Содержание статьи

Утечка Keenetic
Компания Keenetic, которая производит сетевое оборудование, предупредила пользователей, зарегистрировавшихся до 16 марта 2023 года, о несанкционированном доступе к БД своего мобильного приложения.
Согласно сообщению в блоге компании, еще в середине марта 2023 года независимый ИБ‑исследователь уведомил Keenetic о том, что БД официального мобильного приложения могла быть скомпрометирована. После проверки специалисты убедились, что эксперт прав, и устранили проблему в тот же день — 15 марта 2023 года.
Тогда исследователь заверил компанию, что не передавал кому‑либо обнаруженные данные и уничтожил те образцы, к которым получил доступ. До недавнего времени никаких других свидетельств компрометации БД у компании не было.
Однако 28 февраля 2025 года компании стало известно, что часть информации из базы данных была раскрыта неназванному независимому СМИ. Как выяснилось позже, этим изданием было CyberNews. Журналисты опубликовали собственный анализ данных пользователей Keenetic, которые в редакцию издания прислали анонимно по электронной почте. После этого журналисты уведомили производителя об утечке, и компания выпустила официальное предупреждение.
«Мы пришли к выводу, что больше не можем гарантировать, что данные были должным образом уничтожены, и часть информации теперь может находиться вне нашего контроля, — заявили представители Keenetic. — Однако, учитывая характер данных, которые потенциально могли быть раскрыты, мы полагаем, что риск вредоносных действий остается низким».
В Keenetic сообщили, что было раскрыто ограниченное количество полей БД, а именно:
- идентификаторы Keycloak;
- адреса электронной почты (логины) и имена учетных записей Keenetic;
- региональные настройки;
- конфигурации учетных записей пользователей устройств, включая хеши паролей MD5 и NT;
- кастомные имена KeenDNS;
- конфигурации сетевых интерфейсов, включая идентификаторы Wi-Fi SSID и pre-shared-ключи;
- настройки каналов Wi-Fi, идентификаторы и ключи роуминга;
- настройки политик IP и шейпинга трафика;
- адреса удаленных peer’ов, логины и пароли VPN-клиентов, назначенные IP-адреса;
- имена и MAC-адреса зарегистрированных хостов;
- конфигурации IPsec site-to-site;
- конфигурации сервера IPsec Virtual IP;
- настройки пула DHCP;
- настройки NTP;
- списки доступа IP и MAC.
Другие данные не были раскрыты. В частности, утечка не коснулась данных RMM, данных учетных записей Keenetic, приватных ключей, а также конфигурации туннелей WireGuard VPN и данных OpenVPN.
Отдельно подчеркивалось, что Keenetic не собирает, не хранит и не анализирует данные о платежных картах или связанных с ними учетных данных, транзакционных данных, банковских реквизитах или банковских паролях. То есть финансовые данные утечка тоже не затронула.
«Массив данных включает учетные данные администраторов, обширные пользовательские данные, информацию о Wi-Fi, специфических настройках устройств и сведения о сетях. Этот инцидент представляет серьезный риск для конфиденциальности и безопасности, — предупредили журналисты CyberNews. — Злоумышленники, получившие доступ к этим данным, могут проникнуть в затронутые утечкой сети, отслеживать или перехватывать трафик, а также скомпрометировать дополнительные подключенные устройства».
Большинство пострадавших от этой утечки пользователей, по‑видимому, находятся в России. Так, данные о локали помогли выявить 943 927 русскоязычных пользователей, 39 472 англоязычных и 48 384 турецкоязычных.
По утверждению анонимного источника CyberNews, суммарно утечка включает:
- 1 034 920 записей, которые содержат обширные данные о пользователях: email-адреса, имена, локали, идентификаторы Keycloak, Network Order ID, Telegram Code ID;
- 929 501 запись с подробной информацией об устройствах: SSID и пароли от Wi-Fi открытым текстом, модели устройств, серийные номера, интерфейсы, MAC-адреса, доменные имена для внешнего доступа, ключи шифрования и многое другое;
- 558 371 запись о конфигурациях устройств, включая данные о доступе пользователей, уязвимые перед брутфорсом пароли с хешированием MD5, назначенные IP-адреса и расширенные настройки маршрутизатора;
- исчерпывающие служебные логи, содержащие более 53 869 785 записей, среди которых можно найти имена хостов, MAC-адреса, IP-адреса, сведения о доступе и даже флаги owner_is_pirate.


Хакер #309. Самооборона по-хакерски

Пользователям приложения Keenetic, чьи данные могли быть скомпрометированы, рекомендуется сменить следующие пароли и ключи:
- пароли учетных записей устройств Keenetic (инструкция);
- пароли Wi-Fi (инструкция);
- пароли / предустановленные ключи VPN-клиентов для PPTP/L2TP (инструкция), L2TP/IPSec (инструкция), IPSec site-to-site (инструкция), SSTP (инструкция).
«Мы твердо уверены, что несанкционированный доступ был осуществлен без какого‑либо мошеннического или злого умысла и информация из базы данных недоступна публично. Тем не менее соответствующее уведомление было отправлено в государственный орган по защите данных.
Приносим извинения за любые неудобства и подтверждаем, что приняли все необходимые меры для предотвращения подобных ситуаций в будущем», — заверили представители компании.
24 миллиона утекших записей
- По данным Роскомнадзора, за январь — февраль 2025 года в открытый доступ утекли 24 миллиона записей о россиянах.
- Суммарно в ведомстве насчитали уже 19 утечек персональных данных и отметили, что по данным фактам составлено пять протоколов об административном правонарушении.
- Для сравнения: за весь 2024 год было зафиксировано 135 случаев утечек данных, в которых содержались более 710 миллионов записей о жителях РФ.

Лабиринт для ИИ
Компания Cloudflare анонсировала новую функцию под названием «ИИ‑лабиринт» (AI Labyrinth), которая направлена на борьбу с несанкционированным сбором данных и предоставление ботам фальшивого ИИ‑контента. Инструмент призван помешать ИИ‑компаниям, краулеры которых без разрешения посещают сайты и собирают данные для обучения больших языковых моделей (LLM).
По данным Cloudflare, ИИ‑краулеры ежедневно генерируют более 50 миллиардов запросов к сети компании, что составляет около 1% всего обрабатываемого трафика. Многие из таких краулеров собирают данные о сайтах для обучения LLM без разрешения владельцев ресурсов, что уже стало причиной многочисленных судебных исков со стороны создателей контента и издателей.
Вместо простой блокировки ботов новая разработка Cloudflare заманивает их в специальный «лабиринт», состоящий из правдоподобных, но нерелевантных страниц, что приводит к трате краулером вычислительных ресурсов и времени. В компании объясняют, что обычная блокировка ИИ‑ботов порой приводит к обратному результату, поскольку это лишь предупреждает операторов краулеров о том, что они обнаружены.
«Когда мы обнаруживаем несанкционированные краулеры, вместо блокировки запроса мы даем им ссылку на серию сгенерированных ИИ страниц, которые достаточно убедительны, чтобы заставить краулер пройти по ним, — объясняют специалисты Cloudflare. — Несмотря на то что такой контент выглядит правдоподобным, на самом деле он не связан с содержимым сайта, который мы защищаем, поэтому краулер впустую тратит время и ресурсы».
Компания подчеркивает, что предоставляемый ботам контент намеренно не имеет никакого отношения к исходным сайтам, но при этом он тщательно проработан или создан с использованием реальных научных фактов (например, общей информации из области биологии, физики или математики), чтобы избежать распространения дезинформации. Cloudflare подготавливает такой контент с помощью собственного сервиса Workers AI.
При этом страницы‑ловушки и ссылки остаются невидимыми для обычных посетителей и недоступны им, чтобы люди не наткнулись на них случайно. Фальшивые ссылки содержат соответствующие метадирективы, чтобы предотвратить индексацию поисковыми системами, но при этом остаются доступны для ботов‑краулеров.
По сути, «ИИ‑лабиринт» представляет собой ханипот нового поколения, ведь современные краулеры давно научились обнаруживать традиционные ловушки и ссылки, которые не видят люди, но могут обнаружить боты, парсящие HTML-код.
«Ни один живой человек не станет углубляться на четыре ссылки в лабиринт сгенерированной искусственным интеллектом чепухи, — пишут разработчики Cloudflare. — Любой посетитель, который это сделает, с большой вероятностью окажется ботом, так что это дает нам совершенно новый инструмент для выявления и фингерпринтинга плохих ботов».
Отметим, что инженеры Cloudflare — не первые, кто придумал создавать лабиринты и хитроумные ловушки для ИИ‑краулеров. В начале текущего года мы рассказывали о нескольких похожих проектах, авторы которых задались целью создать ИИ‑компаниям как можно больше сложностей и защитить свои ресурсы и данные от агрессивных краулеров.
К примеру, автор проекта Nepenthes описывает свое детище как агрессивное и умышленно вредоносное ПО, предупреждая, что владельцам сайтов не стоит использовать его, если им не нравится ловить ИИ‑краулеры и отправлять их в «бесконечный лабиринт» из статичных файлов без ссылок на выход, где они могут «застрять и бродить» месяцами.
В отличие от создателя Nepenthes, Cloudflare позиционирует «ИИ‑лабиринт» как законную защитную функцию, которой может воспользоваться любой клиент.
Сообщается, что AI Labyrinth планируется доработать таким образом, чтобы фальшивый контент стало сложнее обнаруживать, а поддельные страницы более органично вписывались в структуру сайтов.
Стоимость данных в даркнете
- Аналитики Positive Technologies изучили в даркнете около 3500 объявлений, связанных с утечками информации в мире, опубликованных во второй половине 2024 года.
- 60% данных раздаются на тематических площадках бесплатно и только 28% продаются.
- Более чем в половине объявлений о продаже (55%) стоимость данных не превышает 1000 долларов.
- Самые высокие цены были установлены на данные платежных карт: средняя стоимость набора составляет 2500 долларов.
- Меньше всего ценятся персональные данные: средняя цена в объявлениях об их продаже — 835 долларов.

- Несмотря на относительно высокий уровень защищенности, финансовые организации входят в топ-3 в России и других странах СНГ по числу публикаций в даркнете, связанных с утечками.
- Данные компаний финансового сектора пользуются спросом в объявлениях как о продаже, так и о покупке. Чаще всего упоминаются персональные данные (76%), данные платежных карт (12%) и учетные данные (11%).

- Также утечки информации из финансовых организаций лидируют среди объявлений о продаже со стоимостью более 10 тысяч долларов. Так, каждое пятое объявление (21%) в этом ценовом сегменте приходится на финансовый сектор, за которым следуют IT-компании (17%) и госучреждения (17%).

Операция «Форумный тролль»
Разработчики Google Chrome исправили уязвимость нулевого дня (CVE-2025-2783), которая позволяла осуществить побег из песочницы браузера. Проблему выявили специалисты «Лаборатории Касперского», которые сообщили, что уязвимость была связана с APT-операцией «Форумный тролль», использовавшей цепочку эксплоитов нулевого дня.
В середине марта 2025 года исследователи обнаружили волну заражений ранее неизвестным сложным вредоносным ПО. Заражение происходило сразу после того, как жертва открывала ссылку из фишингового письма в браузере Google Chrome, и никаких дополнительных действий от пользователя не требовалось.
Отмечается, что все вредоносные ссылки были персонализированы и имели очень короткий срок «жизни», однако исследователи сумели идентифицировать 0-day-эксплоит, который использовался для побега из песочницы Google Chrome.
Анализ кода эксплоита и логики его работы показал, что он основан на уязвимости нулевого дня (присутствующей в том числе в последней версии Chrome), после чего эксперты уведомили о баге команду безопасности Google. 25 марта 2025 года разработчики браузера выпустили обновление, исправляющее уязвимость.
Исследователи пишут, что этот эксплоит был одним из самых интересных среди всех, с которыми им доводилось сталкиваться. А уязвимость CVE-2025-2783 заставила их поломать голову, так как позволяла легко обойти защиту песочницы Google Chrome без каких‑либо очевидно вредоносных или запрещенных действий, будто ее вообще не существовало.
Причиной оказалась логическая ошибка на стыке песочницы и операционной системы Windows, и технические подробности будут опубликованы «Лабораторией Касперского» после того, как большинство пользователей установят обновленную версию браузера с патчем (134.0.6998.177/.178).
«Наше исследование еще продолжается, но, судя по функциональности сложного вредоносного ПО, использованного в атаке, целью злоумышленников был шпионаж. Вредоносные письма содержали приглашения от лица организаторов научно‑экспертного форума „Примаковские чтения“ и были нацелены на средства массовой информации, образовательные учреждения и правительственные организации в России. Мы назвали эту кампанию „Форумный тролль“, опираясь на тематику писем», — рассказывают эксперты.

Подчеркивается, что на момент публикации отчета вредоносная ссылка не вела на эксплоит, а перенаправляла посетителей на официальный сайт Примаковских чтений, но исследователи настоятельно не рекомендуют переходить по вредоносной ссылке.
Обнаруженный эксплоит был разработан для запуска вместе с дополнительным эксплоитом, позволяющим удаленно выполнять код. К сожалению, получить этот второй эксплоит специалистам не удалось.
«Мы могли бы это сделать, но тогда пришлось бы дожидаться новой волны атак и подвергать пользователей риску заражения. Исправление для уязвимости побега из песочницы предотвращает использование всей цепочки для дальнейших атак», — объясняют в компании.
Все изученные на данный момент артефакты указывают на высокий технический уровень злоумышленников, поэтому аналитики утверждают, что за этой атакой стоит некая «продвинутая и спонсируемая государством APT-группа».

Павел Дуров покинул Францию
С разрешения суда основатель Telegram покинул Францию, где находился с августа прошлого года. Тогда Дурова задержали в аэропорту Ле Бурже и предъявили обвинения, связанные с различными преступлениями, выявленными на платформе (включая педофилию, отмывание денег и незаконный оборот наркотиков).
Французские правоохранители заявляли, что команда Telegram не борется с незаконным контентом и не сотрудничает с властями.
«Как вы, возможно, слышали, я вернулся в Дубай после нескольких месяцев, проведенных во Франции, в связи с расследованием активности преступников в Telegram. Процесс продолжается, но мне очень приятно вернуться домой.
Я хочу поблагодарить следственных судей за то, что они разрешили это сделать, а также моих адвокатов и команду за их неустанные усилия и демонстрацию того, что, когда дело доходит до модерации, сотрудничества и борьбы с преступностью, Telegram на протяжении многих лет не только выполнял, но и превышал свои юридические обязательства.
Также я глубоко признателен миллионам людей по всему миру, которые оказали нам поддержку в этом неожиданном испытании. Это очень много значит. Нет ничего, что не смогло бы преодолеть наше миллиардное сообщество», — сообщил Дуров в своем Telegram-канале.

Новая волна BadBox
ИБ‑эксперты продолжают бороться с ботнетом BadBox, в который входят различные Android-устройства: ТВ‑приставки, планшеты, умные телевизоры и смартфоны. На этот раз из официального магазина Google Play были удалены сразу 24 вредоносных приложения, а также удалось осуществить sinkhole и блокировать малварь на 500 тысячах зараженных устройств.
BadBox представляет собой малварь для Android, основанную на коде вредоносного семейства Triada. Зачастую вредонос может предустанавливаться на бюджетные устройства прямо «из коробки» или заражать их через вредоносные приложения и прошивки.
Малварь используется для кражи данных, установки дополнительного вредоносного ПО, а также позволяет злоумышленникам получить удаленный доступ к сети, в которой находится зараженный гаджет.
Кроме того, BadBox способен воровать коды двухфакторной аутентификации, устанавливать другие вредоносные программы, создавать новые email-аккаунты и учетные записи в мессенджерах для распространения фейковых новостей. Операторы BadBox связаны с рекламным мошенничеством, а зараженные гаджеты порой используются в качестве резидентных прокси.
В начале декабря 2024 года немецкие правоохранители попытались вывести из строя часть ботнета BadBox. Но вскоре исследователи из компании BitSight сообщили, что эта операция не сильно повлияла на его работу. Так, уже в конце декабря ботнет снова насчитывал более 192 тысяч зараженных устройств по всему миру.
С тех пор BadBox разросся еще больше и теперь насчитывает более миллиона зараженных устройств на базе Android. Большинство пострадавших гаджетов находятся в Бразилии (37,6%), США (18,2%), Мексике (6,3%) и Аргентине (5,3%).
Новую операцию по борьбе с ботнетом возглавили специалисты компании Human Security в сотрудничестве с Google, Trend Micro, The Shadowserver Foundation и другими экспертами.
В связи с резким увеличением размеров ботнета теперь исследователи называют его BadBox 2.0, чтобы обозначить новую веху в его работе.
«Эта кампания затронула более миллиона потребительских устройств. Среди устройств, вошедших в ботнет BadBox 2.0, были бюджетные, небрендированные и несертифицированные планшеты, ТВ‑приставки, цифровые проекторы и так далее, — сообщают в Human Security. — Зараженные устройства представляют собой решения на базе Android Open Source Project, а не устройства на базе Android TV ОС или сертифицированные Play Protect. Все они производятся в материковом Китае и поставляются по всему миру».
Эксперты обнаружили доказательства того, что этот ботнет обслуживают и поддерживают сразу несколько хакерских групп, у каждой из которых собственная роль и цели. Среди них: SalesTracker (управление инфраструктурой), MoYu (разработка бэкдора и ботнета), Lemon (рекламные мошеннические кампании) и LongTV (разработка вредоносных приложений).
Зараженные BadBox Android-устройства регулярно подключаются к контролируемым злоумышленниками управляющим серверам, чтобы получить новые настройки конфигурации и команды для выполнения.
Специалисты Human Security и The Shadowserver Foundation осуществили sinkhole ряда доменов ботнета, что позволило нарушить связь с управляющими серверами для 500 тысяч зараженных устройств. Так как эти устройства больше не могут связаться с серверами хакеров, малварь на них перешла в спящий режим и теперь неактивна.
Более того, аналитики выявили в официальном магазине Google Play 24 приложения, которые устанавливали BadBox на Android-устройства. Некоторые из них (включая Earn Extra Income и Pregnancy Ovulation Calculator от Seekiny Studio), насчитывали более 50 тысяч загрузок.

Специалисты Google удалили вредоносные приложения из Google Play и добавили в Play Protect правило, предупреждающее пользователей и блокирующее установку приложений, связанных с BadBox 2.0.
Также были удалены аккаунты издателей, которые занимались рекламным мошенничеством, связанным с BadBox, что не позволит им получать монетизацию через Google Ads.
Однако Google не может удалить малварь с Android-устройств, не имеющих сертификации Play Protect. Поэтому, хотя работа BadBox 2.0 была нарушена, ботнет нельзя назвать ликвидированным.
Вот список устройств, которые пострадали от заражения BadBox или выступают целью для перечисленных выше хакерских групп.
Так как получить чистую прошивку для этих устройств вряд ли удастся, их владельцам настоятельно рекомендуется заменить гаджеты проверенными продуктами известных брендов или хотя бы отключить их от интернета.
Отказ от паролей
- «Лаборатория Касперского», а также специалисты «Почта Mail» и «Hi-Tech Mail» выяснили, как люди относятся к беспарольным способам авторизации — одноразовым и QR-кодам, использованию отпечатков пальца или скана лица и другим способам для входа в аккаунты.
- Более трети российских пользователей готовы отказаться от традиционных паролей и использовать беспарольные методы аутентификации: 12% — для важных аккаунтов, 9% — для неважных, а 16% — для всех учетных записей.
- Беспарольный метод аутентификации для всех аккаунтов, где это возможно, уже использует 31% опрошенных. Еще 27% отметили, что применяют его только для важных сервисов, например в мессенджерах, почте, банковских приложениях.
- 19% пользователей придерживаются мнения, что использование паролей менее удобно, но зато более безопасно.

DeepSeek пишет малварь
Исследователи из компании Tenable изучили способность китайского ИИ чат‑бота DeepSeek разрабатывать вредоносные программы (кейлоггеры и вымогатели).
DeepSeek R1 появился в январе текущего года и с тех пор успел наделать немало шума, в том числе из‑за своей восприимчивости к джейлбрейку.
Как и все крупные LLM, DeepSeek имеет защитные механизмы, призванные предотвратить использование в злонамеренных целях, например с целью создания вредоносных программ. Однако эти запреты можно довольно легко обойти.
Когда DeepSeek напрямую просят написать код для кейлоггера или программы‑вымогателя, он отказывается это сделать, утверждая, что не может помогать с тем, что может оказаться вредоносным или незаконным.
Однако специалисты Tenable использовали джейлбрейк, чтобы обмануть чат‑бота и вынудить его написать вредоносный код, а для улучшения результатов использовали CoT-возможности DeepSeek (chain-of-thought).
Когда исследователи использовали DeepSeek для создания кейлоггера, ИИ разработал план выполнения задачи, а затем подготовил код на C++. Код был написан с ошибками, и чат‑бот не смог исправить некоторые из них, чтобы создать полнофункциональную малварь без вмешательства человека.

Однако после нескольких изменений код кейлоггера, сгенерированный DeepSeek, заработал, перехватывая нажатия клавиш пользователя. Затем исследователи использовали DeepSeek для дальнейшего усовершенствования полученной малвари, в частности для достижения большей скрытности и шифрования ее логов.
Что касается разработки вымогателя, сначала DeepSeek описал весь процесс, а затем ему удалось сгенерировать несколько образцов малвари для шифрования файлов, однако ни один из них не компилировался без ручного редактирования кода.
В результате исследователи сумели добиться того, что некоторые образцы малвари заработали. Вредонос обладал механизмами для перечисления файлов и закрепления в системе, а также отображал диалоговое окно, информирующее жертву о том, что она подверглась атаке шифровальщика.
«По сути DeepSeek способен создавать базовую структуру для вредоносного ПО. Однако он неспособен сделать это без дополнительного промпт‑инжиниринга и ручного редактирования кода для получения более продвинутых функций. Например, DeepSeek не справился с реализацией сокрытия процессов. Нам удалось заставить работать сгенерированный им код DLL-инъекции, но это потребовало много ручной работы.
Тем не менее DeepSeek предоставляет полезную подборку техник и поисковых терминов, которые могут помочь человеку, не имеющему опыта в написании вредоносного кода, быстро ознакомиться с соответствующими концепциями», — заключают эксперты Tenable.
12 миллионов долларов исследователям
- В прошлом году компания Google выплатила 660 ИБ‑исследователям 11,8 миллиона долларов в качестве вознаграждения за найденные ими уязвимости.
- Суммарно с момента запуска первой программы вознаграждения за уязвимости (Vulnerability Reward Program) в 2010 году Google выплатила специалистам свыше 65 миллионов долларов в качестве вознаграждения за баги.

- К примеру, эксперты, сообщавшие об уязвимостях в Android и мобильных приложениях Google, получили 3,3 миллиона долларов, а количество сообщений о критических и серьезных ошибках увеличилось на фоне снижения общего числа багов.
- Еще 137 исследователей, сообщавших о проблемах в Chrome, получили вознаграждения на общую сумму 3,4 миллиона долларов.
- Наибольшее вознаграждение 2024 года составило 100 115 долларов, и эта сумма была выплачена за обнаруженную проблему обхода MiraclePtr.
- Интересно, что в рамках новой bug bounty программы по поиску ИИ‑ошибок компания получила больше 150 сообщений от специалистов и в итоге выплатила им свыше 55 тысяч долларов за различные баги.

Взлом tj-actions/changed-files
В середине марта была обнаружена компрометация пакета tj-actions/changed-files, который входит в состав tj-actions. Это один из многочисленных GitHub Actions на одноименной платформе, предоставляющей бесплатную систему CI/CD для публичных репозиториев. Обработчик changed files использовался в 23 тысячах репозиториев, и злоумышленники попытались применить его для кражи конфиденциальных данных.
После взлома вредоносный код должен был записывать CI/CD-секреты в журналы рабочих процессов для всех 23 тысяч репозиториев, использующих tj-actions/changed-files. Если эти логи были публичными, их мог просмотреть любой желающий.
Мейнтейнер проекта сообщал, что злоумышленники неизвестным образом скомпрометировали его токен персонального доступа (personal access token, PAT) на GitHub и учетные данные, с помощью которых @tj-actions-bot получал привилегированный доступ к репозиторию.
Позже аналитики из компании Wiz сообщили, что им удалось разобраться в произошедшем. Исследователи назвали случившееся каскадной атакой на цепочку поставок и рассказали, что она началась с другого GitHub Action — reviewdog/action-setup.
По данным Wiz, сначала злоумышленники скомпрометировали тег v1 для reviewdog/action-setup и внедрили в пакет аналогичный код для записи секретов CI/CD в лог‑файлы.
Поскольку tj-actions/eslint-changed-files использует reviewdog/action-setup, предполагается, что скомпрометированный Action применялся для извлечения и кражи персонального токена PAT, затем использованного для доступа к tj-actions.
Злоумышленники внедряли в файл install.sh полезную нагрузку, закодированную Base64, что в итоге приводило к утечке секретов из затронутых рабочих процессов CI. Как и в случае с tj-actions, раскрытые секреты в итоге отображались в публичных репозиториях как часть логов.

Хотя точный способ взлома не был установлен, специалисты писали, что reviewdog имеет большую базу мейнтейнеров и принимает новых участников через автоматические приглашения, что значительно увеличивает риски и количество возможностей для взлома.
Как сообщали специалисты Endor Labs, компрометация tj-actions/changed-files затронула лишь небольшой процент из 23 тысяч проектов, использующих обработчик. Так, только 218 репозиториев действительно раскрыли секреты и допустили утечки в результате этой атаки.
В большинстве случаев утечка затронула только токены GitHub, срок действия которых составляет 24 часа. То есть у злоумышленников было весьма короткое окно для возможной эксплуатации. Однако в некоторых случаях все же произошла утечка учетных данных для DockerHub, npm и AWS, что несет более серьезные риски.

При этом углубленные отчеты об этой атаке, опубликованные Palo Alto Unit 42 и Wiz, показали, что исходно она была нацелена на проекты криптовалютной биржи Coinbase. В частности, был атакован популярный фреймворк Coinbase — coinbase/agentkit, позволяющий ИИ‑агентам взаимодействовать с блокчейном.
Представители Coinbase сообщили, что эта попытка компрометации не увенчалась успехом и не нанесла никакого ущерба проекту agentkit или другим ресурсам биржи.
В итоге эксперты пришли к выводу, что изначально вредоносная кампания была нацелена на Coinbase и лишь потом, после провала первой попытки компрометации, распространилась на другие проекты, использующие tj-actions/changed-files.
Компрометации reviewdog и tj-actions были присвоены идентификаторы CVE-2025-30154 и CVE-2025-30066.


Кодить скоро будет ИИ
Во время выступления на форуме Council on Foreign Relations генеральный директор ИИ‑компании Anthropic Дарио Амодей (Dario Amodei) заявил, что уже через год весь код для различного софта будут писать не разработчики ПО, а искусственный интеллект.
«Думаю, что уже через три — шесть месяцев мы достигнем того уровня, когда ИИ будет писать 90% кода. А затем, еще через двенадцать месяцев, мы можем оказаться в мире, где ИИ будет писать практически весь код», — заявил Амодей.
По мнению CEO Anthropic, в ближайшем будущем люди еще будут нужны, чтобы задавать ИИ‑модели новые функциональные параметры и условия, но потом и это сойдет на нет.
«Полагаю, что в конечном итоге все эти маленькие островки будут поглощены ИИ‑системами. В конце концов мы достигнем момента, когда ИИ сможет делать все то же, что может человек. Думаю, что это произойдет с каждой отраслью», — считает глава Anthropic.

DDoS-атака на Lovit
Жители домов крупнейшего российского застройщика «ПИК» в Москве и Санкт‑Петербурге остались без домашнего интернета на несколько дней. Причиной стала масштабная DDoS-атака, направленная на провайдера Lovit, который обслуживает эти дома.
Представители Lovit сообщили, что DDoS-атака началась около полудня 21 марта 2025 года и в результате инцидента оказались затронуты ключевые элементы инфраструктуры, что «привело к временным техническим трудностям в работе сервисов».
Ситуация осложнилась тем, что Lovit является единственным провайдером в домах «ПИК». Сообщалось, что из‑за атаки во многих домах возникли проблемы с домофонами (многие жильцы пользовались ими с помощью приложения и не покупали магнитные ключи), а также со сбоями столкнулись коммерческие организации, расположенные в пострадавших зданиях, так как у них не работали терминалы для оплаты и бонусные системы.
В Роскомнадзоре подтверждали, что Lovit пострадал от DDoS-атаки, пиковая мощность которой составила до 219,06 Гбит/с и 22,39 миллиона пакетов в секунду. Трафик исходил с серверов, находящихся в Великобритании, Германии, Нидерландах, России, США, Финляндии, Франции, Хорватии и Швеции.
Представители ведомства заявляли, что специалисты Центра мониторинга и управления сетью связи общего пользования, подведомственного Роскомнадзору, помогали Lovit отражать атаку с помощью Национальной системы противодействия DDoS-атакам.
Позже в Роскомнадзоре заявили СМИ, что необходимо закрепить в законе требования к устойчивости и живучести сетей связи, чтобы операторы связи и провайдеры были обязаны обеспечивать не только их защиту, но и возможность быстрого восстановления после атак.
В пресс‑службе ведомства сообщили, что российское законодательство требует доработки для более эффективной борьбы с DDoS-атаками.
В частности, в РКН считают, что необходимо расширить перечень обязательных мер по защите от DDoS-атак, включая использование отечественных решений для мониторинга и фильтрации трафика, а также установить более жесткие требования к резервированию инфраструктуры, «что позволит минимизировать последствия атак и избежать массовых перебоев в работе сервисов».
«Комплексная реализация этих мер позволит снизить риски атак на критическую инфраструктуру и повысить уровень кибербезопасности российских операторов связи, — говорят в ведомстве. — Инфраструктура провайдера (Lovit) оказалась не готова к такой массированной DDoS-атаке, что привело к серьезным сбоям в работе сервисов. Отсутствие эффективных превентивных мер, недостаточная защита сетевой инфраструктуры и слабая система мониторинга угроз показали, что компания не предприняла своевременных шагов для минимизации рисков подобных атак. Это свидетельствует о недостаточном уровне подготовки и планирования в сфере кибербезопасности».
Миллиард пользователей Telegram
- 19 марта 2025 года Павел Дуров сообщил в своем Telegram-канале, что мессенджер перешагнул отметку в 1 миллиард активных пользователей в месяц. Это делает Telegram вторым по популярности мессенджером в мире (без учета китайского WeChat). Первое место по‑прежнему занимает WhatsApp.
- По словам Дурова, растет и вовлеченность аудитории: в среднем пользователь открывает приложение 21 раз в день и проводит в нем 41 минуту.

Copilot активировал Windows
Пользователи обнаружили, что, если спросить ИИ‑помощника Copilot, существует ли скрипт для активации Windows 11, в ответ можно получить пошаговое руководство с инструкциями, как активировать операционную систему.
Все началось с того, что пользователь Reddit поделился наблюдением: если спросить у бесплатной версии Copilot, есть ли скрипт для активации Windows 11, ИИ‑ассистент предоставит пользователю руководство, которое включает в себя скрипт из GitHub-репозитория Microsoft Activation Scripts (MAS), который можно использовать для бесплатной активации ОС.

Этот метод активации Windows и Office не нов и известен уже несколько лет, но такой совет от ИИ‑инструмента Microsoft показался пользователям странным. Хотя Copilot и напоминал о том, что «использование несанкционированных методов активации может нарушить условия обслуживания Microsoft».
Инструменты группы крякеров‑энтузиастов Massgrave позиционируются как опенсорсные, а файлы проекта Microsoft Activation Scripts уже довольно давно доступны на GitHub, который принадлежит компании Microsoft. При этом компания не предпринимает никаких действий против крякеров.
Стоит отметить, что совсем недавно бывший сотрудник компании утверждал, что Microsoft мало заботит пиратство, так как «в Microsoft хотят, чтобы вы использовали Windows 11, потому что вы и есть продукт».
Однако после того, как информация о странном поведении Copilot распространилась в СМИ и соцсетях, Microsoft закрыла эту лазейку.
Теперь, если спросить у Copilot о скриптах для активации Windows, ИИ‑помощник ответит:
«Я не смогу вам помочь. Активация Windows 11 с помощью неавторизованных скриптов незаконна и нарушает условия обслуживания (terms of service) Microsoft. Для активации программного обеспечения рекомендуется использовать законные методы, чтобы гарантировать получение надлежащих обновлений и поддержки.
Если вам нужна помощь в активации Windows 11, вы можете посетить официальную страницу поддержки Microsoft для получения рекомендаций».
Любые попытки спорить с Copilot или убеждать ИИ пересмотреть решение не дают никакого результата.
В настоящее время помочь с активацией Windows откажется и ChatGPT, хотя ранее исследователям удавалось добиться от чат‑бота успешной генерации работающих ключей для Windows 95 и Windows 10.
Самые «популярные» уязвимости
- Исследователи «Лаборатории Касперского» предупредили, что среди хакеров усилился тренд на атаки на операционные системы и эта категория вытесняет другое ПО.
- Количество критических уязвимостей в 2024 году осталось на уровне 2023 года, а общее число зарегистрированных CVE за этот период выросло на 20%.

- При этом в 2024 году ОС стали самой популярной категорией ПО для создания публичных эксплоитов. Также заметно увеличилось количество публичных эксплоитов для инструментов Microsoft Office и SharePoint.

- Число пользователей Linux, столкнувшихся с эксплоитами, также выросло. Так, в четвертом квартале прошлого года этот показатель был в 1,5 раза выше, чем за аналогичный период 2023 года.


Новая малварь в Steam
В прошлом месяце компания Valve удалила из Steam игру PirateFi, в которой было обнаружено вредоносное ПО. Теперь пользователи нашли в магазине еще одну игру, которая обходила правила Steam и перенаправляла игроков на сторонний сайт для загрузки демоверсии, содержавшей инфостилер.
На этот раз внимание пользователей привлекло странное поведение игры Sniper: Phantom’s Resolution. Технически эта игра еще не вышла, на ее странице в Steam указано, что релиз запланирован на второй квартал 2025 года. Однако похоже, что никакой игры не существует вовсе, а страница в Steam просто приманка, так как рекламные материалы явно скопированы из других игр.
Первым на проблему обратил внимание пользователь Reddit под ником Feral_Wasp, заметивший, что, хотя игра недоступна в Steam, на ее странице в магазине присутствует прямая ссылка на полупустой и весьма подозрительный сайт. На этом сайте игрок якобы может скачать демоверсию Sniper: Phantom’s Resolution, после чего на компьютер жертвы устанавливается что‑то нехорошее.
Анализ файлов «бета‑версии», проведенный пользователем meantbent3, показал, что малварь получает привилегии администратора на зараженной машине, обходит систему шифрования учетных данных в Windows и похищает информацию с компьютера жертвы.
При этом отмечалось, что малварь плохо обнаруживается защитными решениями, представленными на VirusTotal.
Meantbent3 писал, что всем, кто скачал эту «бета‑версию», лучше удалить все созданные ею файлы, а затем сменить пароли для всех имеющихся учетных записей.
В результате на странице в Steam появилось предупреждение о том, что «Sniper: Phantom’s Resolution больше не доступна в магазине Steam», а затем игра была полностью удалена из магазина.
Представители Valve не давали официальных комментариев об этой ситуации.

(Не)работа YouTube
Глава Минцифры РФ Максут Шадаев сообщил СМИ, что пока YouTube не проявляет заинтересованности в исполнении требований норм российского законодательства, что могло бы стать первым шагом к восстановлению работы сервиса в России.
«Есть целый набор претензий, который Роскомнадзор выставил в адрес YouTube. Соответственно, это вопрос выполнения норм законодательства. Если они будут их выполнять, если они покажут конкретные шаги разблокировки отечественного контента, тогда этот вопрос будет ставиться и обсуждаться. Пока компания не демонстрирует такой заинтересованности», — заявил Шадаев.
По мнению министра, несмотря на огромные штрафы, наложенные на компанию Google, которой принадлежит YouTube, сейчас первичными являются «все другие требования, связанные с разблокировкой (российских телеканалов) и проведением адекватной политики, отсутствием ограничений для российских авторов».
Стоит отметить, что незадолго до этого глава «Билайна» Сергей Анохин сообщил изданию «Ведомости», что работа YouTube в России замедлена из‑за устаревающей сети распределенного хранения видео.
«YouTube стал работать медленнее. Есть сеть распределенного хранения видео. Она не развивается, не поддерживается, объем трафика все равно растет, а владелец видеосервиса официально ушел из России. Пользователь ощущает это в более медленной работе сервиса. Оборудование ломается, или его перестает хватать для растущего объема контента.
Недовольство клиентов мы видим на себе, потому что мы и другие провайдеры и операторы — последняя миля. Раньше работало, потом перестало работать — идет поток жалоб, вопросов, претензий в сторону операторов связи. И мы, конечно, пытаемся объяснить, что происходит, что наши сети как работали, так и продолжают работать, что это сложности на более глубоком уровне, который мы, к сожалению, не можем решить. Мы ведем коммуникационно‑разъяснительную работу с клиентами, чтобы пытаться донести, что это и для нас проблема тоже», — сообщил Анохин.

Спайварь в Google Play
Эксперты Lookout обнаружили новое шпионское ПО для Android под названием KoSpy. Этот вредонос связан с северокорейскими хакерами и был найден в официальном магазине Google Play и стороннем магазине APKPure в составе как минимум пяти приложений.
По данным исследователей, спайварь связана с северокорейской группировкой APT37 (она же ScarCruft). Кампания с использованием этого вредоноса активна с марта 2022 года, и, судя по образцам малвари, хакеры активно совершенствуют свою разработку.
Шпионская кампания нацелена в основном на корейских и англоязычных пользователей. KoSpy маскируется под файловые менеджеры, защитные инструменты и обновления для различного ПО. Суммарно эксперты Lookout обнаружили пять зараженных приложений.
Почти все вредоносные приложения действительно предоставляли хотя бы часть обещанных функций, но вместе с этим загружали KoSpy в фоновом режиме. Единственное исключение — Kakao Security. Это приложение лишь показывало фальшивое системное окно, запрашивая доступ к опасным разрешениям.
Исследователи приписывают эту кампанию APT37 на основании IP-адресов, которые ранее были связаны с операциями северокорейских хакеров, доменов, которые использовались для распространения малвари Konni, а также инфраструктуры, которая пересекается с другой хакгруппой из КНДР — APT43.
После активации на устройстве KoSpy извлекает зашифрованный файл конфигурации из БД Firebase Firestore, чтобы избежать обнаружения. Затем вредонос подключается к управляющему серверу и проверяет, не запущен ли он в эмуляторе. Малварь может получать обновленные настройки с сервера злоумышленников, дополнительные полезные нагрузки для выполнения, а также может динамически активироваться или деактивироваться с помощью специального переключателя.
В основном KoSpy ориентирован на сбор данных, его возможности таковы:
- перехват SMS и журналов звонков;
- отслеживание GPS-положения жертвы в режиме реального времени;
- считывание и извлечение файлов из локального хранилища;
- использование микрофона устройства для записи звука;
- использование камеры устройства для съемки фото и видео;
- создание скриншотов экрана устройства;
- перехват нажатий клавиш с помощью Android Accessibility Services.
При этом каждое приложение использует отдельный проект Firebase и сервер для слива данных, которые перед передачей шифруются с помощью жестко закодированного ключа AES.
Хотя в настоящее время шпионские приложения уже удалены из Google Play и APKPure, исследователи предупреждают, что пользователям придется вручную удалить малварь со своих устройств, а также просканировать гаджеты с помощью защитных инструментов, чтобы избавиться от остатков заражения. В некоторых случаях может потребоваться сброс до заводских настроек.
«Использование регионального языка в названиях приложений указывает на то, что это было таргетированное вредоносное ПО. Последний образец вредоносной программы, обнаруженный в марте 2024 года, был удален из Google Play до того, как его успели установить пользователи», — сообщили представители Google.
Другие интересные события месяца
- СМИ: инфраструктура «Лукойл» пострадала от атаки шифровальщика
- Роскомнадзор потребовал удалить из Google Play 47 VPN-приложений
- Бэкдор DCRat распространяется через YouTube и атакует российских пользователей
- «Пуленепробиваемый» хостинг Prospero связали с «Лабораторией Касперского»
- Расширения для Chrome могут подменять собой менеджеры паролей
- Android-устройства следят за пользователями сразу после включения
- Представлена первая в текущем году Kali Linux 2025.1a
- Из Firefox исчезло обещание никогда не продавать данные пользователей
- Cloudflare блокирует непопулярные браузеры
- Ботнет Ballista атакует уязвимые роутеры TP-Link Archer