ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 —  Shai Hulud проводит вторую атаку на цепочку поставок, ClickFix использует поддельный экран Центра обновления Windows для распространения ВПО, Microsoft защитит входы Entra ID от атак с внедрением скриптов, OpenAI сообщает об утечке данных клиентов через Mixpanel, гостевой доступ MS Teams может отключить защиту Microsoft Defender.

Shai Hulud проводит вторую атаку на цепочку поставок

Исследователи Aikido Security сообщили о второй атаке Shai Hulud на цепочку поставок, в результате которой Zapier, ENS, AsyncAPI, PostHog, Postman были скомпрометированы. Shai-Hulud — это npm-червь, созданный для быстрого распространения через скомпрометированные среды разработки. После заражения системы он ищет раскрытые секретные данные, такие как ключи API и токены, и публикует все, что находит, в публичном репозитории GitHub. В новой версии атаки происходит заражение большего количества пакетов, а публикация украденных данных производится на GitHub со случайным именем и описанием репозитория. Для защиты рекомендуется‍ использовать инструменты для блокировки вредоносных пакетов в NPM, отключить скрипты npm postinstall в CI, проверить GitHub на наличие странных репозиториев с описанием «Sha1-Hulud: Второе пришествие».

ClickFix использует поддельный экран Центра обновления Windows для распространения ВПО

Новый вариант атаки ClickFix имитирует Центр обновления Windows, отображая реалистичную заставку «Работа над обновлениями». Пользователю предлагается следовать шаблону ClickFix: открыть окно «Выполнить», затем вставить и выполнить вредоносную команду. В ходе анализа стало известно об использовании стеганографии для сокрытия заключительных этапов вредоносного кода в изображении: код внедряется непосредственно в пиксельные