Опрос
|
реклама
Быстрый переход
Обнаружен бэкдор-призрак Mistic — он исчезает после взлома и открывает путь вымогателям
26.06.2026 [13:41],
Павел Котов
Самоуничтожающийся бэкдор Mistic, также известный как MLTBackdoor, который используется в кибератаках с апреля, вероятно, связан с группировкой киберпреступников, которая взламывает корпоративные сети, а затем продаёт доступ к ним вымогателям, сообщают исследователи в области кибербезопасности. 
Источник изображения: Kevin Ku / unsplash.com Первой о бэкдоре сообщили в компании Zscaler — эксперты предположили, что новый вредонос, «вероятно, используется в атаках с применением вымогательского ПО для создания точки доступа и горизонтального распространения». За последние месяцы он применялся для доступа к сетям нескольких организаций, в том числе в страховой, образовательной и технологической сферах, сообщили специалисты Symantec и Carbon Black. «Mistic может быть связан с брокером начального доступа, преследующим финансовые цели и отслеживаемым публично как KongTuke (или Woodgnat), и он использовался в одном из вторжений, в котором также участвовала разработанная этой группировкой троянская программа удалённого доступа ModeloRAT», — заявили они. Такие группировки не развёртывают в скомпрометированных системах большого числа вредоносных программ — они только взламывают системы компаний и продают этот доступ другим киберпреступникам, в том числе группировкам, которые занимаются вирусами-вымогателями. Ранее KongTuke связывали с атаками различных группировок, специализирующихся на вирусах-вымогателях, в том числе Qilin, Interlock, Rhysida, Akira, 8Base и Black Basta. В одном из случаев Mistic проникал через легитимный файл MpExtMs.exe и загружался из библиотеки EndpointDlp.dll. Mistic обладает стандартными функциями бэкдора: загружает, скачивает, переименовывает и удаляет файлы. Он также может создавать новые папки и проверять наличие дополнительных команд с контролируемого злоумышленником сервера. Полезные нагрузки он может загружать непосредственно в оперативную память, не записывая вредоносные файлы на диск, обходя тем самым обнаружение при помощи антивирусов. Обладая встроенным «аварийным выключателем», он обеспечивает злоумышленниками скрытый долгосрочный доступ, предупреждают эксперты. Китайские USB-флешки уличили в распространении вирусов — они были заражены ещё на производстве
26.06.2026 [13:37],
Алексей Разин
Издание Nikkei на этой неделе рассказало о выявленных в инфраструктуре Сухопутных сил самообороны Японии случаях заражения обособленных от информационных сетей компьютеров через подключение USB-флешек одного китайского производителя. Помимо Японии, жалобы на наличие вирусов на покупаемых в интернет-магазинах флешках были обнаружены и в США. 
Источник изображения: Unsplash, Markus Winkler Ещё в апреле представители Nikkei провели анализ 8400 отзывов на сотню самых популярных USB-флешек в интернет-магазине Amazon. Они обнаружили две жалобы на заражённые «на заводе» китайские флешки в японском сегменте торговой площадки, а в американском их количество с 2017 по 2025 год достигло 23 штук, причём основная часть сообщений пришлась именно на 2024 год. В случае с Силами самообороны Японии заражённые флешки эксплуатировались её представителями с 2024 года на протяжении почти года, прежде чем факт заражения был выявлен в феврале 2025 года. По словам одного из американских покупателей инфицированных китайских USB-флешек, вирус был обнаружен средствами защиты на абсолютно новом компьютере после первого подключения носителя. В этом году подобные жалобы тоже наблюдались. По словам японских покупателей, заражённые флешки содержат несколько файлов с иностранными наименованиями, которые невозможно удалить. Американские эксперты в области кибербезопасности определили, что обнаруженный на флешках китайского производителя вирус ранее использовался одной из хакерских группировок, предположительно связанной с КНР. Японские собеседники Nikkei пояснили, что оборудование на производстве и в исследовательских лабораториях обычно отключено от глобальных информационных сетей в целях безопасности, поэтому заражение через порт USB применяется при атаках на инфраструктуру довольно часто. Эксперты поясняют, что заражение флешек на китайском предприятии по их производству могло носить и непреднамеренный характер, и было допущено в силу халатного отношения к вопросам информационной безопасности. Такие «сюрпризы» ранее находились и на картах памяти, которые промышленные заказчики в Японии приобретали в Китае для своих нужд. Нередко при этом носители информации имеют меньшую фактическую ёмкость, чем заявлено, и это не всегда можно выявить при первом подключении. Вирус AryStinger захватил тысячи маршрутизаторов D-Link и Linksys, а также NAS-хранилищ QNAP
23.06.2026 [17:00],
Павел Котов
В Сети разворачивается кампания по созданию разведывательной и прокси-сети на основе ботнета, в который включаются заражённые устаревшие маршрутизаторы D-Link и Linksys, а также сетевые хранилища QNAP, сообщили эксперты в области кибербезопасности QiAnXin Xlab. 
Источник изображения: Rohan / unspalsh.com Чаще всего жертвами атаки оказываются устаревшие и снятые с поддержки маршрутизаторы, преимущественно модели Link и Linksys, которые работают на чипах Realtek RTL819X — эти устройства были популярны в период с 2012 по 2015 год. Злоумышленники эксплуатируют две столь же устаревшие уязвимости: CVE-2013-3307 в моделях Linksys и CVE-2016-5681 в моделях D-Link — они позволяют заражать устройства вирусом AryStinger. AryStinger, по оценке исследователей, используется на этапах разведки и планирования более серьёзных кибератак. Заражённые устройства сканируют интернет, устанавливают доступные службы на серверах, составляют списки поддоменов, туннелируют трафик и выполняют команды по запросу, скрывая местоположение и личность операторов ботнета. Присутствие AryStinger на маршрутизаторе равносильно «невидимому подслушивающему устройству» и «трамплину для атаки» в той же сети, предупреждают эксперты. К настоящему моменту вирусом AryStinger заражены около 4300 маршрутизаторов — это число не окончательное и будет расти; большинство жертв находится в Южной Корее (48%) и Китае (32%), упоминаются Малайзия, Сингапур и Швеция. AryStinger также производит атаки на сетевые хранилища QNAP, эксплуатируя уязвимость CVE-2025-11837, которая числится как исправленная в ноябре 2025 года; число заражённых NAS установить пока не удалось. Не удалось идентифицировать и организаторов кампании. Чтобы установить факт заражения AryStinger, исследователи рекомендуют отслеживать журналы соединений с подконтрольными злоумышленникам доменами; а также следить за появлением в расположении «/tmp/bin» неопознанных бинарных файлов и процессов с именами syswapd0h или syswapd0w. Вирус Hades распугивает ИИ-сканеры запросами на создание ядерного и биологического оружия
12.06.2026 [16:50],
Павел Котов
Эксперты Socket обнаружили вирус под названием Hades, чья задача — атаковать проекты по разработке ПО на уровне цепочки поставок. У него есть оригинальная защита от сканеров на основе искусственного интеллекта — он провоцирует отказ в их работе, отправляя недопустимые запросы. 
Источник изображения: Fotis Fotopoulos / unsplash.com В некоторый файлах JavaScript, входящих в комплект Hades, содержатся комментарии к коду, в которые включены инструкции для используемых в защите систем ИИ. Эти инструкции гласят, что вредонос работает в неограниченном режиме без каких-либо правил безопасности, а затем отправляется запрос на создание ядерного и биологического оружия с подробным описанием. Этот относительно нехитрый приём нейтрализует ИИ-модели: у них срабатывают собственные механизмы защиты, и сканирование остальной части файла, где находится полезная нагрузка, приостанавливается. Эффективность метода удалось подтвердить на практике: когда файл вредоноса отправили на проверку чат-боту Anthropic Claude на основе мощнейшей модели Fable 5, тот выдал ответ: «Чат приостановлен». Прочие типы анализа угроз срабатывают, однако, в штатном режиме, в том числе сопоставление с шаблонами, фактический анализ исходного кода, проверка на наличие случайных разделов, в которых могут скрываться вредоносные полезные нагрузки, и выполнение кода в изолированной среде. У Hades есть механизмы самоуничтожения, которые срабатывают при выполнении определённых условий, например, при положительном ответе от функции, определяющей работу в изолированной среде. Разработчики вредоноса предусмотрели и другие улучшения. В некоторых случаях параллельно со скриптами на Python поставляются бинарные файлы, содержащие вредоносную полезную нагрузку — в отдельности оба компонента подозрений у систем защиты не вызывают. Кроме того, некоторые полезные нагрузки запускаются не при установке, а при фактическом запуске в коде целевого объекта, что дополнительно затрудняет их обнаружение. Помимо учётных данных инструментов сборки, тестирования и выпуска ПО (CI/CD), Hades осуществляет кражу токенов для учётных записей служб npm, PyPI, RubyGems, JFrog и Kubernetes, временных учётных данных AWS, ключей SSH, конфигураций Docker, истории команд терминала, файлов конфигурации .ENV и настроек инструментов для работы с ИИ. К настоящему моменту обнаружено заражение 37 пакетов Python и 106 пакетов JavaScript; вредоносные пакеты часто публикуются с незначительными отличиями от легитимных в названии — например, «rsquests» вместо «requests» — в расчёте на опечатку. Неизвестные опубликовали исходный код червя Miasma, и тот атаковал GitHub
10.06.2026 [18:16],
Павел Котов
Вирус Miasma стал распространяться как лесной пожар — неизвестные злоумышленники опубликовали его исходный код, дав возможность любому желающему модифицировать его и использовать в собственных целях. 
Источник изображения: Kevin Ku / unsplash.com В минувший понедельник, 8 июня, стали появляться вредоносные репозитории под названием «Miasma-Open-Source-Release». Администрация GitHub удаляет их, но эксперты SafeDep успели изучить один из проектов и установить, что это больше чем червь для атаки на цепочку поставок. Он позволяет оператору осуществлять «различные атаки с использованием украденных учётных данных против произвольных и целевых пакетов на общедоступных платформах, в том числе PyPI, npm, RubyGems, JFrog Artifactory, а также в репозиториях GitHub и механизмах GitHub Actions, отравлять конфигурации средств программирования с искусственным интеллектом, горизонтально перемещаться по SSH и осуществлять другие векторы атак». Первой подобный «подвиг» совершила хакерская группировка TeamPCP, которая открыла исходный код миничервя Shai-Hulud и объявила конкурс на проведение атак на цепочки поставок. Действующий схожим образом червь Miasma начал с того, что заразил более сотни проектов Red Hat и Microsoft, после чего начал распространяться на других жертв — по состоянию на вторник эксперты Socket отследили 473 поражённых пакета. Исходный код Miasma опубликован от имени четырёх пользователей, ранее подвергшихся взлому. С момента публикации исходного кода не удалось зафиксировать фактов использования Miasma в качестве оружия. 
Источник изображения: Philipp Katzenberger / unsplash.com Интересной особенностью обоих этих червей является то, что для их работы не требуется запускать отдельный сервер для управления и контроля (C2) — все соответствующие функции реализуются штатными средствами платформы GitHub. В итоге службе безопасности «приходится работать ближе к протоколу приложения, чтобы выявлять поведенческие, а не сетевые аномалии». Управляющие команды прячутся в публичных коммитах GitHub, которые обнаруживаются штатными средствами поиска по специальным меткам. Метке «DontRevokeOrItGoesBoom» сопутствует принадлежащий злоумышленнику персональный токен доступа (PAT), зашифрованный с помощью AES-256-CBC — эти данные используются для отправки похищенных червём учётных данных и другой конфиденциальной информации. Метке «TheBeautifulSandsOfTime» сопутствует код JavaScript, который проверяется один раз при запуске и после проверки полезная нагрузка выполняется через eval() — функцию, которая запускает выполнение текстовой строки как кода. Наконец, c меткой «firedalazer» поставляются URL-адреса скриптов на Python для осуществления мониторинга. Все три канала доступны без авторизации, используют общедоступный API поиска коммитов на GitHub, а также разные ключи проверки и расшифровки, то есть компрометация одного не даёт возможности скомпрометировать два других. Разработанную ИИ вакцину впервые испытали на людях
06.06.2026 [16:25],
Павел Котов
Разработанная при участии искусственного интеллекта новая вакцина успешно показала себя в первоначальных клинических испытаниях. Это первый случай, когда вакцину с активным компонентом, полностью разработанным с помощью компьютерного моделирования, испытали на людях. 
Источник изображения: Mufid Majnun / unsplash.com Препарат разработали учёные Кембриджского университета и входящей в него компании DIOSynVax — универсальная вакцина против сарбековирусов проявила себя как безопасная и не имеющая значительных побочных эффектов. В её испытании приняли участие 39 здоровых добровольцев. Основу вакцины составил разработанный с помощью ИИ «суперантиген», теоретически способный обеспечить длительную защиту от широкого спектра вирусов в рамках данного семейства, даже по мере их мутации. Этот подход в перспективе можно будет применить к целым группам вирусов, таким как вирусы Эбола. Сарбековирусы — это группа коронавирусов, в которую входят COVID-19 и SARS (атипичная пневмония). Для разработки суперантигена использовались алгоритмы машинного обучения, которые помогли проанализировать данные генетической последовательности, — суперантиген содержит общие черты всей группы сарбековирусов, в том числе штаммов, которые ещё не появились. Антиген — активная составляющая вакцины, вызывающая иммунный ответ у человека. Обычно используют антигены, взятые из уже существующих конкретных вирусов, поэтому новый подход является новаторским. Он избавит учёных от «постоянного цикла поиска вариантов вирусов, которые циркулируют среди людей», отметили авторы проекта. На втором этапе испытаний будет оцениваться способность вакцины вызывать защитный иммунный ответ у «более широкой и разнообразной популяции». В последние годы фармацевтические гиганты, в том числе Eli Lilly, AstraZeneca и Novartis, заключили ярд многомиллиардных сделок с компаниями, которые ведут разработку препаратов с помощью ИИ. В 2021 американский биотехнологический стартап Recursion вышел на биржу, и впоследствии его оценка превысила $5 млрд. Вредоносный мод для Minecraft заразил 116 000 компьютеров и продавал доступ к веб-камерам жертв
05.06.2026 [18:28],
Игнатий Колыско
Специалисты компании McAfee Labs раскрыли масштабную хакерскую кампанию, направленную на поклонников популярной блоковой песочницы Minecraft. Злоумышленники научились распространять вредоносный код WeedHack под видом бесплатных модификаций и в составе альтернативных игровых клиентов. 
Источник изображения: McAfee Labs С начала 2026 года эксперты по кибербезопасности зафиксировали более 116 тысяч случаев успешного проникновения в чужие системы, при этом ежедневно в ловушку попадают от двух до трёх тысяч новых жертв. Главная опасность этого хакерского инструмента кроется в его невероятной дешевизне и простоте использования. Создатели WeedHack превратили свой продукт в аналог легального сервиса по подписке с удобной панелью управления. При этом базовый набор скриптов может бесплатно получить любой владелец аккаунта в Discord, а всего за пять долларов разработчики выдают премиум-статус. За эту скромную сумму покупатель может удалённо воровать пароли, читать личные файлы и тайно включать веб-камеру на заражённом устройстве. Нужно понимать, что столь низкий порог входа привлёк к платформе огромное количество школьников и студентов. Изучая переписку в Telegram-канале создателей вируса, исследователи заметили пугающую тенденцию: молодёжь массово использует этот хакерский софт не ради кражи банковских данных, а для издевательств над сверстниками. Юные агрессоры без спроса записывают других игроков на видео через их же веб-камеры, хвастаются этими роликами в публичных чатах как трофеями и откровенно шантажируют жертв, вычисляя их реальное местоположение. На сегодняшний день администрация мессенджера уже удалила основное сообщество нарушителей, в котором состояли около 850 человек. Хакеры теперь требуют с российских компаний по 50 млн рублей за данные и молчание — а потом охотно торгуются
28.05.2026 [16:05],
Павел Котов
С июня 2025 по май 2026 года требуемая хакерами медианная сумма выкупа за краденные у компаний данные, составила 50 млн руб. в криптовалюте. Об этом сообщили «Ведомости» со ссылкой на исследование RED Security SOC. 
Источник изображения: Towfiqu barbhuiya / unsplash.com Специалисты RED Security SOC изучили более сотни инцидентов и проанализировали активность хакерских группировок на закрытых площадках и теневых форумах в даркнете. Почти в половине случаев сумма выкупа превышает 100 млн руб.; максимальная затребованная хакерами за минувший год сумма составила 330 млн руб.; восемь из десяти компаний вступают в переговоры с киберпреступниками и, как правило, добиваются сокращения суммы выкупа до 15–20 млн руб. Рекорд в январе 2025 года поставили хакеры CyberSec’s, которые потребовали за расшифровку данных 500 млн руб. (50 биткоинов на тот момент), сообщили в F6. В среднем киберпреступники требовали от 4 млн до 40 млн руб.; жертвам удавалось добиться уменьшения суммы выкупа на 30–50 %. Подобную «гибкость» со стороны хакеров эксперты объясняют практическими соображениями: вымогателям важно гарантированно получить средства, а не устраивать затяжные переговоры. Начальная сумма может намеренно завышаться, чтобы оставалось пространство для торга. Но даже готовность злоумышленников торговаться не означает, что выплата денег является разумным решением — получив средства, киберпреступники могут и не дать возможности восстановить данные в полном объёме; кроме того, повышается риск повторных атак на ту же организацию. К тому же с каждым днём переписки растёт вероятность того, что пострадавшая компания восстановит данные из резервных копий, передумает платить или привлечёт правоохранительные органы. Доля платящих жертв в 2025 году сократилась до 28 %, подсчитали в Positive Technologies. В ряде случаев жертвы платят не за расшифровку данных, которые могут содержаться в резервных копиях, а за то, чтобы информация об инциденте не появилась ни на теневых ресурсах, ни в широком информационном поле. Огласка факта утечки данных сама по себе может привести к оборотному штрафу в размере до 500 млн руб. Хакерам важно получить хоть какой-то выкуп, говорят эксперты, потому что и атаки требуют определённых затрат; и в случае отказа жертвы платить приходится искать альтернативные схемы сбыта. Наконец, не следует забывать, что перечисление средств хакерам может квалифицироваться как финансирование террористической деятельности — руководители пострадавших компаний и их служб безопасности об этом знают. На GitHub напал Megalodon — вредоносный код заразил более чем 5500 репозиториев
23.05.2026 [13:05],
Павел Котов
В минувший понедельник, 18 мая, вредоносное приложение Megalodon атаковало платформу разработки GitHub и внесла вредоносные коммиты в более чем 5500 репозиториев. 
Источник изображения: Rubaitul Azad / unsplash.com Важнейшая функция вредоноса — кража учётных данных CI/CD. Если владелец репозитория включает коммит в проект, вредонос выполняется на серверах CI/CD и распространяется дальше, рассказали эксперты в области кибербезопасности. Megalodon осуществляет кражу других учётных данных: секретных ключей AWS, токенов Google Cloud; запрашивает метаданные инстансов AWS, Google Cloud Platform и Azure, считывает закрытые ключи SSH, конфигурации Docker и Kubernetes, конфигурации Docker и Kubernetes, токены Vault, учётные данные Terraform, а также производит сканирование исходного кода на наличие прочих закрытых данных, используя более 30 регулярных выражений. Он извлекает токены GitHub, в том числе данные для аутентификации у облачных провайдеров и токены Bitbucket, в результате чего злоумышленники могут выдавать себя за разработчиков и получать доступ к облачным службам. Регулярные взломы GitHub ставят под угрозу безопасность каждой компании, у которой на платформе размещаются даже закрытые репозитории. Вредоносы по-прежнему попадают на серверы, и остановить их до сих пор не удаётся. Megalodon обнаружили внутри открытой платформы Tiledesk онлайн-чатов и чат-ботов. Вредоносу не понадобилось взламывать npm-аккаунт проекта — достаточно было заразить проект на GitHub. Администратор проекта в последний раз опубликовал «чистую» версию 2.18.5, а затем, сам того не подозревая, одобрил содержащие бэкдоры версии 2.18.6 (от 19 мая) по 2.18.12 (от 21 мая). Схожие схемы атаки практикует хакерская группировка TeamPCP, но подтвердить её причастность к кампании Megalodon не удалось. Известно, что TeamPCP объявила конкурс атак на цепочки поставок, но и одним из конкурсантов создатель Megalodon тоже, вероятно, не является — по правилам, участники должны добавлять во вредоносный код открытый ключ шифрования, который подтвердил бы его авторство. Исследователям удалось отследить активность Megalodon до двух адресов электронной почты, с которых были отправлены коммиты в общей сложности в 5561 репозиторий. Все они появились 18 мая в течение чуть более шести часов. Биологический ИИ оказался обоюдоострым: он создаёт и яды, и антидоты — и не ясно, что опаснее
13.05.2026 [15:31],
Дмитрий Федоров
Универсальные ИИ-чат-боты и специализированные ИИ-модели для биологии облегчают проектирование токсинов, вирусов и пандемических патогенов, а с ними и нового биооружия. Серьёзность угрозы подтверждают опрошенные журналом Nature учёные и исследователи. Однако они расходятся во мнениях: одни требуют ограничить доступ к программам и обучающим данным, другие — ставить барьер на этапе синтеза ДНК. Часть исследователей надеется, что тот же ИИ поможет создать антидоты и противоядия. 
Источник изображения: Sangharsh Lohakare / unsplash.com Тревожным сигналом стал разработанный в 2024 году китайскими учёными ИИ-инструмент для проектирования конотоксинов — белков из яда морских моллюсков-конусов, способных блокировать ионные каналы нервной системы и убивать человека. В письме в закрытую дискуссионную группу по ИИ и биотехнологиям, с которым ознакомился Nature, высокопоставленный сотрудник правительства США назвал работу возможным риском для биобезопасности — особенно потому, что инструмент построен на открытой языковой модели белков, разработанной американскими учёными. Соавтор статьи Сюэ Вэйвэй (Weiwei Xue) из Чунцинского университета возражает: работа нацелена на поиск лекарств, а переход от расчётов к созданию реальных молекул требует серьёзной экспертизы и оборудования. «Теоретически — и именно это не даёт мне спать ночами — сейчас можно разработать токсины уровня рицина или других очень смертоносных агентов, которые будут практически необнаружимы», — говорит Мартин Пачеса (Martin Pacesa), структурный биолог из Цюрихского университета (UZH). Доклад Национальных академий наук, инженерии и медицины США (NASEM) за 2025 год добавляет трезвости: усилению пандемических патогенов мешают нехватка качественных данных и трудности с их лабораторным производством. Но создание дизайнерских токсинов уже доступно, признают эксперты, а Тимоти Дженкинс (Timothy Jenkins) из Технического университета Дании (DTU) предупреждает, что такой токсин будет трудно обнаружить, а применить его скорее могут против конкретного человека. 
Источник изображения: ChatGPT Главная защита, по мнению многих учёных, происходит на этапе синтеза ДНК: компании, изготавливающие ДНК, прогоняют каждый заказ через скрининговое ПО, ищущее следы известных токсинов и патогенных белков. Работа исследователей Microsoft под руководством Эрика Хорвица (Eric Horvitz), опубликованная в 2025 году, показала, что эту проверку можно обойти с помощью ИИ. Команда сгенерировала 76 000 синтетических гомологов — молекул с той же опасной функцией, что у известных токсинов и вирусных белков, но с другой ДНК-последовательностью, незнакомой скрининговым базам. Около четверти лучших образцов проскользнули мимо проверки в четырёх компаниях по синтезу ДНК, участвовавших в эксперименте, но после обновления ПО пропуск упал примерно до 3 %. Скрининг ДНК пока остаётся добровольным: указ президента США 2025 года толкает американских грантодателей к обязательным правилам, Европейский союз (ЕС), Великобритания и Новая Зеландия идут следом, но в большинстве стран требований нет. В Китае (более 30 % мировых заказов на синтез ДНК) скрининг рекомендован правительством, но обязательным пока не стал. Встроенные защитные ограничения самих ИИ-моделей тоже обходятся. В исследовании SecureBio под руководством Сета Доноу (Seth Donoughe) почти 90 % участников сумели получить от универсальных больших языковых моделей (LLM) биологическую информацию высокого риска. Биоинженер Лэ Цун (Le Cong) с помощью универсального ИИ-агента обманом заставил геномную языковую модель Evo 2 сгенерировать новые версии белков коронавируса SARS-CoV-2 и ВИЧ-1 (HIV-1), хотя её не обучали на данных о вирусах, заражающих человека. Издание The New York Times ранее сообщало, что мужчина, арестованный в Индии по обвинению в подготовке производства рицина для теракта, спрашивал советы у ChatGPT. 
Источник изображения: ChatGPT Часть индустрии движется к ограниченному доступу. В апреле OpenAI анонсировала ИИ-систему для биологии — GPT-Rosalind: её получат только проверенные исследователи и организации, а получивших доступ пользователей будут отслеживать на признаки разработки биооружия. Коалиция за инновации в области готовности к эпидемиям (CEPI) готовит в Осло «платформу готовности к пандемиям», которая, скорее всего, будет доступна только проверенным пользователям. В докладе RAND Corporation за 2025 год была проведена оценка 57 биологических ИИ-инструментов и 23 % из них сочли высокорисковыми. Дэвид Бейкер (David Baker) из Вашингтонского университета (UW), лауреат Нобелевской премии по химии 2024 года за труды по дизайну белков и предсказанию их третичной структуры, настроен сдержанно: «Мы всегда исходили из того, что польза для мира значительно превышает опасности. Но по мере роста возможностей этот вопрос важно держать в поле зрения». Защита тоже не отстаёт. Дженкинс совместно с НАТО разрабатывает масс-спектрометрический метод идентификации дизайнерских белков в подозрительных образцах, а на рынок биозащиты вышли частные компании: Red Queen Bio в Сан-Франциско и Valthos в Нью-Йорке привлекли инвестиции на $15 млн и $30 млн соответственно. Стоит признать, что биотехнологический ИИ — обоюдоостр: те же модели создают и угрозу, и защиту, и кто опередит — неясно. «Многие участки этой темы кажутся мне одновременно крайне неопределёнными и крайне срочными», — говорит Тесса Алексаньян (Tessa Alexanian) из Международной инициативы по биобезопасности для науки (IBBIS). Фейковый сайт ИИ-бота Claude распространяет новый вредонос Beagle для Windows
07.05.2026 [17:08],
Владимир Фетисов
В интернете обнаружен поддельный сайт ИИ-помощника Claude, создатели которого под видом легитимного продукта распространяют ранее недокументированный бэкдор для Windows под названием Beagle. Об этом пишет Bleeping Computer со ссылкой на отчёт работающей в сфере ИБ-безопасности компании Sophos. 
Источник изображений: bleepingcomputer.com Злоумышленники рекламируют инструмент Claude-Pro как «высокопроизводительный relay-сервис, созданный специально для разработчиков Claude-Code». Поддельный веб-сайт является примитивной попыткой имитировать легитимный интернет-ресурс популярной языковой модели и ИИ-ассистента Claude от компании Anthropic. Однако внешнее сходство рушится, когда дело доходит до ссылок, поскольку размещённые на этом сайте ссылки попросту перенаправляют на главную страницу. Не заметившие обмана пользователи при попадании на сайт claude-pro[.]com могут лишь нажать на большую кнопку для загрузки архива Claude-Pro-windows-x64.zip размером 505 Мбайт, в котором содержится MSI-установщик якобы для продукта под названием Claude-Pro Relay. На деле же после запуска бинарного файла в папку автозагрузки добавляются три файла: NOVupdate.exe, NOVupdate.exe.dat и avk.dll. В результате на пользовательское устройство загружается модифицированная версия Claude, которая выполняет ожидаемые функции, но в дополнение к этому в фоновом режиме развёртывает несколько вредоносов PlugX, тем самым предоставляя злоумышленникам удалённый доступ к системе. Более детальный анализ показал, что на первой стадии устанавливается загрузчик DonutLoader, который добавляет в систему достаточно простой бэкдор Beagle. Этот вредонос поддерживает ограниченный набор команд, включая загрузку и скачивание файлов, создание директорий, выполнение команд, просмотр содержимого папок, их удаление и др.  Отмечается, что упомянутый бэкдор Beagle не имеет отношения к выявленному в 2004 году трояну Beagle/Bagle. Злоумышленники используют подписанный установщик для решений безопасности G Data NOVupdate.exe для сторонней загрузки вредоносной библиотеки avk.dll и зашифрованного файла NOVupdate.exe.dat. Роль dll-файла заключается в расшифровке и выполнении в памяти полезной нагрузки из NOVupdate.exe.dat. В результате на устройство попадает загрузчик DonutLoader, который загружает бэкдор Beagle в системную память. Бэкдор взаимодействует с управляющим сервером по протоколу TCP через порт 443 или UDP через порт 8080. Для защиты трафика используется AES-шифрование. По данным Sophos, управляющий сервер имеет адрес 8.217.190[.]58. В сообщении сказано, что этот адрес входит в диапазон IP облачной платформы Alibaba Cloud. Дальнейшее расследование привело специалистов к другим образцам бэкдоров, связанных с Beagle, которые были загружены в базу VirusTotal в период с февраля по апрель нынешнего года. Эти образцы вредоносного ПО используют для расшифровки тот же XOR-ключ, что и Beagle. При этом данные версии трояна распространялись иными способами. Кто именно стоит за новым трояном, определить не удалось. Случайный баг в коде вируса-вымогателя Vect превратил его в истребитель файлов
29.04.2026 [16:17],
Анжелла Марина
Специалисты по кибербезопасности выявили критическую ошибку в новом вирусе-вымогателе Vect, которая делает восстановление данных невозможным. Из-за программного бага вредонос безвозвратно уничтожает файлы размером более 128 кбайт, лишая жертв шанса на расшифровку даже после выплаты выкупа. 
Источник изображения: xAI Согласно данным Check Point Research, на которые сослался Tom's Hardware, вирус, запущенный в декабре 2025 года, фактически работает как «вайпер» (необратимое уничтожение данных) из-за некорректного алгоритма шифрования. Программа разбивает крупные файлы на части и сохраняет проверочные значения в единый буфер, где каждое новое значение перезаписывает предыдущее. В итоге у пользователя остаётся ключ только для последнего фрагмента данных, что делает полную дешифровку технически невыполнимой операцией. Низкое качество кода натолкнуло исследователей на мысль, что вымогатель был создан с помощью инструментов искусственного интеллекта или на базе устаревших исходников. В частности, в программе обнаружены неработающие функции маскировки и ошибки в распределении нагрузки на процессор, которые, по мнению экспертов, указывают на использование вайб-кодинга (vibe coding). Подобные ошибки в ПО уже встречались в практике крупных хакерских групп в текущем году. Ранее вирус Nitrogen лишился возможности дешифровки данных из-за случайной замены части публичных ключей нулями. В обоих случаях невнимательность разработчиков привела к ситуации, когда даже при наличии приватного ключа вернуть доступ к информации невозможно. Несмотря на внутренние баги, создатели Vect позиционируют свой продукт как высокотехнологичный инструмент для использования в качестве бизнес-модели «вымогательство как услуга» (Ransomware-as-a-Service, RaaS). Программа обладает кроссплатформенностью и способна атаковать системы на базе Windows, Linux и виртуальные машины ESXi. Группировка уже наладила партнёрские отношения с другими киберпреступниками, включая TeamPCP, и активно расширяет свою сеть аффилиатов через теневые форумы. Специалисты из Check Point Research предупреждают, что текущие ошибки в коде не повод игнорировать угрозу в долгосрочной перспективе хотя бы из-за того, что создатели Vect демонстрируют понимание структуры эффективного вымогателя и обладают готовой системой распространения вируса. В будущем они могут выпустить обновлённую версию ПО, где все выявленные баги будут исправлены, что сделает их атаки значительно более результативными. В «Play Маркете» обнаружены десятки приложений с вирусом NoVoice — их скачали 2,3 млн раз
25.04.2026 [12:52],
Павел Котов
В магазине Google «Play Маркет» обнаружены более 50 приложений, содержащих вирус NoVoice. Он эксплуатирует известные уязвимости в попытке получить доступ root. Эти приложения были скачаны в общей сложности не менее 2,3 млн раз. 
Источник изображения: Tom Sodoge / unsplash.com Среди содержащих вредоносную нагрузку приложений значатся фотогалереи, игры и программы для очистки — они обеспечивают обещанную функциональность и не требуют подозрительных разрешений. После запуска заражённого приложения вредоносный компонент пытается эксплуатировать старые уязвимости Android, исправленные в период с 2016 по 2021 годы, и пытается получить доступ root на устройстве. Угрозу обнаружили эксперты компании McAfee и не смогли связать её с конкретным злоумышленником, но отметили сходство вредоноса с трояном Triada. Вредоносные компоненты помещаются в пакет «com.facebook✴✴.utils», смешиваясь с легитимными классами SDK Facebook✴✴. Зашифрованная полезная нагрузка в виде файла «enc.apk» размещается внутри файла изображения формата PNG, из которого извлекается и уже в виде «h.apk» загружается в системную память, а все промежуточные файлы для устранения следов удаляются. Заражение прекращается, если обнаруживается, что устройство находится в Пекине или Шэньчжэне (Китай); проводятся 15 проверок на наличие эмуляторов, отладчиков и VPN. Если обнаружить местоположение не удаётся, процесс заражения продолжается. Вредоносный компонент связывается с сервером и передаёт ему информацию об устройстве: версию ядра, версию Android и исправлений безопасности, список установленных приложений и статус root — всё это помогает определить дальнейшую стратегию. Далее обращение к серверу производится каждые 60 секунд, загружаются различные компоненты специфичных для конкретного устройства эксплойтов, предназначенных для получения прав root на системе жертвы. Эксперты McAfee обнаружили 22 эксплойта, в том числе обращающиеся к ошибкам ядра, связанные с освобождением памяти после её использования и уязвимостью драйверов графики Mali. Эти эксплойты открывают операторам root-оболочку, позволяя отключить систему защиты SELinux. 
Источник изображения: Soheb Zaidi / unsplash.com Когда доступ root уже получен, вредонос подменяет системные библиотеки «libandroid_runtime.so» и «libmedia_jni.so» на модифицированные версии, которые перехватывают системные вызовы. Руткит устанавливает несколько уровней постоянного присутствия, в том числе создаёт скрипты восстановления, подменяет обработчик сбоев системы и сохраняет резервные полезные нагрузки в системном разделе — эта часть памяти устройства при сбросе к заводским настройкам не очищается, так что и после тщательной очистки вредонос продолжает действовать на устройстве. Каждый 60 секунд запускается сторожевой демон, который проверяет целостность руткита и автоматически переустанавливает отсутствующие компоненты. Когда все вредоносные компоненты установлены, развёртываются два функциональных: один обеспечивает скрытую установку и удаление приложений, второй подключается к любому приложению с доступом в интернет и производит кражу данных. Чаще всего данные крадутся из мессенджера WhatsApp. При запуске мессенджера на заражённом устройстве вредонос извлекает конфиденциальные данные: базы и ключи шифрования, а также идентификаторы учётных записей, такие как номер телефона и данные резервного копирования на «Google Диск». Информация передаётся на управляющий сервер, в результате чего злоумышленники могут клонировать сессии WhatsApp на своих устройствах. Модульная архитектура вируса технически позволяет использовать другие полезные нагрузки для любого другого приложения на устройстве. Устройства с обновлениями после мая 2021 года защищены от NoVoice, потому что эксплуатируемые вирусом уязвимости были закрыты несколько лет назад, сообщили ресурсы BleepingComputer в Google и добавили: «В качестве дополнительной меры защиты Google Play Protect автоматически удаляет эти приложения и блокирует новые установки. Пользователям всегда следует устанавливать обновления безопасности, доступные для их устройств». Владельцам уже подвергшихся заражению устройств, однако, следует считать их и содержащиеся на них данные скомпрометированными. Мошенники начали маскировать вредоносы под утекшие исходники Anthropic Claude Code
03.04.2026 [16:03],
Павел Котов
На этой неделе произошла утечка исходного кода сервиса Anthropic Claude Code — компания приняла меры, чтобы защитить его, но скандалом воспользовались мошенники, и в некоторых случаях любопытным пользователям доставался не ценный продукт, а его подделка с вредоносным ПО. 
Источник изображения: Kevin Horvat / unsplash.com Наиболее ярким примером стал репозиторий на GitHub, в котором содержится вирус Vidar похищающий учётные данные, данные банковских карт и историю браузера, и троян GhostSocks, используемый для проксирования сетевого трафика. «В файле README даже утверждается, что код раскрыли через файл .MAP в пакете NPM, а затем его пересобрали в рабочий форк с „разблокированными“ корпоративными функциями и без ограничений на запросы», — отметили эксперты по вопросам кибербезопасности из отдела ThreatLabz компании Zscaler. Ссылка на этот репозиторий GitHub появлялась в верхней части поисковой выдачи Google. Впоследствии проект пропал из поля зрения, но на платформе оставались как минимум два других вредоносных проекта с троянами, маскирующиеся под исходный код Claude Code, у одного из которых было 793 форка и 564 звезды. В одном из случаев из архива .7Z распаковывался написанный на языке Rust вредонос-дропер, который также загружал на компьютер жертвы пару Vidar и GhostSocks. Инцидент в очередной раз демонстрирует, что киберпреступники нередко пытаются нажиться за счёт громких продуктов, создавая их вредоносные клоны разной степени схожести. Рекомендуется соблюдать осторожность с тем, что загружается из интернета. Хакеры подсадили троян в одну из самых скачиваемых библиотек JavaScript
31.03.2026 [20:45],
Анжелла Марина
Хакерам удалось скомпрометировать аккаунт ведущего разработчика библиотеки Axios в реестре npm и опубликовать две вредоносные версии пакета, распространявшие кроссплатформенный троян удалённого доступа. Заражённые релизы axios@1.14.1 и axios@0.30.4 были доступны для загрузки в течение двух-трёх часов. Эксперты по безопасности рекомендуют считать скомпрометированными все системы, на которых выполнялась установка этих версий. 
Источник изображения: AI По сообщению Tom's Hardware, атака зафиксирована 30 марта и была реализована через скрытую зависимость plain-crypto-js@4.2.1, представляющую из себя поддельный пакет, замаскированный под легитимную библиотеку CryptoJS, реализующую набор стандартных криптографических алгоритмов на JavaScript. При установке был запущен сценарий, который загружал вирус, адаптированный под операционные системы macOS, Windows и Linux. По данным аналитиков StepSecurity, вредоносный код связывался с управляющим сервером (sfrclak.com) всего через 1,1 секунды после начала установки npm-пакета. На macOS троян сохранялся в /Library/Caches/com.apple.act.mond, на Windows — копировал PowerShell в %PROGRAMDATA%\wt.exe, на Linux — загружал Python-версию RAT в /tmp/ld.py. Отмечается, что поскольку данную библиотеку скачивают около 100 млн раз в неделю, инцидент создал угрозу для огромной аудитории. Заражённые версии пробыли в открытом доступе примерно три часа, после чего администрация npm удалила их и заблокировала вредоносную зависимость. Эти релизы публиковались в обход стандартного конвейера CI/CD, поэтому они так и не появились в официальном репозитории Axios на GitHub. Крупные IT-компании, включая Snyk, Wiz и Vercel, выпустили предупреждения с рекомендацией считать пострадавшие машины полностью скомпрометированными и немедленно сменить все учётные данные. |
|
✴ Входит в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности»; |
© 1997—2026 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224
выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия
При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является
нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.
MWC 2018
2018
Computex
IFA 2018
