Вредонос Rilide атакует Chromium-браузеры под видом аддона Google Drive

Вредонос Rilide атакует Chromium-браузеры под видом аддона Google Drive

Вредонос Rilide атакует Chromium-браузеры под видом аддона Google Drive

Новая вредоносная программа Rilide атакует основанные на Chromium браузеры. Зловред маскируется под безопасные с виду расширения и пытается вытащить конфиденциальные данные и криптовалюту жертвы.

Об активности Rilide рассказали исследователи из команды Trustwave SpiderLabs Research. В отчёте специалистов говорится следующее:

«Авторы Rilide маскируют его под аддон Google Drive, после проникновения в систему вредонос может осуществлять целый спектр вредоносных действий: мониторинг, просмотр истории браузера, снятие скриншотов и внедрение вредоносных скриптов для кражи криптовалюты».

Более того, Rilide может отображать фейковые диалоги, чтобы заставить пользователя ввести код двухфакторной аутентификации. По словам Trustwave, в настоящее время фиксируются две кампании по распространению Rilide: в одной участвует троян Ekipa, в другой — инфостилер Aurora.

 

Точное происхождение Rilide пока неизвестно, однако специалисты Trustwave нашли пост на одном из киберпреступных форумов, который датируется мартом 2022 года. В нём один из участников продаёт ботнет со схожей функциональностью. Из-за некоего конфликта часть исходного кода утекла в Сеть.

Адрес командного сервера (C2) Rilide позволил экспертам выйти на несколько GitHub-репозиториев, принадлежащих пользователю с ником gulantin. В этих репозиториях содержатся загрузчики вредоносного расширения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минобороны США использует Node.js-пакет, который пишет россиянин

Американская компания Hunted Labs подняла тревогу: один из самых популярных Node.js-пакетов — fast-glob — фактически держится на одном человеке. При этом библиотека используется тысячами проектов по всему миру, включая более 30 систем Минобороны США.

Речь идёт об утилите для поиска файлов по шаблонам. Её автор — разработчик под ником mrmlnc. GitHub-аккаунт и личный сайт связывают его с Яндексом: по данным Hunted Labs, это Денис Малиночкин, живущий в Подмосковье.

С точки зрения безопасности ситуация вызывает вопросы: пакет скачивают более 79 миллионов раз в неделю, он встроен в Node.js-контейнеры и тысячи публичных и частных проектов.

Хотя у fast-glob нет зарегистрированных уязвимостей, библиотека имеет доступ к файловым системам, а значит, теоретически может использоваться для кибератак.

Hunted Labs подчёркивает: сам факт того, что у проекта нет внешнего контроля и дополнительных мейнтейнеров, делает его потенциальной мишенью для злоупотреблений.

«Не каждый кусок кода, написанный россиянином, подозрителен сам по себе. Но такие популярные пакеты без надзора — удобная цель для злоумышленников или государственных структур», — отметил сооснователь Hunted Labs Хейден Смит.

После публикации отчёта сам Малиночкин связался с журналистами. Он подтвердил, что действительно является единственным разработчиком fast-glob, но отверг любые предположения о «скрытых» функциях:

«Никто никогда не просил меня манипулировать проектом, встраивать скрытые изменения или собирать системные данные. Я считаю, что open source строится на доверии и разнообразии», — заявил разработчик изданию The Register он.

В Пентагоне пока не прокомментировали, будут ли отказываться от использования fast-glob.

Эксперты же сходятся в одном: сообществу open source нужно внимательнее следить за тем, кто и как поддерживает критичные проекты. Ведь как выразились в Hunted Labs, «открытому ПО не нужен CVE, чтобы быть опасным. Достаточно доступа, незаметности и беспечности».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru