ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — обнаружен первый ИИ-шифровальщик PromptLock, пакеты nx в npm скомпрометированы вредоносным кодом, Silver Fox APT атакует системы Windows через уязвимые подписанные драйверы, критическая уязвимость в Google Chrome позволяла выполнять произвольный код, ошибка в настройке Active Directory CS может привести к компрометации домена.

Обнаружен первый ИИ-шифровальщик PromptLock

Специалисты ESET обнаружили прототип ransomware, который генерирует вредоносные сценарии в режиме реального времени при помощи локально запущенной LLM на базе модели gpt-oss:20b. Код одинаково работает на Windows, Linux и macOS, что делает угрозу кроссплатформенной, а генерация вредоносных скриптов происходит в режиме реального времени. Хотя образец носит характер Proof of Concept, данная находка демонстрирует снижение порога для разработки вымогателей с использованием ИИ. Рекомендуется ограничить запуск локальных LLM/интерпретаторов на рабочих станциях, усилить поведенческие правила EDR для признаков шифрования и генерации Lua-скриптов.

Пакеты nx в @npm скомпрометированы вредоносным кодом

Специалисты из Aikido Intel сообщили об обнаружении вредоносных версий @nx в репозитории npm, которые имеют примерно 6 млн скачиваний в неделю. Nx используется для управления репозиториями и автоматизации сборки приложений. Постинсталляционный скрипт сканировал окружение разработчика, собирал токены и публиковал их открыто в GitHub-репозитории с префиксом s1ngularity-repository на аккаунте жертвы, что создавало немедленный риск несанкционированного доступа к исходному коду, CI/CD и облачным ресурсам. Уязвимые версии из пространства имен @nx и связанные плагины оперативно удалены из репозитория npm. Рекомендуется провести ротацию секретов,