Сегодня в ТОП-5 — обнаружен первый ИИ-шифровальщик PromptLock, пакеты nx в npm скомпрометированы вредоносным кодом, Silver Fox APT атакует системы Windows через уязвимые подписанные драйверы, критическая уязвимость в Google Chrome позволяла выполнять произвольный код, ошибка в настройке Active Directory CS может привести к компрометации домена.
Обнаружен первый ИИ-шифровальщик PromptLock
Специалисты ESET обнаружили прототип ransomware, который генерирует вредоносные сценарии в режиме реального времени при помощи локально запущенной LLM на базе модели gpt-oss:20b. Код одинаково работает на Windows, Linux и macOS, что делает угрозу кроссплатформенной, а генерация вредоносных скриптов происходит в режиме реального времени. Хотя образец носит характер Proof of Concept, данная находка демонстрирует снижение порога для разработки вымогателей с использованием ИИ. Рекомендуется ограничить запуск локальных LLM/интерпретаторов на рабочих станциях, усилить поведенческие правила EDR для признаков шифрования и генерации Lua-скриптов.
Пакеты nx в @npm скомпрометированы вредоносным кодом
Специалисты из Aikido Intel сообщили об обнаружении вредоносных версий @nx в репозитории npm, которые имеют примерно 6 млн скачиваний в неделю. Nx используется для управления репозиториями и автоматизации сборки приложений. Постинсталляционный скрипт сканировал окружение разработчика, собирал токены и публиковал их открыто в GitHub-репозитории с префиксом s1ngularity-repository на аккаунте жертвы, что создавало немедленный риск несанкционированного доступа к исходному коду, CI/CD и облачным ресурсам. Уязвимые версии из пространства имен @nx и связанные плагины оперативно удалены из репозитория npm. Рекомендуется провести ротацию секретов, поиск/удаление автосозданных s1ngularity-repository и ревизию зависимостей и отключение небезопасных postinstall в политике сборки.
Silver Fox APT атакует системы Windows через уязвимые подписанные драйверы
Исследователи Check Point Research раскрыли группировку Silver Fox APT, которая в своих атаках загружает уязвимый драйвер amsdk.sys от WatchDog Antimalware. Драйвер был подписан Microsoft и отсутствовал в Microsoft Vulnerable Driver Blocklist на момент исследования. Драйвер amsdk.sys используется для принудительного завершения защищенных процессов современных средств защиты. Рекомендуется включить и настроить обновления для MS Blocklist/HVCI, включить запрет загрузки неподписанных/уязвимых драйверов, проводить мониторинг служб SERVICE_KERNEL_DRIVER.
Критическая уязвимость в Google Chrome позволяла выполнять произвольный код
В Google Chrome была исправлена критическая уязвимость CVE-2025-9478 (CVSS: 8.8), которая затрагивает Use-After-Free в компоненте ANGLE. Уязвимость возникает при обработке графического содержимого и может приводить к исполнению произвольного кода в контексте браузера при посещении специально сформированной HTML-страницы. Потенциальная эксплуатация позволяет злоумышленнику обойти механизмы защиты и получить доступ к системе пользователя. Рекомендуется обновить Google Chrome до версии 139.0.7258.154, включить автоматические обновления для своевременного получения патчей, внеплановый перезапуск браузеров.
Ошибка в настройке Active Directory CS может привести к компрометации домена
Исследователи BI.ZONE разобрали технику ESC3, которая позволяет злоумышленнику получить сертификат агента регистрации (EKU Certificate Request Agent) в центре сертификации (CS) Active Directory по шаблону без требований подписи и одобрения, открытом для низкопривилегированных пользователей. Далее этот сертификат используется для запроса сертификата от имени жертвы по второму уязвимому шаблону с EKU-аутентификацией (ClientAuth/SmartCard), где запрос «от агента» разрешен и одобрение отключено. При отсутствии ограничения Enrollment Agents на CA атака приводит к выпуску сертификата на привилегированную учетную запись вплоть до группы доменных администраторов и последующему получению TGT через PKINIT. Рекомендуется включить Restrict Enrollment Agents, установить требование msPKI-RA-Signature ≥ 1, ввести ограничение прав Enroll, а также вести инвентаризацию шаблонов и проводить регулярный аудит.
Источник: habr.com