ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — новая волна атак ForceMemo на репозитории Python через украденные токены GitHub, Cisco устранила опасную RCE-уязвимость, критическая уязвимость в telnetd позволяет выполнить код до аутентификации, уязвимости в KVM-устройствах позволяют обойти защиту, критическая уязвимость в Ubuntu Desktop позволяет выполнить код от имени root.

Новая волна атак ForceMemo на репозитории Python через украденные токены GitHub

Исследователи StepSecurity сообщили о продолжении кампании ForceMemo, в которой злоумышленники используют украденные токены GitHub для внедрения вредоносного кода в репозитории Python. Под удар попали сотни репозиториев, включая приложения Django, панели мониторинга Streamlit и пакеты PyPI. Атака проходит в четыре этапа: взлом через расширения VS Code и Cursor с использованием похитителя учетных данных GlassWorm, кража токенов, перебазирование последнего легитимного коммита с добавлением вредоносного кода в ключевой файл Python (setup.py, main.py, app.py и другие) и загрузка дополнительных нагрузок. ForceMemo расширила деятельность с использованием инфраструктуры Solana, которая применяется с ноября 2025 года, перейдя от компрометации расширений VS Code к массовому захвату аккаунтов GitHub. В рамках кампании также выявлены «спящие» расширения, которые сначала публиковались без вредоносного кода, а затем через компонент-загрузчик с GitHub обновлялись троянизированными клонами популярных расширений, что позволяет избегать удаления из реестра.

Cisco устранила опасную RCE-уязвимость

Служба Amazon Threat Intelligence предупреждает об активной кампании по распространению программ-вымогателей группировки Interlock, которая с 26 января использует критическую RCE-уязвимость в Cisco Secure Firewall Management