Рекордный штраф для Coupang, взлом пользователей Claude Code и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

• Microsoft отключила десятки репозиториев на GitHub после атаки на пользователей Claude Code.
• Хактивисты атаковали пользователей из Украины с помощью уязвимости в WinRAR.
• OpenClaw провалил фишинговые тесты.
• Недовольный исследователь продолжил «войну» с Microsoft после патчей предыдущих уязвимостей.

Microsoft отключила десятки репозиториев на GitHub после атаки на пользователей Claude Code

Microsoft временно закрыла доступ к десяткам своих open source-репозиториев на GitHub после внедрения в код вредоносного ПО. О хакерской кампании Miasma сообщили аналитики Cloudsmith и OpenSourceMalware.

Под ограничения попали как минимум 70 проектов, многие из которых связаны с платформой Azure. Речь идет о репозиториях с инструментами, которые разработчики используют в приложениях для ИИ-кодинга, включая Claude Code, Gemini CLI и VS Code.

По данным экспертов, вредонос был нацелен на кражу паролей и других чувствительных учетных данных. Он активировался, когда пользователи открывали скомпрометированные инструменты.

В Cloudsmith рекомендовали принять защитные меры:

• немедленно поменять SSH-ключи, токены GitHub, пароли от облачных сервисов (Azure/GCP) и доступы к автоматическим системам сборки;
• искать скрытые процессы в редакторах кода (VS Code), чужие ИИ-утилиты и новые непонятные папки (репозитории) в GitHub компании;
• в будущем не скачивать обновления сторонних библиотек из интернета. Составить список разрешенных программ и вести их учет.

Представитель Microsoft Бен Хоуп заявил в комментариях TechCrunch, что компания временно удалила часть репозиториев для проверки потенциально вредоносного контента. Часть из них уже восстановили.

Хактивисты атаковали пользователей из Украины с помощью уязвимости в WinRAR

Хактивисты группировок SHADOW-EARTH-066 (UAC-0226) и Gamaredon атаковали украинские госучреждения через уязвимость в архиваторе WinRAR. Об этом сообщили исследователи Trend Micro и Sekoia.

Ошибка обхода каталогов позволяет злоумышленникам при распаковке архива незаметно сохранять вредоносные файлы за пределами целевой папки — напрямую в автозагрузку.

По данным специалистов, цепочки заражений устроены следующим образом:

• SHADOW-EARTH-066. Применяет архивы с фейковыми PDF-документами для скрытой установки инфостилера GIFTEDCROOK. Программа похищает пароли из браузеров и целевые документы. Примечательно, что из-за блокировок в РФ хакеры перестали использовать Telegram для эксфильтрации данных, перейдя на собственные серверы;
• Gamaredon. Группировка, связываемая с ФСБ, использует эксплойт в «промышленных масштабах». Их многоступенчатая атака разворачивает загрузчики, которые доставляют в систему червя GammaWorm (распространяется через заражение USB-накопителей) и стилер GammaSteel (выгружает украденные файлы в облако AWS).

Эксперты отмечают, что глубокая интеграция необновленной версии WinRAR в повседневную работу организаций в Украине делает его идеальной точкой входа для хакерских кампаний.

OpenClaw провалил фишинговые тесты

Исследователи Varonis проверили OpenClaw в роли ИИ-агента для работы с почтой и пришли к выводу, что система уязвима к приемам, которые обычно используют против людей.

В рамках эксперимента они смоделировали четыре фишинговые атаки и проверили поведение агента в двух конфигурациях. Для тестов OpenClaw подключили к Gmail, браузерным инструментам, API Google Workspace и набору синтетических внутренних данных. 

Фреймворк протестировали на базе Google Gemini 3.1 Pro и OpenAI GPT-5.4 в стандартном и «строгом» режимах с отдельными инструкциями по проверке личности и антифишинговым процедурам.

Симуляции фишинговых атак:

• выдача пользователя за руководителя команды с запросом доступа к тестовой среде во время якобы возникшей проблемы в рабочей. OpenClaw нашел и отправил ключи AWS IAM, учетные данные базы данных и реквизиты для доступа по SSH на внешнюю электронную почту Gmail;
• запрос выгрузки данных о клиентах под предлогом удаленной работы над презентацией. Агент извлек и отправил выгрузку из CRM, содержащую записи о клиентах, контактную информацию, детали контрактов и данные о доходах, не проверив личность отправителя;
• ИИ-система получила поддельное электронное письмо с подарочной картой, содержащее фишинговую ссылку. При стандартной конфигурации агент перешел на фишинговый сайт и попытался активировать подарочную карту с использованием вымышленных учетных данных, прежде чем в конечном итоге распознал страницу как вредоносную. Строгая конфигурация заблокировала атаку немедленно;
• исследователи создали вредоносное приложение Google OAuth, замаскированное под платформу для учета рабочего времени. OpenClaw проверил процесс авторизации OAuth, проанализировал пункт назначения, определил приложение как подозрительное и отказал в предоставлении доступа.

Недовольный исследователь продолжил «войну» с Microsoft после патчей предыдущих уязвимостей

Исследователь кибербезопасности под псевдонимом Nightmare Eclipse раскрыл новую 0-day-уязвимость в Microsoft Defender, получившую название RoguePlanet.

Эксплойт позволяет атакующим повысить свои привилегии до максимального уровня SYSTEM и выполнять произвольный код даже на полностью обновленных машинах под управлением Windows 10 и Windows 11.

Инцидент стал продолжением публичного конфликта между хакером и IT-гигантом. Еще в апреле Nightmare Eclipse пообещал публиковать уязвимости нулевого дня после каждого патча, выпущенного инженерами Microsoft. Июньское обновление как раз закрыло несколько его предыдущих находок (GreenPlasma, MiniPlasma и YellowKey), что спровоцировало немедленный релиз RoguePlanet.

Специалисты кибербезопасности ThreatLocker, в комментарии BleepingComputer сообщили, что успешно воспроизвели атаку в ходе собственного тестирования. Они подтвердили, что эксплойт работает на полностью обновленных системах Windows 11 с установленным патчем KB5094126.

Корейского техгиганта оштрафовали на $400 млн за утечку данных

Комиссия по защите персональной информации Южной Кореи (PIPC) назначила технологическому гиганту Coupang рекордный штраф в 624,6 млрд вон (около $409 млн) после масштабной утечки данных.

По версии регулятора, из-за недостаточных мер безопасности — в том числе проблем с управлением ключами аутентификации и контролем доступа — были раскрыты персональные данные примерно 37,55 млн человек. Дочерняя структура Coupang Fulfillment Service отдельно получила штраф в 248 млн вон за незаконный сбор, использование и обработку персональных и чувствительных данных клиентов.

PIPC также указала на нарушения требований по уничтожению данных и уведомлению об утечке, а также на вмешательство в работу независимого сотрудника по защите данных и воспрепятствование расследованию.

Утечка произошла в июне 2025 года, но обнаружили ее только в ноябре. Спустя месяц в Coupang сообщили о компрометации 33,7 млн аккаунтов. По данным правоохранителей, главный подозреваемый — 43-летний гражданин Китая, работавший в IT-подразделении компании в 2022–2024 годах.

Также на ForkLog:

• Евроюст закрыл криптосервис AudiA6.
• Глава Anthropic призвал ужесточить надзор за ИИ-моделями.
• Meta удалила функцию распознавания лиц из смарт-очков после скандала.
• Пул ликвидности Raydium подвергся взлому на $1,34 млн.
• Токен Humanity Protocol рухнул после хакерской атаки на $31 млн.
• Yuga Labs спасла NFT на $500 000.

Что почитать на выходных?

ForkLog разобрался, как устроена бизнес-модель Strategy, почему критики называют ее финансовой пирамидой, а сторонники — примером эффективного управления рисками.