ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — атака на цепочку поставок npm-пакетов SAP, уязвимость Dirty Frag позволяет повысить привилегии в дистрибутивах Linux, в библиотеке vm2 для Node.js обнаружена серия критических уязвимостей, Apache выпустил патч для уязвимостей, Palo Alto Networks предупреждает о критической уязвимости в PAN-OS.

Атака на цепочку поставок npm-пакетов SAP

В результате атаки на цепочку поставок SAP были скомпрометированы четыре официальных npm-пакета для кражи учетных данных и токенов (@cap-js/sqlite - v2.2.2, @cap-js/postgres - v2.2.2, @cap-js/db-service - v2.10.1, [email protected]). В скомпрометированные релизы был добавлен скрипт предварительной установки preinstall, который запускает обфусцированный код для хищения данных из систем разработчиков и CI/CD, включая токены, ключи SSH и облачные учетные данные. Вредоносное ПО также пытается извлечь секреты напрямую из памяти CI-раннеров, шифрует их и загружает в GitHub-репозитории. Исследователи связывают атаку с TeamPCP, которые использовали аналогичный код и тактику в предыдущих атаках на цепочки поставок против Bitwarden CLI, Checkmarx KICS/AST, Aqua Security Trivy, Telnyx и LiteLLM. До подтверждения технических подробностей разработчикам рекомендуется избегать установки затронутых версий, обновить потенциально раскрытые учетные данные и проверить журналы CI/CD на наличие подозрительной активности.

Уязвимость Dirty Frag позволяет повысить привилегии в дистрибутивах Linux

В ядре Linux обнаружена новая 0-day-уязвимость Dirty Frag, которая существует около девяти лет и затрагивает большинство популярных дистрибутивов, включая Ubuntu, RHEL, openSUSE Tumbleweed, CentOS Stream, AlmaLinux и Fedora. Dirty Frag объединяет две отдельные уязвимости ядра — записи в страничный кэш xfrm-ESP