A Socket biztonsági kutatócsapata egy újabb, kifejezetten aggasztó fenyegetésre hívta fel a figyelmet: egy imad213 nevű rosszindulatú Python-csomag jelent meg, amely Instagram felhasználók biztonságát veszélyezteti, miközben hamisan követőnövelő eszközként tünteti fel magát.

Álcázott veszélyforrás: mit rejt az „IMAD-213”?

Több mint 60 rosszindulatú npm csomagot fedeztek fel a csomagregiszterben, melyek olyan káros funkciókat tartalmaznak, amiknek célja a gazdagépek neveinek, IP-címeinek, DNS-szervereinek és felhasználói könyvtárainak begyűjtése, és ezek továbbítása egy Discord által vezérelt végpontra. A csomagokat három különböző fiók alatt tették közzé, és olyan szkripttel rendelkeznek, amely az npm install során aktiválódik – közölte Kirill Boychenko, a Socket biztonsági kutatója a múlt héten megjelent jelentésében.

Egy több éves, eddig rejtve maradt rosszindulatú kód aktiválódott több Magento bővítményben, melyeket világszerte webáruházak százai használnak. A támadás több ismert fejlesztőtől származó bővítményeket érint, köztük a Tigren, Meetanshi és MGS cégek termékeit. Cikkünkben bemutatjuk, hogyan történt a támadás, és mit tehetnek az érintettek.

A kiberbiztonsági szakértők egy újabb kampányra hívták fel a figyelmet, amely a Python Package Index (PyPI) felhasználóit célozza meg. A támadók hamis csomagokat tettek közzé az ismert szoftverkönyvtárban, amelyek időkezeléssel kapcsolatos segédprogramoknak álcázzák magukat, valójában azonban érzékeny adatok, például felhő hozzáférési tokenek ellopására szolgálnak.

A Google Play Áruházban és az Apple App Store-ban található Android- és iOS alkalmazások egy része rosszindulatú SDK-t (Software Development Kit – szoftverfejlesztő készletet) tartalmaznak, amelyek OCR (Optical Character Recognition – optikai karakterfelismerő) segítségével a felhasználók kriptovaluta tárcáinak helyreállítási kifejezéseit lopják el. A kampány a “SparkCat” nevet kapta az egyik fertőzött alkalmazásban található rosszindulatú SDK-komponens (“Spark”) után.

A Texasi Műszaki Egyetem Egészségtudományi Központja 2024 szeptemberében kibertámadás áldozata lett. A támadás zavart okozott az egyetem számítógépes rendszereiben és alkalmazásaiban valamint körülbelül 1,4 millió beteg adatait érintette. Az érintett szervezet egy állami, akadémiai egészségügyi intézmény, amely a Texas Tech University System része, amely egészségügyi szakembereket oktat és képez, orvosi kutatásokat végez és betegellátási szolgáltatásokat nyújt.

A hackerek által megszerzett információ egyénenként változó, de az alábbi adatokat tartalmazhatja:

Az Eclypsium firmware- és hardverbiztonsági cég kutatói felfedezték, hogy a tajvani Gigabyte által gyártott több száz alaplapmodell olyan backdoorokat tartalmaz, amelyek jelentős kockázatot jelenthetnek a szervezetekre nézve.

A kutatók megállapították, hogy az operációs rendszerek indításakor számos Gigabyte rendszer firmware-je egy Windows bináris programot hajt végre, amely később HTTP-n vagy nem megfelelően konfigurált HTTPS kapcsolaton keresztül letölt és futtat egy újabb payloadot.

Az Eclypsium szerint nehéz egyértelműen kizárni, hogy a Gigabyte-on belülről telepítették volna azt, de arra figyelmeztettek, hogy a fenyegetési szereplők visszaélhetnek a hibával.

Az UEFI rootkiteket a támadók sok esetben arra használják, hogy a Windows malware-ek fennmaradhassanak egy kompromittált rendszeren. Ez a backdoor alkalmas erre a célra, ráadásul nehéz lehet azt véglegesen eltávolítani.

A kiberbiztonsági cég arra is figyelmeztetett, hogy a hackerek további támadásokra is használhatják a rendszer és a Gigabyte szerverei közötti nem biztonságos kapcsolatot. Több mint 270 érintett alaplapmodell listáját tették közzé, amely azt jelenti, hogy a backdoor valószínűleg több millió eszközön megtalálható.

Június 5-én a Gigabyte bejelentette a BIOS frissítések kiadását, amelyek orvosolják a sebezhetőséget.