͏У Palo Alto Networks вечно что-то ломается: то служба техподдержки отваливается, то брандмауэры и VPN вызывают состояние отказа в обслуживании из-за ошибки OpenSSL.

В среду американская инфосек компания предупредила клиентов, что PAN-OS 8.1 и более поздние версии (включает как аппаратные, так и виртуальные брандмауэры, а также устройства Panorama и Prisma), все версии приложения GlobalProtect и агента Cortex XDR содержат уязвимую версию библиотеки OpenSSL с серьезной ошибкой бесконечного цикла, обнаруженную три недели назад. Уязвимость не влияет на Prisma Cloud и Cortex XSOAR.

Злоумышленники могут использовать уязвимость CVE-2022-0778 для активации состояния отказа в обслуживании и удаленно вывести из строя устройства, на которых запущено непропатченное ПО. При этом успешная эксплуатация уязвимости в Cortex XDR и GlobalProtect может быть реализована в ходе MITM.

Несмотря на то, что команда OpenSSL выпустила исправление еще две недели назад, клиентам Palo Alto Network все же придется подождать до 18 апреля: именно на эту дату запланирован выпуск обновления безопасности. Пока же для премиальных подписок доступны идентификаторы угроз 92409 и 92411, позволяющие блокировать известные атаки, связанные с этой уязвимостью и снижать риск использования известных эксплойтов.

Разработчик заявляет, что несмотря на доступность PoC доказательств использования проблемы ни в одном из своих продуктов не зафиксировано, а в результате успешной эксплуатации влияние ошибки ограничено вызовом отказа в обслуживании.

Тем не менее Palo Alto признают все же, что злоумышленники могут использовать уязвимость OpenSSL в атаках низкой сложности без взаимодействия с пользователем без каких-либо заморочек.

Big Sur и Catalina похоже, что все.

31 марта Apple выпустила экстренные исправления для двух уязвимостей памяти CVE-2022-22675 и CVE-2022-22674, которые активно использовались злоумышленниками в дикой природе.

При этом исправления были доступны для iOS, iPadOS и macOS Monterey. А клиенты Apple на Big Sur или Catalina (или пользователи более ранних версий ОС) так и не дождались обновлений. И не дождутся.

Фактически Apple решила забить на 35–40% всех поддерживаемых компьютеров Mac и бросить их на растерзание хакерам, и это при том, что проигнорированные 0-day активно используются в реальных атаках, а обе эти версии macOS якобы все еще получают исправления для «значительных уязвимостей».

На помощь пользователям флагманской платформы macOS пришли исследователи Intego с заявлением о халатности разработчика. Ресерчеры выяснили, что Big Sur и Catalina подвержены по крайней мере одной из двух проблем, а также еще длинному списку других уязвимостей, которые до сих пор остаются непропатченными.

Конечно же, Apple отмалчивается, а исследователи больше склоняются к тому, что Apple намеренно оставила macOS Big Sur восприимчивой к довольно активно эксплуатируемой уязвимости, равно как и не приводит в бюллетенях подробностей или индикаторов компрометации к активно используемым ошибкам. Только в этом году было зарегистрировано не менее 13 атак с использованием 0-day.

И тут вспоминается известное в народе литературное произведение про куратора из спецслужб.

​💬 true story... Social Engineering.

🖖🏻 Приветствую тебя user_name.

• Сегодня мы говорим о социальной инженерии, а именно о взломе американской тюремной системы с помощью #СИ. Кевин Митник утверждал, что никакая технология в мире не может противостоять социальному инженеру, так как людьми просто манипулировать, и даже в самых защищённых системах именно люди могут оказаться слабым звеном.

• В 2018 году, Конрад Войц использовал #СИ и #фишинг для обмана сотрудников Американской тюрьмы и установки вредоносного ПО с целью хищения учётных данных и уменьшения тюремного срока своего друга.

• В ходе своей атаки, Войц создал копию сайта тюрьмы (ewashtenaw.org), изменив в названии букву W на 2 буквы VV (ewashtenavv.org). После чего, Войц использовал Вишинг, представляясь сотрудником отдела ИТ, предлагал своим жертвам ввести их учётные данные на фишинговом сайте, тем самым он получил доступ к более чем 1600 паролям. Однако, Войц был обнаружен прежде, чем сумел что-либо сделать, и был приговорен к 87 месяцам тюрьмы.

В чем смысл данного поста?
Смысл в том, что тюрьма использовала передовое, на то время, ПО для анализа угроз, тюрьма окружена стальными дверьми и сотрудниками (самым слабым звеном в любой системе) которые доверились атакующему. Да, атакующего смогли поймать, но что бы было, если бы уровень #СИ был на более высоком уровне и была организована более тщательная подготовка перед атакой?

• Для того что бы прокачать свои навыки социальной инженерии, ты можешь воспользоваться хештегом #СИ. Обрати внимание на тему: #Профайлинг — это поможет тебе в межличностной коммуникации, а так же не забывай про #Фишинг — самый популярный вид атаки, в связи с обостренной обстановкой в мире. Твой S.E.

Порой не перестаешь удивляться насколько пытлив хакерский ум особенно, когда он замотивирован по-тихому заработать.

Не так давно было обнаружено вредоносное ПО Denonia, названное по имени домена с которым оно взаимодействует и предназначенное для майнинга криптовалюты, в частности Monero (XMR) и что самое интересное ориентированное на среду Amazon Web Services (AWS) Lambda.

О малвари сообщили исследователями Cado Security, которые обнаружили образцы, загруженные на VirusTotal еще в январе-феврале текущего года. Denonia написана на языке программирования Go, также известном как Golang, и содержит модифицированный вариант криптомайнера XMRig в сочетании с некоторыми пока неизвестными функциями.

Lambda — это бессерверная служба вычислений, управляемая событиями, которая позволяет пользователям запускать код практически для любого типа приложений или серверных служб без необходимости выделять сервер или управлять им, что собственно делает ее особенно уязвимой для вредоносных программ.

Эксперты отметили, как AWS защищает базовую среду выполнения Lambda, но безопасность функций зависит от клиентов, что позволяет киберпреступникам развертывать подобные вредоносные программы. Тем не менее во время анализа Denonia так и не стало ясно как оно развертывается в средах Lambda.

Denonia может показаться относительно безобидной, поскольку она использует только программное обеспечение для криптомайнинга, но при всем этом она использует передовые технологии для обхода стандартных методов обнаружения и контроля доступа к виртуальной сети, а также демонстрирует, как злоумышленники используют знания об облачных технологиях для эксплуатации сложных инфраструктур, указывая путь к будущим более разрушительным атакам.

Полное уведомление о раскрытии информации, включая более глубокий анализ и индикаторы компрометации, можно найти в отчете исследователей.

- Партнёрский пост -

Каков сейчас рынок услуг ИБ? Просто посмотрите на это.

Длинные цепочки субподрядчиков, грабительские комиссии, непрозрачное ценообразование и сомнительные гарантии качества. Альтернатива?

Третья Сторона - первый маркетплейс услуг ИБ в России!

Работай напрямую с проверенными исполнителями, без посредников, с максимальной прозрачностью.


Подробнее о площадке

Минфин США объявил о снятии санкций с поставок российским компаниям телекоммуникационного оборудования, а также ряда Интернет-технологий.

Ну а что, АНБшные бэкдоры сами себя в Россию не завезут!

͏Исследователи AppCensus обнаружили в Play Store приложения, которые собирали конфиденциальные пользовательские данные более чем 45 миллионов пользователей устройств на базе ОС Android.

Как выяснилось, сбор данных происходил посредством стороннего SDK, который включал функционал захвата буфера обмена, данных GPS, адресов электронной почты, номеров телефонов и даже MAC-адресов маршрутизатора пользователя и сетевого SSID. И соответственно через буфер также доставались сведения в отношении криптокошельков и платежных средств.

По данным AppCensus, собранные данные объединяются и передаются с помощью SDK на домен «mobile.measurelib.com», который, принадлежит панамской аналитической фирме Measurement Systems.

Компания реализует SDK для сбора данных под названием Coelib, позиционируя ее как инструмент монетизации для разработчиков приложений, не требующей размещения рекламы. Только одно непонятно, зачем же тогда строки в библиотеке SDK закодированы с помощью шифрования AES и base64, если все легально.

Впрочем, это никак не смутило разработчиков следующих приложений приделать SDK за небольшую копейку и обеспечить панамской компании доступ к следующим пользовательским данным:

⁃ Speed Camera Radar (10 миллионов установок, передает: номер телефона, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Al-Moazin Lite (10 миллионов установок, передает: MAC-адрес маршрутизатора)
⁃ WiFi Mouse (10 million installations, передает: router MAC address)
⁃ QR & Barcode Scanner (5 миллионов установок, передает: номер телефона, адрес электронной почты, IMEI, данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Qibla Compass Ramadan 2022 (5 миллионов установок, передает: данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Simple weather & clock widget (1 миллион установок, передает: номер телефона, IMEI, SSID роутера, MAC-адрес роутера)
⁃ Handcent Next SMS-Text w/MSS (1 миллион установок, передает: адрес электронной почты, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Smart Kit 360 (1 миллион установок, передает: адрес электронной почты, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Al Quran mp3 (1 миллион установок, передает: данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Full Quran MP3 (1 миллион установок, передает: данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Audiosdroid Audio Studio DAW (1 миллион установок, передает: номер телефона, IMEI, данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора).

О махинациях Measurement Systems исследователи сообщили в Google 20 октября 2021 года, после чего все заряженные версии приложений были удалены Play Store, а на замену им разработчики вернули обновленных версии без шпионского содержимого. Согласно официальным заявлениям сами разработчики при этом не были в курсе ситуации и признали, что SDK, принадлежащий Measurementsys, использует некоторые уязвимости Android, работая неясным и сомнительным образом.

Однако все предыдущие установки на девайсах пользователей Android по-прежнему используют библиотеки SDK и передают в фоновом режиме фактически всю самую интересную конфиденциальную инфу на панамский домен. Во избежание дальнейшей утечки пользователям следует удалить и заново инсталлировать свежую версию ПО.

В данной ситуации интересно другое: куда в реальности уходили данные, большая часть из которых позволяет фиксировать геопозиции пользователей и места их притяжения. Не удивимся, если выяснится, что Measurement реализовывали инфу поставщикам шпионского ПО и аналитических систем.

Group-IB решили присоединиться к MSSP-движу и заключили партнерство с Уральским Центром Систем Безопасности (УЦСБ).

Для ГрИБов это первый полноценный MSSP-провайдер на базе Threat Intelligence & Attribution. Про саму систему мы раньше писали, а как минимум в одном случае она даже смогла поломать традиционную точку зрения на крупную кибератаку. Весьма любопытная штуковина. Обещают реагирование 24/7 по жесткому SLA (до 30 мин при критичных инцидентах).

Как обычно - будем посмотреть.

Часто ли вы задумывались о том, что кто-то еще имеет доступ к вашему телефону? И к сожалению возможно, вы правы.

В конце 2022 года эксперты из Kryptowire обнаружили уязвимость, отслеживаемую как CVE-2022-22292, которую можно использовать для взлома устройств Android 9, 10, 11 и 12.

Уязвимость находится в предустановленном приложении Телефон, которое запускается с системными привилегиями на устройствах Samsung. Эксперты отметили, что в приложении Телефон есть небезопасный компонент, который позволяет локальным приложениям выполнять привилегированные операции без какого-либо взаимодействия с пользователем.

Бага позволяет потенциальному злоумышленнику инициировать сброс настроек к заводским (т. е. удалить все пользовательские данные), совершать телефонные звонки, устанавливать/удалять приложения, устанавливать корневые сертификаты для прослушивания защищенного трафика и все это из ненадежных приложений, работающих в фоновом режиме и без одобрения конечного пользователя.

Уязвимость CVE-2022-22292 была оценена как высокая степень серьезности, и о ней было сообщено Samsung еще 27 ноября 2021 года. Но компания устранила проблему только феврале 2022, выпустив патч в рамках процесса обновления безопасности (SMR).

Что произошло с пользователями Samsung за столь продолжительный период времени одному Богу известно. В прочем об уязвимости прогудели уже многие, но и мы призываем обновить свои девайсы пока есть такая возможность.

В прошедшие выходные кто-то наделал нам на связной ящик электронной почты кучу (более 800 писем) спама с ресурсов различных российских и белорусских компаний.

Содержание везде одинаковое - запрос на сброс пароля.

Есть подозрение, что негодяи массово ломанули что-то непропатченное (или атака на цепочку поставок) и подставили наш адрес в качестве служебного. То ли пытаются выставить нас хакерами, то ли еще чего. Скорее всего - дело рук УГИЛ (Украинское государство Ивано-Франковска и Львова, в России пока не запрещено).

Хотя может быть тупо фишинг. Посмотрим.

Trend Micro официально подтвердили использование Spring4Shell ботнетом Mirai. Первыми атаки обнаружили китайские коллеги из Qihoo 360.

В этом плане операторы ботнета Mirai действуют весьма оперативно, добавляя свежие CVE в свой арсенал эксплойтов, как это было ранее с Log4Shell.

Речь идет о двух критических уязвимостях CVE-2022-22965 и CVE-2022-22963 в популярной среде разработки Java-приложений Spring, которые могут быть использованы для удаленного выполнения кода.

Касаемо Mirai исследователи наблюдали активное использование Spring4Shell, когда злоумышленники загружали вредоносное ПО Mirai в на уязвимых серверах, особенно в регионе Сингапура. Образец загружался в папку «/tmp» и выполнялся сразу после добавления необходимого разрешения для его исполнения с помощью «chmod».

Несмотря но то, что Spring4Shell не так широко эксплуатируема, как Log4Shell, уязвимость все же потенциально может затронут многих, поэтому специалисты рекомендуют следовать рекомендациям и использовать доступные инструменты для защиты систем, пока поставщики ПО оценивают степень влияния Spring4Shell на свои продукты и готовят соответствующие патчи.

Исследователи Insikt Group из Recorded Future раскрыли кампанию китайской АРТ TAG-38, которая была нацелена на объекты диспетчеризации в электроэнергетическом секторе. На такие выводы их подтолкнул бэкдор ShadowPad, следы которого были обнаружены в большинстве атак.

Еще в феврале 2021 года исследователи Insikt Group сообщили об отслеживаемой кампании в отношении энергосистемы Индии, которую эксперты приписали связанному с Китаем хакеру RedEcho. Злоумышленники использовали модульный бэкдор ShadowPad, представляющий собой имплантат, который используется несколькими АРТ, действующими в интересах НОАК и МГБ КНР.

Вновь выявленные атаки были направлены на 7 центров распределения нагрузки штата Индии (SLDC), отвечающих за управление сетью и диспетчеризацию электроэнергии между регионами. Эпицентр атак пришелся на системы, расположенные в Северной Индии, недалеко от спорной индийско-китайской границы в Ладакхе. Активность в целом была инициирована в сентябре 2021 года на этапе разведки потенциальных целей.

Анализ инфраструктуры C2 свидетельствует о том, что злоумышленники использовали скомпрометированные устройства DVR/IP-камер, расположенные на Тайване или в Южной Корее, которые использовали последующем как серверы ShadowPad C2 в помощью инструмента с открытым исходным кодом FastReverseProxy (FRP). Большинство скомпрометированных устройств использовали уникальный SSL-сертификат, подделывающий Microsoft на порту 443. Сертификат, конечно же, побывал и был замечен при этом ни в одной кампании кибершпионажа.

Исследователи полагают, что предпринимавшиеся разными группами на протяжении 18 месяцев атаки на центры диспетчеризации свидетельствуют о стратегическом характере заинтересованности в изучении активов индийской электросети со стороны КНР, что предполагает ограниченный экономический шпионаж или традиционные возможности для сбора разведывательной информации.

Таргетинг, по мнению Insikt Group, предназначен для сбора информации, связанной с критически важными инфраструктурными системами, создания условий для будущей деятельности.

Официальные лица из министра энергетики Индии при этом сообщают, что предприняв две попытки, хакеры не смогли достичь своих целей.

Китай же все связи с выявленными атаки отрицает, советуя исследователям уделять больше внимания кибератакам хакеров, спонсируемых правительством США, с чем трудно не согласиться, просматривая последние отчеты западных ресерчеров. Но мы уже не раз об этом писали.

На выходных появилась новость, что киберскакуны из Network Battalion 65 aka NB65 написали своего вымогателя для работы исключительно по российским компаниям.

Это те самые noscript kiddie, которые обещали выкинуть сворованные у Касперского исходники, но не выкинули. Потому что выкидывать было нечего, не своровали ничего. Широко разрекламированный слив инфы ВГТРК почти в 800 Гб тоже оказался полухерней.

На этот раз NB65 подготовились лучше. На основе утечки сырцов Conti, организованной одним из членов банды вымогателей, являющемся украинцем (западные инфосек журналисты упорно продолжают называть его "исследователем безопасности"), хацкеры слепили свою поделку, шифрующую файлы и добавляющую расширение .NB65.

В пятницу первый образец был загружен на VirusTotal, при этом он определяется подавляющим большинством АВ решений как Conti.

Атаковать будут все российские компании, потому что "они поддерживают Путина". С учетом состояния информационной безопасности в российском коммерческом сегменте, расслабленном долгим периодом относительного безрансомья, пострадавшие безусловно будут. Сами NB65 в своем Twitter утверждают, что полученные выкупы они направят на гуманитарные цели на Украине (на Бессарабку, нацца, побегут закупаться, если вы понимаете о чем мы).

Но это все, так сказать, преамбула. А теперь - амбула.

Де факто - в Twitter сидит хакерская группа (и не одна), которая открыто заявляет, что ломает и будет ломать ресурсы и вымогать за это деньги. Выкидывает в свой аккаунт ссылки на украденную информацию. И на все это умильно смотрят и ретвитят инфосек эксперты и прочие пристегнувшиеся к движу общественные деятели. Еще бы - это же "наш сукин сын" (с).

Пресловутые двойные стандарты дошли до своего логического предела. Пытать военнопленных нельзя, но если это российские военнопленные - то можно. Воровать деньги и имущество нельзя, но если это российские деньги и имущество - то можно. Взламывать и рансомить компании нельзя, но если это российские компании - сами все понимаете.

Сдается нам, что до "Господь, жги!" осталось совсем немного. Ну или тотальная лоботомия.

Пользователям Интернет-магазинов и сервисов по онлайн-бронированиям стоит проявить бдительность, ибо популярный плагин и приложение Easy Appointments, которое на борту не у одного десятка тысяч сайтов содержит очень опасную уязвимость Broken Access Control. Уязвимость отслеживается как CVE-2022-0482 и раскрывает PII (персональную идентифицируемую информацию).

Бага позволяет злоумышленникам, не прошедшим проверку подлинности, получать доступ к данным частных пользователей, хранящимся в целевой системе, из-за ошибки в проверке разрешений API.

Разоблачение PII всегда является очень востребованной ошибкой для преступников, так как полученные данные могут использоваться в целом арсенале противоправных деяний, таких как кража личных данных, захват учетных записей, фишинг, мошенничество и так далее.

Уязвимость была обнаружена специалистом Франческо Карлуччи и сообщена разработчикам 30 января 2022 г. Исправления от Easy Appointments появились 8 марта 2022 г. и команда разработчиков призывает обновить программное обеспечение до последней стабильной версии. Кроме того, файл исправления также доступен для загрузки на github и развертывает исправление для любой предыдущей версии.

Но есть одно НО! Программное обеспечение теперь защищено, НО проблема в том, что Easy Appointments до сих пор не имеет системы автоматического обновления или уведомлений (как самые популярные WordPress/Joomla/Drupal), поэтому реальность такова, что большая часть экземпляров в сети все еще уязвимы и данные все еще находятся под угрозой.

Время покажет - помог или оказал медвежью услугу товарищ Франческо Карлуччи когда написал шаблон Nuclei, чтобы помочь исследователям безопасности легко обнаружить эту уязвимость с помощью автоматического сканирования.

Ссылку на официальный ресурс приложения публиковать не будем, по понятным причинам.

Достаточно громкое заявление сделали вымогатели Everest, анонсировав на своем DLS в TOR эпохальную жертву четко и ясно United States of America GOV.

На счету группы были аналогичные заявления, правда, в прошлый раз жертвой назначали UK GOV.

Будем посмотреть, конечно.

Потихоньку начинает проясняться история с вчерашней массовой рассылкой на наш почтовый ящик писем от различных российских и белорусских ресурсов со сбросом админ пароля.

Судя по всему, кибердружины УГИЛ (пока не запрещено в Российской Федерации) взломали OctoberCMS и сделали что-то нехорошее с рядом работавших на ней сайтов. Похоже, что дефейс с размещением информации в поддержку украинского режима. И подставили наш ящик - типа мы взламывали.

Кстати, интересная статья по взлому CMS была в свое время от Соларов, там и OctoberCMS светится.

Что сказать. ДКИБ СБУ мы чмырили задолго до 24 февраля, видимо решили нам прислать ответку через своих подконтрольных Анонимусов.

Будем держать подписчиков в курсе развития событий.

Кстати, письма с ресетом пароля продолжают падать на наш ящик, киберскакуны продолжают резвиться...

F5 Networks вплотную взялись за предполагаемую 0-day в веб-сервере NGINX, разработчика которого в 2019 году приобрела за 670 миллионов долларов.
 
Переполох навели BlueHornet, которые в минувшую субботу сообщили об эксплойте для NGINX 1.18. При этом авторы отметили, что тесты PoC проводились на нескольких компаниях и корпорациях. В их числе оказался Королевский банк Канады, а также системы китайского отделения UBS Securities.
 
Из переписки хакеров стало понятно, что эксплойт включает два этапа, начинаясь с внедрения LDAP (облегченный протокол доступа к каталогам). Совместно с NGINX используется демон ldap-auth, который позволяет использовать LDAP. В основном он используется для получения доступа к частным экземплярам Github, Bitbucket, Jekins и Gitlab.
 
Разработчики после расследования отметили, что развертывание эталонной реализации LDAP подвержено уязвимостям в случаях, если для настройки демона Python используются параметры командной строки, когда присутствуют неиспользуемые необязательные параметры конфигурации или же если аутентификация LDAP зависит от членства в конкретной группе.
 
BlueHornet, в свою очередь, поделились проблемой с командой безопасности Nginx, рассчитывая на вознаграждение в рамках bugbounty, однако не получили ответа. После чего BlueHornet создали страницу GitHub, где подробно раскрыли проблему, пояснив, что эксплойт предоставила дочерняя группа BrazenEagle, которая разрабатывала его несколько недель, с тех пор, как вышел Spring4Shell.
 
NGINX выяснили, что проблема влияет только эталонные реализации и не затрагивает NGINX Open Source или NGINX Plus. Компания уже предоставила меры по смягчению для всех уязвимых вариантов Nginx.

В арсенале у телефонных шарлатанов появилась новая малварь, а именно банковский троян под Android, который исследователи назвали Fakecalls.

Fakecalls имеет мощную функцию, которая позволяет принимать звонки на номер службы поддержки клиентов банка и связывать жертву напрямую с киберпреступниками, использующими вредоносное ПО.

Замаскированный под мобильное приложение популярного банка, Fakecalls отображает все знаки организации, которую он выдает, включая официальный логотип и номер службы поддержки. Когда жертва пытается позвонить в банк, вредоносное ПО разрывает соединение и показывает свой экран звонка, практически неотличимый от реального. В то время, пока жертва видит на экране реальный номер банка или службы поддержки, связь идет с мошенниками, которые вежливо и в меру настойчиво будут объяснять, как опустошить баланс вашего счета.

Вредоносное ПО появилось в прошлом году и было замечено в Южной Корее, против клиентов популярных банков, таких как KakaoBank или Kookmin Bank (KB), о чем рассказали соотечественники из Лаборатории Касперского.

Так как вредоносное ПО было активным не так давно и соответственно ему уделялось мало внимания, в том числе из-за его ограниченной географии, фактически же функция поддельных вызовов знаменует собой новый шаг в развитии угроз для мобильного банкинга.

Кроме того, малварь может воспроизводить предварительно записанные сообщения. Так, в ходе анализа специалисты установили, что разработчики вредоносного ПО записали несколько "дежурных" фраз, которые обычно используются банками, чтобы сообщить клиенту, что оператор ответит на его звонок, как только он станет доступен.

Полный фул комплект шпионского ПО при его установке на девайс жертвы, позволяет киберпреступникам транслировать в режиме реального времени аудио и видео с устройства, смотреть его местоположение, копировать файлы, контакты и историю текстовых сообщений.

Такая вот лютая зверюга, которая вероятно скоро расширит географию своего применения. Как рекомендуют в Лаборатории, качать и обновлять приложения необходимо из официальных магазинов и быть внимательным к потенциально опасным разрешениям, которые запрашивает приложение (доступ к звонкам, текстовым сообщениям, специальным возможностям и т.п.), особенно если приложению они не нужны.

Очередной нокдаун нанесен экосистеме сообщества открытого исходного кода.
 
На этот раз российский разработчик Виктор Мухачев npm-пакета event-source-polyfill решил выразил протест российским пользователям, в связи с проведением военной операции на Украине.
 
17 марта также известный как Yaffle добавил фрагмент кода в свою популярную библиотеку
 
Polyfill реализует существующие функций JavaScript в веб-браузерах, которые могут их не поддерживать. Пакет расширяет API-интерфейсы EventSource от Mozilla для других браузеров, в которых эта концепция может отсутствовать. Polyfill используется более чем в 135 000 репозиториях GitHub и загружается более 600 000 раз в неделю на npm.
 
Однако вновь вышедшая версия 1.0.26 event-source-polyfill запускает антивоенные сообщения пользователям из России через 15 секунд после старта и по-прежнему доступна на npm и GitHub. Приложение с обновленным кодом отображает основные тезисы антироссийской пропаганды, рекламу BBC и содержит ссылку на петицию Change.org с примерно аналогичным содержанием, которую подписали якобы 1,2 миллиона.
 
Печальнее другое, в частности, исследователи Checkmarx надолго после инцидента с polyfill нашли последователей из числа разработчиков npm с миллионами еженедельных загрузок, среди которых оказались es5-ext и styled-components.
 
Как отмечают многие исследователи, грубое нарушение этических границ и проявленный саботаж отдельных разработчиков в целом подрывают и без того шаткое доверие к библиотекам с открытым исходным кодом, что на фоне участившихся атак на цепочки зависимостей вызывает более критическую реакцию участников сообщества, нежели понимание и поддержку.