8 сентября произошла крупнейшая атака на цепочку поставок ПО в истории. Злоумышленники скомпрометировали учётную запись мейнтейнера популярных пакетов через фишинг и внедрили вредоносный код в библиотеки, включая `debug` и `chalk`.

Вредоносный код действовал как браузерный перехватчик криптовалютных транзакций, подменяя адреса кошельков Ethereum, Bitcoin и Solana.

Затронуты пакеты с 2,6 млрд еженедельных загрузок.

Microsoft выпустила 81 обновление безопасности, включая исправления для двух публично раскрытых 0-day уязвимостей.

Среди проблем — некорректные запросы UAC для не-администраторов при работе с установщиками MSI.

Также обнаружена уязвимость в драйвере файловой системы NTFS (оценка CVSS 7.8), позволяющая переполнение буфера и удалённое выполнение кода.

Исследователи Trail of Bits обнаружили, что злоумышленники могут внедрять инструкции в изображения, которые активируются при сжатии (например, в Gemini CLI или Vertex AI Studio).

Это позволяет обмануть ИИ и выполнить несанкционированные команды.

Растёт обеспокоенность манипуляцией обучением ИИ-моделей, что усиливает риски создания «эхо-камер».

Аттаулла Бейг обвиняет Meta в сознательном игнорировании уязвимостей, затрагивающих миллиарды пользователей.

По его словам, 1500 сотрудников имели неограниченный доступ к конфиденциальным данным, включая местоположение и списки контактов.

Meta отвергла обвинения, назвав их «искажёнными».

Растёт спрос на аренду учётных записей мессенджера МАХ — до 1000 запросов в день.

Стоимость аренды достигает $250 за аккаунт.

Группа Mustang Panda использует новые инструменты (бэкдор Toneshell и USB-червь SnakeDisk) для атак на системы с воздушным зазором.

• Обновляйте системы: установите последние обновления для Windows, Chrome и других критических продуктов
• Проверьте пакеты NPM: убедитесь в отсутствии скомпрометированных версий
• Для ИИ-систем внедрите многоуровневую проверку изображений перед обработкой
• Обучите сотрудников распознаванию фишинговых писем, особенно с вложениями виртуальных дисков