ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — новая вредоносная программа IronWorm поразила 36 пакетов в ходе атаки на цепочку поставок npm, критическая уязвимость Kirki была использована для взлома учетных записей администраторов WordPress, CISA добавила в свой каталог активно используемую уязвимость в Oracle, обнаруженную два года назад, бэкдор FlutterShell распространился на macOS через вредоносную рекламу Google и YouTube, уведомления WhatsApp и Slack могут перехватить управление Google Gemini на Android.

Новая вредоносная программа IronWorm поразила 36 пакетов в ходе атаки на цепочку поставок npm

Эксперты из JFrog Security Research опубликовали исследование мощного ВПО IronWorm для кражи информации, которое собирает все секреты на компьютере жертвы, скрывается за руткитом ядра eBPF и подчиняется оператору через Tor. Подобно червю Shai-Hulud, он использует украденные учетные данные в качестве механизма распространения, незаметно внедряясь в репозитории GitHub и используя доверенные рабочие процессы для публикации в реестре NPM. Это самовоспроизводящаяся атака на цепочку поставок, направленная непосредственно на разработчиков программного обеспечения, и в частности — разработчиков криптографических / Web3.0-приложений. Рекомендуется проверить устаревшие коммиты, подозрительные ветки, неожиданные хуки в сборках и изменения, приписываемые claude, dependabot[bot], renovate[bot], github-actions[bot] или другим учетным записям автоматизации вне их обычного контекста.

Критическая уязвимость Kirki была использована для взлома учетных записей администраторов WordPress

Компания Wordfence сообщила об уязвимости, приводящей к несанкционированному повышению привилегий в плагине Kirki для WordPress. Эта уязвимость позволяет злоумышленникам захватывать