ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — Атака на цепочку поставок axios через npm, CrystalX RAT: MaaS с пранк-функциями, выявлены поддельные установщики для распространения Monero, Qilin EDR killer: многоступенчатый загрузчик через поддельный msimg32.dll, уязвимость в ChatGPT позволяла красть диалоги и файлы через DNS-запросы.

Атака на цепочку поставок axios через npm

Исследователи StepSecurity обнаружили, что злоумышленники захватили npm-аккаунт разработчика популярной HTTP-библиотеки axios (100+ млн загрузок в неделю) и опубликовали вредоносные версии 1.14.1 и 0.30.4 с фантомной зависимостью [email protected]., которая загружает кроссплатформенный троян удалённого доступа (RAT). Атака эксплуатирует доверие разработчиков: при установке пакета вредоносный код автоматически выполняется в среде разработки или продакшена. Троян собирает переменные окружения, SSH-ключи, токены облачных провайдеров и устанавливает постоянное присутствие в системе. После выполнения вредонос самоуничтожается и подменяет свой package.json на чистую версию 4.2.0, скрывая следы. Рекомендуется фиксировать точные версии зависимостей в package-lock.json, использовать npm audit и проверять хеши пакетов перед развёртыванием.

CrystalX RAT: MaaS с пранк-функциями

Эксперты «Лаборатории Касперского» обнаружили CrystalX RAT — вредоносное ПО, предлагаемое как Malware-as-a-Service в приватных Telegram-чатах. Вредонос устанавливает WebSocket-соединение с C2, крадёт учётные данные из браузеров (через ChromeElevator для Chromium-браузеров и собственную реализацию для Yandex/Opera), перехватывает ввод с клавиатуры и подменяет адреса криптокошельков в буфере обмена через инъекцию расширения в Chrome/Edge. Опциональные возможности включают анти-отладку, проверку ВМ и патчинг