Сегодня в ТОП-5 — вредоносные пакеты npm используют Adspect для кражи криптовалюты, новый дефект SonicWall SonicOS, новый ботнет на базе Node.js с управлением через блокчейн Ethereum, новый банковский троян Sturnus для Android, хакеры PlushDaemon.
Вредоносные пакеты npm используют Adspect для кражи криптовалюты/криптокошельков
Команда Socket Threat Research Team обнаружила семь вредоносных пакетов npm, опубликованных apt-группировкой dino_reborn. Особенностью пакетов стало использование клоагинг-сервиса Adspect, который изначально был предназначен для защиты от ботов, но злоумышленники использовали его для распознавания потенциальных жертв от исследователей ИБ. Потенциальной жертве показывалась CAPTCHA, которая имитировала интерфейсы известных криптобирж и после успешной проверки перенаправляла на криптомошеннические страницы, в то время как исследователи ИБ видели белый экран. Эксперты отмечают, что использование Adspect cloaking в пакетах npm представляет собой редкий случай сочетания маскировки трафика, противодействия исследованиям и распространения через открытые репозитории. Рекомендуется отслеживать пути /adspect-proxy.php, конфиги и email APT-группы, использовать Socket для анализа пакетов в реальном времени.
Новый дефект SonicWall SonicOS позволяет ломать межсетевые экраны
Уязвимость в службе SonicOS SSLVPN с идентификатором CVE-2025-40601 (CVSS: 7.5) приводит к переполнению буфера на основе стека, позволяя удаленному неавторизованному злоумышленнику вызвать отказ в обслуживании (DoS) и сбой межсетевого экрана. Уязвимость затрагивает аппаратные и виртуальные устройства Gen7 и Gen8, включая модели TZ, NSa, NSsp и NSv, поддерживающие платформы ESX, KVM, Hyper-V, AWS и Azure. На данный момент компания SonicWall PSIRT не располагает данными об эксплуатации уязвимости в реальных атаках, PoC-код не публиковался. Однако рекомендуется обновить SonicWall до 7.3.1-7013 (Gen7) или 8.0.3-8011 (Gen8), отключить SSLVPN либо ограничить доступ только доверенными источниками через firewall.
Tsundere — новый ботнет на базе Node.js с управлением через блокчейн Ethereum
Специалисты Лаборатории Касперского обнаружили новый ботнет Tsundere, чьи C2-серверы хранятся не в обычных доменах или IP, а в смарт-контрактах Ethereum и записываются в транзакции обычных кошельков. Вероятнее всего распространение ботнета происходит через установщики MSI, маскирующиеся под игры или программы, а также через скрипты PowerShell, которые скачивают среду Node.js и расшифровывают вредоносные компоненты с помощью AES. Tsundere обеспечивает свою устойчивость через автозагрузку в реестре Windows и менеджер процессов PM2. Его основная вредоносная нагрузка зашифрована алгоритмом AES-256-CBC с уникальными ключами для каждой сборки. Рекомендуется мониторить индикаторы компрометации, такие как хэши файлов, пути в AppData, IP-адреса и кошельки Ethereum, быть бдительными к подозрительным установщикам из пиратских источников и использовать сервисы аналитики угроз для предотвращения заражения Windows-устройств.
Новый банковский троян Sturnus для Android крадёт переписку и захватывает устройства
Исследователи MTI Security выявили новый банковский троян Sturnus для Android, который может перехватывать сообщения из популярных мессенджеров WhatsApp, Telegram и Signal, обходя сквозное шифрование. Sturnus обладает широким функционалом: от кражи банковских данных через HTML-оверлеи до скрытого удаленного доступа по VNC, который позволяет злоумышленнику полностью контролировать устройство. Для маскировки он имитирует легитимные приложения, запрашивает права администратора и блокирует удаление, в том числе показывая фальшивые окна обновления системы. Избегайте установок из ненадёжных источников, обновляйте Android и приложения, используйте мобильный антивирус и следите за подозрительной активностью, чтобы не допустить кражи данных и захвата устройства.
Хакеры PlushDaemon захватывают обновления ПО в атаках на цепочки поставок
Группировка PlushDaemon, связанная с Китаем, использует уязвимости в обновлениях ПО для установки импланта EdgeStepper, который перенаправляет DNS-запросы в целевой сети на серверы злоумышленников, подменяя легитимные обновления ПО (например, Sogou Pinyin) и внедряя бэкдор SlowStepper через цепочку загрузчиков LittleDaemon → DaemonicLogistics. Имплант, скомпилированный на Go для процессоров MIPS32, работает как прокси DNS на скомпрометированных роутерах, используя правила iptables и конфигурацию с AES-шифрованием для маршрутизации трафика к узлам перехвата. Регулярно отслеживайте IOC с GitHub (хэши, IP), меняйте пароли и обновляйте роутеры, мониторьте аномальный DNS-трафик и блокируйте компоненты PlushDaemon через ESET и аналогичные решения.
