Malware

Złośliwe repozytorium na platformie Hugging Face, podszywające się pod model OpenAI Privacy Filter, stało się liderem trendów z ponad 244 tysiącami pobrań, jednocześnie dostarczając użytkownikom systemu Windows narzędzie do kradzieży danych. Projekt, który imitował oficjalny filtr prywatności OpenAI, wykorzystywał skomplikowany mechanizm do wyłączania zabezpieczeń, pobierania i wykonywania złośliwego oprogramowania kradnącego informacje, w tym zrzuty ekranu, dane z portfeli kryptowalutowych i przeglądarek internetowych, zanim został usunięty przez Hugging Face.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Badacze cyberbezpieczeństwa odkryli trzy pakiety w repozytorium PyPI, które w ukryty sposób dostarczały nieznane dotąd malware ZiChatBot na systemy Windows i Linux. Malware nie komunikuje się z tradycyjnym serwerem C2, lecz wykorzystuje REST API z komunikatora Zulip, co stanowi przykład starannie zaplanowanego ataku na łańcuch dostaw oprogramowania. Złośliwe pakiety, które zostały już usunięte, miały nazwy uuid32-utils, colorinal i termncolor, a ich celem było zainfekowanie systemów i wykonanie poleceń otrzymanych od rzekomego serwera C2, a następnie usunięcie śladów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

W tym tygodniu obserwujemy szybkie tempo ataków cybernetycznych, od wykorzystania krytycznej luki w cPanel po zaawansowane metody kradzieży danych i wyłudzania informacji, w tym nowe zagrożenia oparte na sztucznej inteligencji oraz narzędzia szpiegujące na Androida, a także poważne luki w GitHub i jądrze Linuksa, co podkreśla rosnącą profesjonalizację działań przestępców cyfrowych i potrzebę stałego monitorowania oraz szybkiego reagowania na zagrożenia.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Tydzień przyniósł odświeżone zagrożenia i nowe metody ataków, w tym malware Fast16 z lat sprzed Stuxneta, które manipuluje wynikami obliczeń, oraz kampanię UNC6692 podszywającą się pod pomoc techniczną Teams. Władze USA wykryły nowy backdoor FIRESTARTER w systemie federalnym, a na Wenezueli zastosowano niszczycielskie malware Lotus Wiper. Zaobserwowano również szybki rozwój grup ransomware, takich jak The Gentlemen, oraz ataki na łańcuchy dostaw, czego przykładem jest skompromitowanie pakietu Bitwarden CLI.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Badacze cyberbezpieczeństwa zidentyfikowali 73 fałszywe rozszerzenia Visual Studio Code w repozytorium Open VSX, które są częścią kampanii kradzieży informacji o nazwie GlassWorm. Te klony legalnych rozszerzeń, często maskowane jako niegroźne pakiety „śpiochy”, wykorzystują podobne ikony i opisy, aby oszukać deweloperów, a następnie, poprzez aktualizacje, instalują malware. Celem jest kradzież danych, instalacja zdalnego trojana dostępowego (RAT) i pozyskiwanie danych uwierzytelniających z różnych przeglądarek.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Badacze odkryli złośliwe oprogramowanie napisane w języku Lua, o nazwie ‘fast16’, które istniało lata przed słynnym robakiem Stuxnet. Działanie ‘fast16’ polegało na celowaniu w oprogramowanie do precyzyjnych obliczeń w celu manipulowania ich wynikami, co mogło prowadzić do sabotażu fizycznych systemów. To odkrycie przesuwa datę powstania zaawansowanych narzędzi do cyber sabotażu skierowanych przeciwko fizycznym celom na połowę lat dwutysięcznych.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Agencja CISA ujawniła, że atak APT wykorzystał niezałataną lukę w zabezpieczeniach urządzeń Cisco Firepower, instalując backdoor FIRESTARTER, który umożliwia zdalny dostęp i utrzymanie obecności nawet po zainstalowaniu poprawek bezpieczeństwa. Złośliwe oprogramowanie, będące elementem szerszej kampanii, wykorzystuje również zestaw narzędzi LINE VIPER do wykonywania poleceń i utrzymania dostępu po eksploatacji luk takich jak CVE-2025-20333.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Chińscy użytkownicy padają ofiarą kampanii wykorzystującej trojanizowaną wersję SumatraPDF do dystrybucji agenta post-eksploatacyjnego AdaptixC2, co umożliwia atakującym zdalny dostęp przez tunele VS Code. Kampania, przypisywana grupie Tropic Trooper, wykorzystuje GitHub jako platformę C2, a wdrożenie kolejnych etapów ataku jest ukrywane za pomocą dokumentów-przynęt i modyfikowanego loadera TOSHIS.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Badacze cyberbezpieczeństwa odkryli nowy niszczycielski program typu data wiper, nazwany Lotus Wiper, który na przełomie 2025 i 2026 roku atakował sektor energetyczny w Wenezueli. Złośliwe oprogramowanie wymazuje mechanizmy odzyskiwania danych, nadpisuje zawartość dysków fizycznych i systematycznie usuwa pliki, pozostawiając systemy w stanie nieoperacyjnym, bez żadnych żądań okupu, co sugeruje motywację inną niż finansową.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Zidentyfikowano nowe złośliwe oprogramowanie ZionSiphon, które zostało zaprojektowane specjalnie do atakowania izraelskich systemów uzdatniania wody i odsalania, łącząc możliwości eskalacji uprawnień, utrwalenia, rozprzestrzeniania przez USB oraz skanowania ICS z funkcjami sabotażu, co wskazuje na rosnące eksperymenty z politycznie motywowanymi atakami na infrastrukturę krytyczną na świecie. Chociaż oprogramowanie to wciąż jest w fazie rozwoju i nie jest w pełni funkcjonalne, jego celem są konkretne adresy IP w Izraelu, a jego działanie opiera się na protokołach Modbus, DNP3 i S7comm, z największym naciskiem na Modbus.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)