Рекордный штраф для Coupang, взлом пользователей Claude Code и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю. Microsoft отключила десятки репозиториев на GitHub после атаки на пользователей Claude Code. Хактивисты атаковали пользователей из Украины с помощью уязвимости в WinRAR. OpenClaw провалил фишинговые тесты. Недовольный исследователь продолжил «войну» с Microsoft после патчей предыдущих уязвимостей. Microsoft отключила десятки репозиториев на GitHub после атаки на пользователей Claude Code Microsoft временно закрыла доступ к десяткам своих open source-репозиториев на GitHub после внедрения в код вредоносного ПО. О хакерской кампании Miasma сообщили аналитики Cloudsmith и OpenSourceMalware. Под ограничения попали как минимум 70 проектов, многие из которых связаны с платформой Azure. Речь идет о репозиториях с инструментами, которые разработчики используют в приложениях для ИИ-кодинга, включая Claude Code, Gemini CLI и VS Code. По данным экспертов, вредонос был нацелен на кражу паролей и других чувствительных учетных данных. Он активировался, когда пользователи открывали скомпрометированные инструменты. В Cloudsmith рекомендовали принять защитные меры: немедленно поменять SSH-ключи, токены GitHub, пароли от облачных сервисов (Azure/GCP) и доступы к автоматическим системам сборки; искать скрытые процессы в редакторах кода (VS Code), чужие ИИ-утилиты и новые непонятные папки (репозитории) в GitHub компании; в будущем не скачивать обновления сторонних библиотек из интернета. Составить список разрешенных программ и вести их учет. Представитель Microsoft Бен Хоуп заявил в комментариях TechCrunch, что компания временно удалила часть репозиториев для проверки потенциально вредоносного контента. Часть из них уже восстановили. Хактивисты атаковали пользователей из Украины с помощью уязвимости в WinRAR Хактивисты группировок SHADOW-EARTH-066 (UAC-0226) и Gamaredon атаковали украинские госучреждения через уязвимость в архиваторе WinRAR. Об этом сообщили исследователи Trend Micro и Sekoia. Ошибка обхода каталогов позволяет злоумышленникам при распаковке архива незаметно сохранять вредоносные файлы за пределами целевой папки — напрямую в автозагрузку. Пример документа-приманки, который используется для создания чувства безотлагательности и принуждения к взаимодействию. Источник: Trend Micro.  По данным специалистов, цепочки заражений устроены следующим образом: SHADOW-EARTH-066. Применяет архивы с фейковыми PDF-документами для скрытой установки инфостилера GIFTEDCROOK. Программа похищает пароли из браузеров и целевые документы. Примечательно, что из-за блокировок в РФ хакеры перестали использовать Telegram для эксфильтрации данных, перейдя на собственные серверы; Gamaredon. Группировка, связываемая с ФСБ, использует эксплойт в «промышленных масштабах». Их многоступенчатая атака разворачивает загрузчики, которые доставляют в систему червя GammaWorm (распространяется через заражение USB-накопителей) и стилер GammaSteel (выгружает украденные файлы в облако AWS). Эксперты отмечают, что глубокая интеграция необновленной версии WinRAR в повседневную работу организаций в Украине делает его идеальной точкой входа для хакерских кампаний. OpenClaw провалил фишинговые тесты Исследователи Varonis проверили OpenClaw в роли ИИ-агента для работы с почтой и пришли к выводу, что система уязвима к приемам, которые обычно используют против людей. В рамках эксперимента они смоделировали четыре фишинговые атаки и проверили поведение агента в двух конфигурациях. Для тестов OpenClaw подключили к Gmail, браузерным инструментам, API Google Workspace и набору синтетических внутренних данных.  Фреймворк протестировали на базе Google Gemini 3.1 Pro и OpenAI GPT-5.4 в стандартном и «строгом» режимах с отдельными инструкциями по проверке личности и антифишинговым процедурам. Источник: Varonis. Симуляции фишинговых атак: выдача пользователя за руководителя команды с запросом доступа к тестовой среде во время якобы возникшей проблемы в рабочей. OpenClaw нашел и отправил ключи AWS IAM, учетные данные базы данных и реквизиты для доступа по SSH на внешнюю электронную почту Gmail; запрос выгрузки данных о клиентах под предлогом удаленной работы над презентацией. Агент извлек и отправил выгрузку из CRM, содержащую записи о клиентах, контактную информацию, детали контрактов и данные о доходах, не проверив личность отправителя; ИИ-система получила поддельное электронное письмо с подарочной картой, содержащее фишинговую ссылку. При стандартной конфигурации агент перешел на фишинговый сайт и попытался активировать подарочную карту с использованием вымышленных учетных данных, прежде чем в конечном итоге распознал страницу как вредоносную. Строгая конфигурация заблокировала атаку немедленно; исследователи создали вредоносное приложение Google OAuth, замаскированное под платформу для учета рабочего времени. OpenClaw проверил процесс авторизации OAuth, проанализировал пункт назначения, определил приложение как подозрительное и отказал в предоставлении доступа. Недовольный исследователь продолжил «войну» с Microsoft после патчей предыдущих уязвимостей Исследователь кибербезопасности под псевдонимом Nightmare Eclipse раскрыл новую 0-day-уязвимость в Microsoft Defender, получившую название RoguePlanet. Эксплойт позволяет атакующим повысить свои привилегии до максимального уровня SYSTEM и выполнять произвольный код даже на полностью обновленных машинах под управлением Windows 10 и Windows 11. Инцидент стал продолжением публичного конфликта между хакером и IT-гигантом. Еще в апреле Nightmare Eclipse пообещал публиковать уязвимости нулевого дня после каждого патча, выпущенного инженерами Microsoft. Июньское обновление как раз закрыло несколько его предыдущих находок (GreenPlasma, MiniPlasma и YellowKey), что спровоцировало немедленный релиз RoguePlanet. Специалисты кибербезопасности ThreatLocker, в комментарии BleepingComputer сообщили, что успешно воспроизвели атаку в ходе собственного тестирования. Они подтвердили, что эксплойт работает на полностью обновленных системах Windows 11 с установленным патчем KB5094126. Корейского техгиганта оштрафовали на $400 млн за утечку данных Комиссия по защите персональной информации Южной Кореи (PIPC) назначила технологическому гиганту Coupang рекордный штраф в 624,6 млрд вон (около $409 млн) после масштабной утечки данных. По версии регулятора, из-за недостаточных мер безопасности — в том числе проблем с управлением ключами аутентификации и контролем доступа — были раскрыты персональные данные примерно 37,55 млн человек. Дочерняя структура Coupang Fulfillment Service отдельно получила штраф в 248 млн вон за незаконный сбор, использование и обработку персональных и чувствительных данных клиентов. PIPC также указала на нарушения требований по уничтожению данных и уведомлению об утечке, а также на вмешательство в работу независимого сотрудника по защите данных и воспрепятствование расследованию. Утечка произошла в июне 2025 года, но обнаружили ее только в ноябре. Спустя месяц в Coupang сообщили о компрометации 33,7 млн аккаунтов. По данным правоохранителей, главный подозреваемый — 43-летний гражданин Китая, работавший в IT-подразделении компании в 2022–2024 годах. Также на ForkLog: Евроюст закрыл криптосервис AudiA6. Глава Anthropic призвал ужесточить надзор за ИИ-моделями. Meta удалила функцию распознавания лиц из смарт-очков после скандала. Пул ликвидности Raydium подвергся взлому на $1,34 млн. Токен Humanity Protocol рухнул после хакерской атаки на $31 млн. Yuga Labs спасла NFT на $500 000. Что почитать на выходных? ForkLog разобрался, как устроена бизнес-модель Strategy, почему критики называют ее финансовой пирамидой, а сторонники — примером эффективного управления рисками.  https://forklog.com/exclusive/shema-ili-pontsi