинг – это не красивые галочки в чек-листе, а набор очень конкретных, очень практических решений, которые должны и защищать, и минимально снижать производительность. О них я и расскажу, а в конце дам личный топ самых полезных харденингов, которые бустят security и не снижают performance.

Специалисты «Лаборатории Касперского» опубликовали на прошлой неделе свежую статью, в которой подробно описывается работа ботнета Tsundere. Имплант данного ботнета использует для коммуникации протокол WebSocket, а для первоначального соединения с командным сервером задействует необычный механизм с применением смарт-контрактов в криптовалютной сети Ethereum.

Исследователям не удалось достоверно определить первоначальный вектор заражения данным вредоносным кодом. В одном задокументированном случае имплант был установлен с помощью файла pdf.msi, который, в свою очередь, был загружен со скомпрометированного веб-сайта. По имеющимся названиям других образцов можно также предположить, что организаторы атаки используют в качестве приманки популярные игры для Windows, в частности Valorant, Counter-Strike 2 и Tom Clancy’s Rainbow Six Siege X. Распространяется имплант как в виде инсталлятора MSI, так и в формате скрипта PowerShell.

Бывало, открываешь код-ревью — и чувствуешь себя археологом. Каждый кусок кода — как артефакт из разных времен: тут блестит бронзовая монетка, там торчит бивень мамонта, а чуть дальше — отпечатки времен .NET 4, пережившие три рефакторинга. Все это чудом взаимодействует, но порой страшно тронуть — вдруг вся конструкция рассыплется.

Эта история знакома многим командам. Мы привыкли думать, что хороший фреймворк — это гибкий фреймворк. Что чем больше у него возможностей, тем лучше. И действительно: гибкость помогает выйти на рынок, быстрее выпустить первую версию, подстроиться под новые требования. Но в какой-то момент эта гибкость начинает мешать.

Мы в команде разработки пользовательского интерфейса поняли это, когда наш общий код перестал быть общим: его было слишком много, он жил своей жизнью, и никто уже не знал, что в нем есть и как оно работает. С этого начался Kaspirin — наш внутренний фреймворк, который мы создали не для расширения возможностей, а чтобы навести порядок и убрать лишнюю вариативность. Название придумалось само собой: смесь Kaspersky и aspirin — лекарство от головной боли, вызванной избыточной гибкостью.

На прошлой неделе появилась информация о необычном варианте так называемой атаки ClickFix, в которой потенциальную жертву обманным путем заставляют выполнить на компьютере скрипт, загружающий и устанавливающий вредоносное ПО. Атаки маскируются под привычные для пользователей особенности сетевой жизни, чаще всего — под капчу, но «доказательство, что вы не робот» приводит к компрометации системы. Несмотря на потенциал таких атак по обходу базовых средств защиты, злоумышленники ищут способы максимально скрытной загрузки вредоносного ПО. Как оказалось, в качестве нестандартного способа связи с командным сервером может служить древнейший сетевой протокол Finger.

Спецификации протокола Finger были подготовлены в доисторическом, по меркам Интернета, 1977 году. Одноименная утилита позволяет запросить данные о конкретном пользователе на удаленном сервере. По сути, это была первая реализация передачи данных о статусе пользователя. Аналогично сейчас в любом мессенджере можно посмотреть, находится ли пользователь онлайн. Естественно, в настоящее время протокол почти не используется, но поддерживается как в Windows, так и в macOS, а также в системах на базе Linux. Вредоносный батник-скрипт, использующий Finger, был обнаружен в сервисе VirusTotal, и работает он следующим образом.

На прошлой неделе команда исследователей Unit 42 из компании Palo Alto Networks опубликовала отчет о таргетированной кибершпионской кампании LANDFALL, которая эксплуатировала уязвимость нулевого дня в смартфонах Samsung. Датировка известных сэмплов вредоносного кода позволяет предположить, что уязвимость эксплуатировалась как минимум с июля 2024 года и вплоть до апреля 2025 года, когда Samsung выпустила патч для уязвимости, получившей идентификатор CVE-2025-21042 с рейтингом опасности 8,8 балла из 10.

Уязвимость была обнаружена в библиотеке для обработки изображений libimagecodec.quram.so. Средством доставки вредоносной программы служили сообщения в мессенджере WhatsApp, к которым был прикреплен файл с разрешением JPEG. На самом деле это было изображение в формате DNG (Digital Negative) — универсальном формате для хранения изображений без компрессии. В этот файл был интегрирован архив в формате ZIP, содержащий два вредоносных модуля, — один содержал код бэкдора, другой манипулировал параметрами системы безопасности SELinux, позволяя шпионской программе закрепиться в системе и обеспечивая повышенные привилегии. Ошибка в модуле обработки изображений позволяла выполнить содержащийся в приложенном файле код.

На прошлой неделе в Таиланде прошла ежегодная конференция Security Analyst Summit, организуемая «Лабораторией Касперского». Один из главных докладов конференции был посвящен операции «Форумный тролль» — кибершпионской кампании, нацеленной на организации в России. Обнаружение данной угрозы помогло экспертам «Лаборатории Касперского» еще в марте этого года выявить уязвимость нулевого дня в браузере Google Chrome, о которой было сообщено еще весной. Дальнейшее исследование атаки помогло связать ее с деятельностью компании Memento Labs, ранее известной как Hacking Team.

Атака начиналась с рассылки правдоподобных сообщений с приглашением на мероприятие. Открытие ссылки в этом письме в итоге приводило жертв на подлинный веб-сайт, но в процессе они также направлялись на вредоносную страницу, откуда загружался вредоносный скрипт. Этот код задействовал уязвимость в браузере Chrome, которая позволяла полностью обойти «песочницу» — технологию ограничения доступа к системным ресурсам. Как выяснилось, причиной возникновения уязвимости стала особенность работы Windows.

Меня зовут Светлана Палицына, я старший разработчик в мобильной команде «Лаборатории Касперского». Мы занимаемся разработкой EMM-решения для управления корпоративными телефонами и защиты хранящейся на них корпоративной информации. Защита мобильного начинается с экрана блокировки, и в этой статье расскажу про разные способы оформления этого экрана на Android, предоставляемые классом DevicePolicyManager.

Экран блокировки — своего рода визитная карточка всего мобильного интерфейса. Каждый виджет и UI-элемент тут требует особого внимания, чтобы не перегружать пользователя информацией и обеспечивать защиту корпоративных данных (например, скрывать показ содержимого уведомлений от посторонних, которым аппарат случайно может попасться на глаза). Но главное — важно, чтобы разблокировать его можно было исключительно одобренным корпоративными политиками методом. Многие компании, к примеру, запрещают биометрические методы разблокировки как не самые безопасные. В идеале для бизнеса (и самого пользователя) такой экран должен быть лаконичным, понятным и безопасным. И лучший способ достичь этого идеала — подробная кастомизация!

Исследователь Сэм Карри вместе с коллегами хорошо известен благодаря своим исследованиям безопасности корпоративной инфраструктуры. Зачастую он находит довольно простые ошибки, которые тем не менее представляют интерес, — скорее как пример максимально безалаберного подхода к безопасности. В сферу его исследований часто попадают компании из автоиндустрии (пример 1, пример 2). Детали еще одного исследования по этой теме были обнародованы на прошлой неделе: вместе с коллегами Иэном Кэрроллом и Галем Нагли Карри нашел грандиозную дыру в веб-портале Международной автомобильной федерации (FIA).

FIA участвует в организации не только «Формулы-1», но и множества других автоспортивных мероприятий. Для работы с участниками соревнований предусмотрен специальный веб-портал. Ввиду большого количества различных спортивных состязаний зарегистрироваться на нем может любой желающий. После создания учетной записи следует довольно сложный процесс регистрации, в ходе которого требуется предоставить множество данных о себе и загрузить подтверждающие документы. После создания учетной записи исследователи начали анализировать процесс обмена информацией с сервером. Они обратили внимание, что в ответ на обновление данных о собственной учетке сервер дает чуть больше информации, чем было предоставлено пользователем.

В сентябре этого года было зафиксировано сразу два инцидента, когда в репозитории пакетов npm загружалось вредоносное программное обеспечение. Имел место как единичный случай загрузки вредоносного пакета, так и масштабная атака Shai-Hulud, в ходе которой у злоумышленников получилось заразить сразу несколько популярных программ. Данные инциденты можно классифицировать как атаку на цепочку поставок: включение вредоносных пакетов в другое ПО может в итоге привести к гораздо более серьезным последствиям, чем компрометация рабочей станции единственного разработчика. На прошлой неделе специалисты «Лаборатории Касперского» отчитались об обнаружении еще одного вредоносного npm-пакета и опубликовали подробное описание его работы.

Вредоносный пакет был обнаружен в октябре, и имел достаточно убедительное название https-proxy-utils. Легитимные пакеты с похожими именами скачиваются десятки миллионов раз в неделю. Легитимная функциональность полностью скопирована из пакета <code>proxy-from-env</code>, но помимо нее в код добавлен вредоносный скрипт, который загружает и запускает фреймворк для постэксплуатации AdaptixC2. AdaptixC2 — это набор инструментов, позволяющий «закрепиться» в системе после первоначального взлома. В подробном обзоре фреймворка от специалистов Palo Alto Networks показаны его возможности: от анализа запущенных программ и файловой системы до прекращения работы определенных процессов и запуска собственного кода.

Свежая исследовательская работа ученых из Калифорнийского университета показывает, как можно использовать оптический сенсор мыши для подслушивания разговоров в помещении. В компьютерных мышах для распознавания перемещения по поверхности используется оптический датчик. Чем выше частота, с которой датчик сканирует поверхность, а также его разрешение, тем больше вероятность, что он будет способен захватывать не только движения мыши, но и внешние вибрации, например, от речи находящегося рядом человека.

Сразу отметим, что подслушивание возможно только в случае использования мыши с наивысшей частотой сканирования — 4 или 8 тысяч раз в секунду. В эксперименте были задействованы модели Razer Viper 8Khz и Darmoshark M3-4K с частотой соответственно 8 и 4 килогерца. Таких устройств в продаже не так уж много, но и стоимость у них не запредельная. Аргумент исследователей заключается в том, что скорость опроса оптического сенсора постоянно растет, и со временем такие высокоточные датчики будут встраиваться и в массовые, дешевые модели.

Инструменты вроде OpenSearch, Elastic или Kibana давно стали стандартом для поиска и визуализации логов благодаря удобству и мощной поисковой системе. Однако, когда речь заходит о сложном анализе — агрегациях, парсинге, выявлении сложных закономерностей — их встроенные средства быстро достигают предела возможностей. Особенно сложно становится, если структура логов далека от идеала: например, как у нас — всё содержимое свалено в одно поле Message в формате JSON.

Меня зовут Игорь Щегловитов, я работаю экспертом по тестированию в QC облачной инфраструктуры и веб-порталов. Раньше наша команда решала такие задачи кастомными утилитами на C#, которые выгружали логи из ELK и анализировали их локально. Однако каждое новое требование превращалось в мини-проект: доработать код, написать новые парсеры, скрипты агрегации и фильтрации. Работа замедлялась, техдолг рос.

Я решил использовать связку AI-агентов с кастомными промптами, собственный сервисный слой (MCP) для доступа к логам и LLM-модель, чтобы превращать пользовательские запросы в автоматический алгоритм анализа. Так, кейсы вроде «Посчитай уникальных пользователей за сутки» или «Проанализируй ошибки за период» решаются без ручного кодинга.

Под катом мой кейс: расскажу, как это сделал, поделюсь ссылкой на гитхаб, так что, если хотите упростить себе анализ логов, — эта статья для вас.

На прошлой неделе были опубликованы сразу два исследования об атаках на механизмы Trusted Execution Environment в процессорах Intel и AMD. Произошла довольно необычная ситуация, когда две команды исследователей из США и Европы независимо друг от друга нашли более-менее одинаковую уязвимость в защитном механизме, используя очень похожий метод атаки. Механизм TEE предполагает создание защищенного «анклава» в оперативной памяти: отдельный аппаратный модуль шифрует и расшифровывает данные на лету, затрудняя доступ к ним, даже в том случае, если система скомпрометирована. Один из вариантов TEE, технология Intel Software Guard Extensions (SGX), использовалась в том числе в пользовательских ПК для воспроизведения видео с дисков Blu-ray Ultra HD. Но наиболее актуальны такие технологии в облачных системах, когда модель угроз предполагает отсутствие доверия даже к поставщику сервиса или железа.

Атака Wiretap.fail, предложенная учеными из двух американских университетов, ломает защиту Intel SGX. Ее особенности дают представление о сложности такой атаки. Она предполагает, что потенциальный атакующий имеет полный контроль над ПО и также вмешивается в работу железа для того, чтобы извлечь секреты из работающей на компьютере и защищенной с помощью Intel SGX программы — виртуальной машины или другого ПО. Общая схема атаки выглядит так: вынимаем один модуль памяти стандарта DDR4 и вставляем его в специальный переходник, который подключен к логическому анализатору и позволяет перехватывать данные. «Вредоносная программа» должна обеспечить запись зашифрованных с помощью TEE данных именно в этот модуль.

Всем привет! Меня зовут Константин. Моя карьера в сетевой разработке началась со времен Symbian OS, когда я участвовал в создании сетевого стека этой платформы. С 2010 года я работаю в «Лаборатории Касперского», разрабатывая мобильные и сетевые продукты, а последний год плотно погружен в проект NGFW. В мои задачи входит как проработка архитектурных решений, так и написание кода ключевых модулей. 

В этой статье я хочу рассказать об архитектуре сетевого экрана следующего поколения (NGFW), над которым работаю. В частности, расскажу:

- об архитектуре передающего слоя (data plane) нашего продукта, основанной на связке DPDK/VPP;
- о пути сетевого пакета в рамках data plane NGFW;
- о частых ошибках при разработке решений на базе VPP;
- о разработке и сценариях встраивания в высокоскоростной конвейер обработки пакетов VPP некоторых из наших движков безопасности;
- об истории создания наших собственных движков безопасности DPI и IDPS (хочу выразить благодарность за неоценимую помощь в подготовке материала для данного раздела коллегам из команды IDPS и лично Евгению Прусову);
- об интеграции data plane с протоколами динамической маршрутизации.

Материал будет полезен архитекторам и разработчикам, участвующим в создании высокопроизводительных и отказоустойчивых сетевых решений.

Привет, Хабр! Меня зовут Павел Литвиненко, и я уже шесть лет как продуктовый дизайнер. Третий год работаю в «Лаборатории Касперского» в отделе Design and Research Office и с момента присоединения к компании занимаюсь созданием интерфейсов для Kaspersky NGFW вместе со своими коллегами Чечуриным Антоном, Пениной Валерией и Кузнецовым Максимом. До этого разрабатывал B2B-платформу торговли с закупщиками для производителя транспортной и потребительской упаковки, а также строительной и химической продукции. 

С проектом Kaspersky NGFW я познакомился у самых его истоков, поэтому видел достаточно, скажем так, интересных интересностей. Пишу эту статью, чтобы поделиться, как начиналась разработка интерфейса нашего решения и через какие этапы мы проходили с теми, кто задействован в разработке продукта и с кем продуктовому дизайнеру нужно взаимодействовать, чтобы в итоге сформировать UX продукта.

Важным событием позапрошлой недели стало масштабное заражение npm-пакетов червем Shai-Hulud. Эта вредоносная программа нацелена на разработчиков открытого ПО. Она ставит под угрозу данные для доступа к облачным сервисам, выкладывает в общий доступ приватные репозитории. Данная вредоносная операция может быть квалифицирована как атака на цепочку поставок: взлом популярного npm-пакета приводит к компрометации множества других программных решений. На прошлой неделе специалисты «Лаборатории Касперского» подробно разобрали схему работы зловреда Shai-Hulud. Также с высокой вероятностью был определен «нулевой пациент» — первый зараженный пакет в репозитории npm.

Атака начинается с загрузки зараженного пакета из репозитория npm. После установки автоматически запускается вредоносный скрипт размером более 3 мегабайт с названием bundle.js. Он содержит набор легитимных модулей для работы с облачными сервисами Amazon и Google Cloud Platform, инструменты для взаимодействия с GitHub API, а также имеет функциональность для работы с TruffleHog, свободно распространяемой утилитой для поиска ссылок на конфиденциальные источники данных.

Я — Дмитрий, работаю продакт-менеджером в «Лаборатории Касперского». Это значит, делаю так, чтобы клиенты были довольны продуктом. Получается, мне нужно проанализировать рынок и конкурентов, составить стратегическое видение продукта, собрать запросы от заказчиков, понять их боли и сформировать бизнес-требования. Далее, соответственно, нарезать роадмап, подсветить и развить преимущества продукта, способного эти боли закрыть.

В статье поделюсь опытом, полученным в ходе работы над собственным некст-ген фаерволом «Лаборатории Касперского» — Kaspersky NGFW. Думаю, узнать о пути такого комплексного продукта от идеи до релиза может быть интересно как коллегам по ремеслу, так и ИТ-сообществу в целом. Особенно учитывая, что (как это часто происходит) конечный продукт существенно отличается от изначального концепта.

Исследователи из Швейцарской высшей технической школы в Цюрихе опубликовали научную работу, в которой продемонстрировали эффективную атаку типа Rowhammer на модули памяти стандарта DDR5. Атака Rowhammer впервые была предложена в 2014 году. Тогда исследователи воспользовались физическими свойствами микросхем DRAM: оказалось, что значение в определенной ячейке можно изменить путем многократного обращения к соседним рядам ячеек. На тот момент исследование было проведено для модулей памяти стандарта DDR3, но позднее выяснилось, что и для DDR4 атака также актуальна.

Так как атаки Rowhammer эксплуатируют фундаментальные принципы работы микросхем памяти, были разработаны специальные меры противодействия. Технология, известная как Target Row Refresh, принудительно обновляет содержимое ячеек, если замечает многократные обращения к соседним рядам, что значительно затрудняет проведение атаки. В результате модули памяти стандарта DDR5 считались защищенными от Rowhammer с момента поступления в продажу в 2020 году и вплоть до 2024 года, когда еще одно исследование ETH Zurich показало возможность принудительной смены значения в ячейках. Но реально успешной эта атака была против лишь одного модуля памяти из десяти исследованных. Новая атака Phoenix сработала для всех 15 протестированных модулей, а кроме того, исследователи показали несколько вариантов практических атак с использованием данной уязвимости.