Tags

626 stron

The Hackers News

144 pakiety npm Mastra skompromitowane przez przejęte konto współtwórcy

144 pakiety npm Mastra, frameworka AI, skompromitowano w ataku easy-day-js przez przejęcie konta współtwórcy. Wprowadzono trojana kradnącego kryptowaluty.

W wyniku ataku na łańcuch dostaw oprogramowania, znanego jako easy-day-js, skompromitowano 144 pakiety npm z przestrzeni nazw Mastra, popularnego frameworka AI. Atak polegał na masowym publikowaniu złośliwych pakietów z jednego konta, które udawały czystą bibliotekę “dayjs”, ale w rzeczywistości zawierały trojana kradnącego kryptowaluty i inne wrażliwe dane, wykorzystując automatyzację i techniki maskowania, aby wymazać ślady.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

CISA ostrzega o aktywnie wykorzystywanej luce w Joomla JCE umożliwiającej wykonanie kodu PHP

CISA ostrzega przed poważną luką w Joomla JCE umożliwiającą wykonanie kodu PHP. Błąd jest aktywnie wykorzystywany przez hakerów. Aktualizacja jest pilnie zalecana.

Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) dodała lukę o najwyższym priorytecie dotyczącą rozszerzenia Joomla Content Editor (JCE) do katalogu znanych luk wykorzystywanych w atakach, wskazując na dowody aktywnej eksploatacji. Błąd kontroli dostępu (CVE-2026-48907, CVSS 10.0) pozwala nieautoryzowanym użytkownikom na tworzenie profili edytora, co umożliwia wgrywanie i wykonywanie kodu PHP, co jest już aktywnie wykorzystywane do tworzenia backdoorów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Podatność SDK Google Vertex AI umożliwiała przejęcie modelu przez atak typu 'bucket squatting'

Podatność w SDK Google Vertex AI pozwalała na przejęcie modeli AI. Atakujący mogli wykonać kod w infrastrukturze Google. Zalecono aktualizację.

Odkryto poważną podatność w Google Vertex AI SDK dla Pythona, która pozwalała atakującym na przejęcie procesu wgrywania modeli uczenia maszynowego i wykonanie złośliwego kodu w infrastrukturze Google Cloud, wykorzystując technikę ‘Pickle in the Middle’. Dotyczy to sytuacji, gdy użytkownik nie określił dedykowanego bucketu do przechowywania tymczasowego, co pozwalało atakującemu na wcześniejsze utworzenie oczekiwanej nazwy bucketu w swoim projekcie i podmianę wgranego modelu na złośliwy. Google załatało problem w wersji 1.148.0 SDK, zalecając aktualizację oraz ustawienie własnych bucketów do przechowywania tymczasowego.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Kampanie ClickFix rozszerzają dystrybucję złośliwego oprogramowania za pomocą nowych loaderów i fałszywych aktualizacji

Kampanie ClickFix wykorzystują nowe loadery złośliwego oprogramowania, takie jak BabaDeda, Lorem Ipsum i Potemkin, do dystrybucji zagrożeń, celując w kluczowe sektory.

Badacze cyberbezpieczeństwa zidentyfikowali kampanie ClickFix wykorzystujące nowe shadery złośliwego oprogramowania, takie jak BabaDeda Loader, Lorem Ipsum Loader i Potemkin, do celowania w organizacje edukacyjne i finansowe. Ataki te, wykorzystujące inżynierię społeczną i zaawansowane techniki omijania zabezpieczeń, dostarczają modułowe frameworki złośliwego oprogramowania zdolne do kradzieży danych, zdalnego dostępu i wdrażania ransomware, adaptując się do zmian w krajobrazie zagrożeń i ewolucji metod obronnych.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Nowy trojan bankowy Rokarolla na Androida kradnie PIN-y, kody SMS i środki z portfeli kryptowalutowych

Nowy trojan Rokarolla na Androida kradnie dane uwierzytelniające, kody SMS i środki z portfeli kryptowalutowych poprzez fałszywe strony i nadużywanie dostępu ułatwień dostępu.

Zidentyfikowano nowy trojan bankowy na Androida o nazwie Rokarolla, który atakuje 217 aplikacji bankowych i kryptowalutowych, oferując operatorowi niemal całkowitą kontrolę nad zainfekowanym telefonem. Wykrada PIN-y ekranu blokady, czyta i wysyła SMS-y, przechwytuje płatności kryptowalutowe poprzez przekierowania schowka i wyłącza Google Play Protect, rozprzestrzeniając się za pomocą fałszywych stron udających znane aplikacje.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Ankieta: 94% incydentów obejmuje zanonimizowaną infrastrukturę. Zespoły nadal reagują

Badanie pokazuje, że 94% incydentów bezpieczeństwa wykorzystuje VPN i proxy. Zespoły reagują, zamiast działać proaktywnie.

Według badania Spur Intelligence, 94% incydentów bezpieczeństwa wiąże się z wykorzystaniem zanonimizowanej infrastruktury, takiej jak VPN czy sieci proxy. Mimo rosnącej ilości dostępnych danych, zespoły bezpieczeństwa wciąż borykają się z brakiem widoczności, kontekstu i odpowiednich procesów, co prowadzi do reaktywnego podejścia do zarządzania ryzykiem IP.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Atakujący wykorzystują trzy luki w Fortinet FortiSandbox, jedna załatana w zeszłym tygodniu

Trzy luki w Fortinet FortiSandbox są aktywnie wykorzystywane przez atakujących. Dwie załatane w kwietniu, jedna w zeszłym tygodniu. Obawy o AI w tworzeniu exploitów.

Firma Defused Cyber zaobserwowała, że cyberprzestępcy wykorzystują trzy luki bezpieczeństwa (CVE-2026-39813, CVE-2026-39808, CVE-2026-25089) w produktach Fortinet FortiSandbox, z których dwie zostały załatane w kwietniu 2026 roku, a najnowsza w poprzednim tygodniu. Luki te pozwalają na obejście uwierzytelnienia, wykonanie kodu lub komend systemu operacyjnego, a jedna z nich może być dziełem modelu AI.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Chiński backdoor SprySOCKS rozszerza się na Windows z wykorzystaniem sterownika kernel

Chiński backdoor SprySOCKS ewoluuje na Windows, wykorzystując sterowniki kernel do zaawansowanego ukrywania. Odkryto nowe warianty WIN_DRV i WIN_PLUS.

Odkryto nowe warianty backdoora SprySOCKS działającego na systemie Windows, o nazwach WIN_DRV i WIN_PLUS, które wcześniej uważano za przeznaczone wyłącznie dla Linuksa. Te nowe wersje, rozwijane przez chińską grupę hakerską powiązaną z Earth Lusca, wykorzystują sterowniki kernel do ukrywania swojej obecności i sieciowych połączeń, oferując szeroki zakres funkcji od szpiegostwa po zarządzanie plikami i procesami, potencjalnie wykorzystując luki bezpieczeństwa w celu infekcji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Fałszywe alerty Microsoftu do dystrybucji złośliwego oprogramowania NarwhalRAT z Korei Północnej

Grupa ScarCruft z Korei Północnej wykorzystuje fałszywe alerty Microsoftu do dystrybucji złośliwego oprogramowania NarwhalRAT.

Grupa hakerska ScarCruft sponsorowana przez Koreę Północną wykorzystuje wiadomości phishingowe podszywające się pod alerty bezpieczeństwa konta Microsoft, aby dostarczyć złośliwe oprogramowanie NarwhalRAT. Malware, ukryte w archiwum ZIP zawierającym złośliwy plik LNK, jest przeznaczone do kradzieży danych, w tym naciśnięć klawiszy i zrzutów ekranu, wykorzystując do komunikacji zarówno dedykowane serwery, jak i usługi chmurowe.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Cisco wydaje aktualizacje bezpieczeństwa dla aktywnie wykorzystywanej luki w SD-WAN Manager

Cisco łata lukę w SD-WAN Manager, która pozwala na tworzenie i nadpisywanie plików. Aktualizacje dostępne dla wielu wersji produktu.

Firma Cisco opublikowała poprawki bezpieczeństwa dla luki o średnim priorytecie w swoim rozwiązaniu Catalyst SD-WAN Manager, która jest aktywnie wykorzystywana przez atakujących. Luka CVE-2026-20262 pozwala uwierzytelnionym zdalnym atakującym na tworzenie lub nadpisywanie plików w systemie, co może prowadzić do eskalacji uprawnień do poziomu root, o ile atakujący posiada już odpowiednie poświadczenia.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)