Хакери підробляють Gemini CLI та Claude Code через SEO-отруєнняРозробників атакують через фальшиві сторінки встановлення Gemini CLI та Claude Code. Кампанію виявили аналітики EclecticIQ: зловмисники просувають шкідливі сайти в пошуку, щоб вони мали вигляд офіційних інструкцій.Користувач шукає, як встановити інструмент, переходить на підроблену сторінку й копіює PowerShell-команду у термінал. Для Gemini CLI вона завантажує Install.ps1 із gemini-setup[.]com, а справжній npm-пакет встановлюється паралельно, тому підміна непомітна.Шкідливий скрипт працює лише у пам’яті й не записує файли на диск. Він обходить частину захисту Windows, збирає облікові дані, OAuth-токени, CI/CD-секрети, VPN-дані та сесійні cookies із робочих сервісів.Такі cookies можуть дати доступ до корпоративних просторів навіть без пароля й MFA. Це не вразливість у Gemini CLI чи Claude Code, а соціальна інженерія.Рекомендації для користувачів: • Встановлюйте інструменти лише з офіційної документації. • Перевіряйте домени перед запуском команд. • Моніторте PowerShell-команди з шаблоном irm | iex.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews #cybersecurity #itspecialist
Showboat атакує Linux-системи телеком-провайдера на Близькому СходіДослідники Lumen Technologies Black Lotus Labs розкрили деталі шкідливого ПЗ Showboat для Linux. Його використовують проти телеком-провайдера на Близькому Сході з середини 2022 року.Showboat працює як модульний інструмент після компрометації системи. Він може створювати віддалену оболонку, передавати файли, ховатися у списку процесів і діяти як SOCKS5-проксі.Після запуску шкідливе ПЗ зв’язується із C2-сервером, збирає дані про систему та надсилає їх у зашифрованому вигляді. Через SOCKS5-проксі зловмисники можуть переходити до інших пристроїв у локальній мережі, навіть якщо вони недоступні з інтернету.Кампанію пов’язують із кластерами активності, афілійованими з Китаєм, зокрема Calypso, також відомим як Bronze Medley та Red Lamassu. Точний спосіб первинного доступу поки невідомий.Рекомендації для користувачів: • Перевірте Linux-сервери на підозрілі ELF-файли та приховані процеси. • Обмежте вихідні з’єднання до невідомих C2-серверів. • Контролюйте SOCKS5-проксі та сегментуйте локальну мережу.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews #cybersecurity #itspecialist
Ghostwriter атакує держоргани України через фішинг під виглядом PrometheusУрядові організації України стали ціллю кампанії Ghostwriter, також відомої як UAC-0057 та UNC1151. За даними CERT-UA, атаки тривають із весни 2026 року, а листи надходять зі зламаних облікових записів.Зловмисники маскують повідомлення під темою платформи Prometheus. У листі є PDF-файл із посиланням на ZIP-архів із JavaScript-файлом.Після запуску OYSTERFRESH показує фальшивий документ і записує зашифрований OYSTERBLUES у реєстр Windows. Модуль OYSTERSHUCK розшифровує його та запускає наступний етап атаки.OYSTERBLUES збирає ім’я комп’ютера, обліковий запис, версію ОС і список процесів. Дані йдуть на сервер через HTTP POST. Далі система очікує подальших відповідей, що містять JavaScript-код, який виконується за допомогою функцій eval(). Остаточним фінальним навантаженням є Cobalt Strike – фреймворк, який часто використовується для симуляції дій зловмисників після успішної експлуатації системи.Окремого патча немає: це фішингова кампанія, а не вразливість у продукті.Рекомендації для користувачів: • Обмежте запуск wscript.exe для звичайних користувачів. • Перевіряйте PDF-файли й посилання навіть із довірених адрес. • Увімкніть багатофакторну автентифікацію та моніторинг скриптів.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
Microsoft відкрила RAMPART і Clarity для безпечної розробки AI-агентівКомпанія представила два відкриті інструменти — RAMPART і Clarity. Вони допомагають командам перевіряти безпеку AI-агентів ще під час розробки, а не лише після запуску.RAMPART — це фреймворк для тестування безпеки AI-агентів на базі Pytest та PyRIT. Він дозволяє створювати сценарії, які імітують атаки або перевіряють поведінку агента у ризикових ситуаціях.Зокрема, інструмент допомагає виявляти непрямі prompt injection, коли недовірені дані потрапляють до AI-системи через файл, електронний лист або вебсторінку. Також RAMPART може перевіряти ризики витоку даних і небажані зміни поведінки.Clarity працює на етапі проєктування. Він допомагає командам уточнювати цілі, перевіряти припущення, аналізувати можливі збої та фіксувати рішення до написання коду.Рекомендації для користувачів:• Тестуйте AI-агентів на етапі розробки, а не лише перед релізом.• Перевіряйте доступ агентів до файлів, пошти, вебсторінок та зовнішніх інструментів.• Документуйте ризики, припущення й рішення щодо безпеки.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
Вразливість Drupal Core відкриває шлях до атак на сайти з PostgreSQLDrupal випустив оновлення безпеки для CVE-2026-9082 у Drupal Core. Проблема стосується сайтів із базою даних PostgreSQL і може призвести до витоку даних, підвищення привілеїв або віддаленого виконання коду.Вразливість отримала оцінку CVSS 6.5. Вона міститься в API абстракції бази даних, який Drupal Core використовує для перевірки запитів і захисту від SQL-ін’єкцій.Через помилку зловмисник може надсилати спеціально сформовані запити та виконувати довільну SQL-ін’єкцію. Drupal зазначає, що експлуатація можлива навіть для анонімних користувачів, якщо сайт працює з PostgreSQL.Виправлення доступні у Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 та 10.4.10. Drupal 7 не вразливий, але гілки розробки 8 і 9 вже не підтримуються. Для них опубліковані лише тимчасові патчі без повного покриття безпеки.Рекомендації для користувачів:• Оновіть Drupal до підтримуваної виправленої версії.• Перевірте, чи використовує сайт PostgreSQL.• Не залишайте Drupal 8/9 у продуктивному середовищі без плану міграції.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
Microsoft попереджає про дві вразливості Defender, які використовують в атакахКомпанія повідомила про активну експлуатацію двох вразливостей у Defender. Одна дозволяє підвищити привілеї до SYSTEM, інша — може спричинити відмову в обслуговуванні.CVE-2026-41091 отримала оцінку CVSS 7.8. Проблема пов’язана з некоректною обробкою посилань перед доступом до файлів. Якщо зловмисник має локальний доступ до системи, він може використати помилку для підвищення привілеїв.Друга вразливість — CVE-2026-45498 із CVSS 4.0. Вона впливає на Microsoft Defender і може порушити роботу захисного компонента.Обидві проблеми внесені CISA до каталогу Known Exploited Vulnerabilities. Microsoft виправила їх у версіях Defender Antimalware Platform 1.1.26040.8 та 4.18.26040.7. Оновлення зазвичай встановлюються автоматично, але варто перевірити версію вручну.Рекомендації для користувачів:• Перевірте останні оновлення Defender.• Переконайтеся, що антивірусні бази та Malware Protection Engine оновлюються автоматично.• Обмежте локальні права користувачів і контролюйте підозрілу активність.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
GitHub розслідує витік понад 3800 внутрішніх репозиторіївGitHub перевіряє несанкціонований доступ до внутрішніх репозиторіїв після заяви угруповання TeamPCP про продаж вихідного коду та даних внутрішніх організацій компанії на кіберзлочинному форумі.За інформацією GitHub, інцидент пов’язаний зі зламом пристрою співробітника та шкідливим розширенням для Microsoft Visual Studio Code. Зловмисники могли отримати доступ лише до внутрішніх репозиторіїв GitHub. Доказів впливу на клієнтські організації, репозиторії чи дані користувачів зараз немає.Компанія вже локалізувала інцидент, розпочала екстрену ротацію критичних секретів і моніторить інфраструктуру на предмет подальшої активності. GitHub також заявила, що повідомить клієнтів через офіційні канали, якщо буде виявлено будь-який вплив на їхні дані.Рекомендації для користувачів:• Перевіряти розширення для середовищ розробки перед встановленням.• Вчасно оновлювати інструменти розробника та видаляти непотрібні плагіни.• Використовувати багатофакторну автентифікацію й регулярно оновлювати токени доступу.🔗Дізнайтеся більше за посиланням ПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
Шкідливе ПЗ fast16 роками фальсифікувало результати ядерних випробуваньФахівці Symantec та Carbon Black опублікували аналіз інструменту промислового саботажу fast16 на базі Lua. Дослідження підтвердило, що це шкідливе ПЗ було розроблене для прихованого викривлення результатів випробувань ядерної зброї.Ціль атаки — інженерний софт LS-DYNA та AUTODYN для моделювання вибухів. Вірус підміняв математичні розрахунки лише тоді, коли щільність матеріалу в симуляції перевищувала 30 г/см³ (поріг стиснення урану під час ядерного вибуху). ПЗ автоматично поширювалося локальною мережею, щоб усі сусідні інженерні станції видавали однакові хибні дані, але при цьому вірус не інфікував системи з певними встановленими продуктами безпеки.Розробку fast16 розпочали ще у 2005‑му — за два роки до появи відомого хробака Stuxnet. Інструмент згадувався у витоках The Shadow Brokers і пов’язується з угрупованням Equation Group.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
Microsoft підтвердила експлуатацію XSS-вразливості CVE-2026-42897 в Exchange ServerMicrosoft розкрила нову вразливість високого рівня (CVSS: 8.1 High) CVE-2026-42897 у локальних версіях Exchange Server. Корпорація офіційно позначила загрозу як таку, що вже експлуатується зловмисниками.Проблема виникає через некоректну нейтралізацію вхідних даних під час генерації вебсторінок (XSS), що створює умови для проведення спуфінг-атаки. Вектор атаки реалізується через спеціально створений електронний лист. Якщо жертва відкриває його у клієнті Outlook Web Access та виконує певні дії, хакер отримує можливість запустити довільний JavaScript-код безпосередньо в контексті браузера. Хто саме стоїть за кібератаками та які масштаби інцидентів — наразі невідомо.Загроза стосується виключно локальних серверів Exchange 2016, 2019 та Subscription Edition на будь-якому рівні оновлень. Хмарний сервіс Exchange Online залишається захищеним. Поки розробляється патч, Microsoft активувала тимчасовий захист: служба Exchange Emergency Mitigation автоматично блокує експлуатацію шляхом перезапису небезпечних URL-адрес.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
Злам на 3,65 ТБ: розробник Canvas заплатив викуп хакерам ShinyHuntersАмериканська компанія Instructure, яка володіє популярною освітньою платформою Canvas, уклала угоду з угрупованням ShinyHunters. Щоб запобігти витоку викрадених даних, розробник пішов на суперечливий крок і заплатив вимагачам викуп.Хакери проникли в мережу через неуточнену вразливість у системі запитів до служби підтримки середовища Free-for-Teacher і викрали 3,65 ТБ інформації. Атака зачепила майже 9 тисяч навчальних закладів: до рук зловмисників потрапило близько 275 мільйонів записів (імена, email-адреси, дані про реєстрацію та повідомлення). Під час другої хвилі атаки хакери навіть розмістили повідомлення про викуп на сторінках входу до Canvas у 330 інститутах.Instructure стверджує, що отримала від хакерів «цифрове підтвердження» знищення інформації. Вразливі акаунти тимчасово заблоковані, а токени доступу скинуті. Проте експерти з безпеки попереджають, що викрадених даних цілком достатньо для проведення потужних цілеспрямованих фішингових атак проти студентів і викладачів.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
