ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — GhostClaw: вредоносный npm-пакет выдает себя за OpenClaw для кражи данных, расширение Chrome становится вредоносным после передачи прав собственности, обнаружены 9 опасных уязвимостей в системе безопасности AppArmor в Linux, новая технология Zombie ZIP позволяет вредоносному ПО обходить средства защиты, новое вредоносное ПО Slopoly создано с помощью ИИ.

GhostClaw: вредоносный npm-пакет выдает себя за OpenClaw для кражи данных

Исследователи из JFrog Security обнаружили вредоносный npm-пакет под названием @openclaw-ai/openclawai. Он маскируется под легитимный инструмент командной строки OpenClaw Installer, развертывая многоступенчатую цепочку заражения. Пакет собирает и передает данные, а также устанавливает постоянный RAT с возможностями удаленного доступа, включая прокси SOCKS5 и клонирование сессий браузера в реальном времени. После этого вредоносная программа переходит в режим, который позволяет ей отслеживать содержимое буфера обмена каждые три секунды и передавать данные. При установке OpenClaw следует использовать только официальный пакет из проверенных источников, а также следить за активностью сторонних npm-пакетов.

Расширение Chrome становится вредоносным после передачи прав собственности

Ранее легитимное расширение для создания скриншотов в Chrome под названием ShotBird после передачи прав собственности превратилось в канал удаленного управления вредоносным ПО с цепочкой компрометации. Вредоносное обновление сохранило исходную функциональность, но добавило возможности удаления заголовков безопасности (например, X-Frame-Options) из каждого HTTP-ответа, что позволяло вредоносным скриптам, внедренным в веб-страницу, выполнять произвольные запросы к другим доменам, обходя защиту Content Security