Каждый программист знает: не бывает идеального кода с первого раза. Бывает качественная отладка. Если в логе вашего сентября до сих пор отмечены неисправленные баги — дожди, горящие дедлайны или осенняя хандра — пришло время накатывать патчи и находить поводы для хорошего настроения, в том числе и в нашем дайджесте.
Собрали для вас свежие релизы с нашими новостями, обновления статей в блоге на Хабре. А ещё — залили в прод шуточную инструкцию-акцию по полной перезагрузке, которая ответит на главный вопрос — как выйти из IT. Читайте, применяйте и завершайте с успехом сентябрьский спринт. Погнали!
Статьи и инструкции
10 приложений для напоминаний на телефоне и компьютере
Информации так много, что стало сложнее запоминать важное — даты, встречи, задачи. Поэтому всё больше людей, а по статистике, это аж 74% пользователей, используют напоминалки. Подготовили обзор десяти классных приложений, от простых до продвинутых, чтобы вы ничего не упустили.
firstvds.ru/blog/10-prilozheniy-dlya-napominaniy-na-telefone-i-kompyutere
Протокол IPv6: что это такое и как он работает
Плохая новость: привычные нам IP-адреса когда-нибудь уйдут в прошлое. Хорошая — интернет, скорее всего, продолжит жить и расти. Уже давно на смену старому протоколу IPv4 пришёл другой — IPv6. Рано или поздно он будет работать везде. Поговорим о том, что такое IPv6, как он устроен и почему до сих не вытеснил своего предшественника.
firstvds.ru/blog/protokol-ipv6-chto-eto-takoe-i-kak-rabotaet
Habr: самое интересное за сентябрь
Сентябрь напомнил, что важно следить не только за своим кодом, но и за чужими пакетами, например, NPM. Хорошо, что взломы и уязвимости — это не всё, из чего состоит наша жизнь. И в ней всегда есть место интересным DIY-проектам, крутым историям, например, о большом телескопе, который способен заснять Вселенную, и советам экспертов по безопасности.
Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар. Тема октября: Серверное оборудование.
firstvds.ru/avtoram
Новости сентября
Акция ко Дню программиста и розыгрыш книг
Как известно, программисты — особые люди. И праздник у них тоже особенный. Многие знают, что отмечается он в 256-й день года (максимальное количество символов, которое можно закодировать в одном байте) и в обычный год выпадает на 13 сентября.
В честь такого замечательного события мы решили немного пошутить. Запустили акцию «ANTY 256 DAY» и предложили всем желающим пройти антиобразовательную программу «Выйти из IT», получить сертификаты на баланс аккаунта и поучаствовать в розыгрыше книг по программированию.
Если пропустили, есть шанс запрыгнуть в последний вагон уходящего поезда — акция действует до 30 сентября включительно. А уже 1 октября состоится долгожданный розыгрыш, и мы определим наших победителей.
firstvds.ru/actions/anti256day
Также до 30 сентября по промокоду ITEXIT можно заказать новые VDS в Москве и Амстердаме со скидкой до 35%. Чем больше период аренды, тем выше процент скидки.
Топ новостей из мира безопасности
Хотелось бы сказать, что месяц выдался спокойным, но нет… Мы уже упомянули о крупном взломе в экосистеме NPM в подборке статей на Хабре.
Критическая уязвимость в Docker Desktop угрожала безопасности Windows и macOS
Обнаружена и устранена критическая уязвимость (CVE-2025-9074, CVSS 9.3) в десктопных версиях Docker для Windows и macOS. Уязвимость типа SSRF позволяла злоумышленнику, запустившему вредоносный контейнер, получить несанкционированный доступ к хостовой системе, даже при активированной защите Enhanced Container Isolation (ECI).
Злоумышленник мог через контейнер получить доступ к Docker Engine API без аутентификации и запускать новые контейнеры. Ключевые различия по ОС:
Windows: Уязвимость была наиболее опасной — позволяла смонтировать всю файловую систему с правами администратора.
macOS: Встроенные механизмы защиты Apple срабатывали на запросы доступа к файлам, но угроза выполнения несанкционированных операций внутри самого Docker оставалась.
Проблема была исправлена в актуальной версии Docker Desktop 4.44.3. Пользователям настоятельно рекомендуется обновить ПО.
xakep.ru/2025/08/26/docker-ssrf/
Активные атаки на серверы FreePBX через критическую 0-day уязвимость
Серверы телефонии под управлением популярной платформы FreePBX подвергаются массовым атакам через уязвимость нулевого дня (0-day). Угроза, получившая идентификатор CVE-2025-57819 с максимальным баллом риска 10.0 по шкале CVSS, позволяет злоумышленникам получить полный контроль над системой.
Уязвимость заключается в недостаточной проверке пользовательских данных. Это дает атакующему возможность:
Получить несанкционированный доступ к панели администратора.
Манипулировать базой данных.
Выполнять произвольные команды на сервере с последующим повышением привилегий до root.
Проблема затрагивает устаревшие версии FreePBX 15, 16 и 17. Разработчик, компания Sangoma, уже выпустила экстренные патчи. Пользователям необходимо немедленно обновить системы до актуальных версий.
Рекомендации по защите:
Обновить FreePBX до версий 15.0.66, 16.0.89 или 17.0.3 и новее.
Ограничить доступ к административной панели из интернета, разрешив его только с доверенных IP-адресов через встроенный фаервол.
Проверить систему на признаки компрометации, включая измененный файл /etc/freepbx.conf, наличие скрипта .clean.sh или подозрительные записи в логах.
По данным на форумах, уже множество серверов были скомпрометированы, что привело к нарушению работы тысяч SIP-аккаунтов и телефонных транков.
xakep.ru/2025/09/02/freepbx-0day/
Массовая атака GhostAction скомпрометировала сотни репозиториев на GitHub
Исследователи кибербезопасности из GitGuardan обнаружили масштабную кампанию GhostAction, в результате которой было взломано 327 аккаунтов GitHub. Злоумышленники внедрили вредоносные скрипты (GitHub Actions) в 817 репозиториев, что привело к утечке 3325 конфиденциальных данных. Целью атаки стали токены доступа к ключевым сервисам разработки, включая реестры PyPI, NPM, DockerHub и облачные платформы.
Вредоносный код, замаскированный под легитимный обработчик «Github Actions Security», перехватывал и передавал на внешний сервер все переменные окружения, используемые в процессах автоматизации CI/CD.
Триггером для расследования послужили подозрительные изменения в популярном пакете FastUUID. Анализ показал, что его maintainer добавил коммит с кодом, отправляющим токен доступа к PyPI на сторонний ресурс. Благодаря оперативному реагированию, злоумышленникам не удалось воспользоваться украденными учетными данными. Владельцы затронутых проектов и администрации платформ были уведомлены о инциденте, а большая часть вредоносных коммитов уже отменена.
www.opennet.ru/opennews/art.shtml?num=63831
Фишинговая атака на разработчика привела к заражению популярных NPM-пакетов
В результате целевой фишинговой атаки злоумышленники получили доступ к учетной записи сопровождающего 18 крайне популярных NPM-пакетов, еженедельное количество загрузок которых исчисляется миллиардами. Это одна из крупнейших атак на экосистему JavaScript, которая затронула не только сами пакеты, но и сотни тысяч проектов, использующих их в качестве зависимостей.
Среди скомпрометированных библиотек — такие фундаментальные для миллионов проектов пакеты, как debug, chalk, ansi-styles и color-convert. Например, chalk и debug являются прямыми зависимостями для десятков тысяч других модулей в NPM.
Атака началась с фишингового письма, отправленного мэйнтейнеру Джошу Джунону (Josh Junon) с адреса, имитирующего службу поддержки NPM. Сообщение, маскировавшееся под уведомление о необходимости обновить настройки двухфакторной аутентификации, вело на сайт-клон npmjs.com. Этот сайт работал как прокси, в реальном времени перехватывая логин, пароль и коды 2FA жертвы.
Используя полученные учетные данные, злоумышленники опубликовали новые вредоносные версии пакетов. Код был нацелен на кражу криптовалют: он незаметно подменял реквизиты получателя в транзакциях Ethereum, Bitcoin, Solana и других сетей прямо в браузере жертвы, манипулируя данными на уровне сетевых запросов. Также сообщается о функционале для сбора паролей и токенов.
Более подробно рассказали о компрометации NPM-пакетов и дали несколько рекомендаций по устранению в статье на Хабре.
habr.com/ru/companies/first/articles/945218/
По предварительным оценкам, зараженные версии пакетов были скачаны более 2.5 миллионов раз до того, как угроза была обнаружена и нейтрализована.
www.opennet.ru/opennews/art.shtml?num=63845
Новый метод атаки VMScape позволяет обойти защиту от Spectre-BTI
Исследователи из Швейцарской высшей технической школы Цюриха обнаружили уязвимость под названием VMScape. Она позволяет обойти защиту от Spectre-BTI и из гостевой ОС в KVM/QEMU читать память гипервизора, получая конфиденциальные данные, например, ключи доступа к зашифрованным дисковым разделам.
Атака использует уязвимость спекулятивного выполнения процессора. Злоумышленник манипулирует буфером предсказания переходов (BTB), подставляя в него значения, чтобы вызвать неверное предсказание перехода. Это заставляет процессор спекулятивно выполнить переход по определённому адресу и сохранить данные в кэш. Затем злоумышленник извлекает информацию из кэша с помощью анализа времени доступа к кэш-памяти.
Процессоры и ядра ОС изначально содержат защиту от атак Spectre-BTI. Но она не учитывает, что процессы гипервизора (например, QEMU) и гостевой системы работают на одном уровне привилегий — это позволяет смешивать записи в BTB.
Для Linux уже выпустили патчи 6.16.7, 6.12.47, 6.6.106, 6.1.152, 5.15.193 и 5.10.244. В них с помощью инструкции IBPB добавили защиту, которая сбрасывает состояние предсказания переходов. Она настраивается параметром ядра vmscape и может работать в двух режимах: после каждого выхода из VM или только после первого. Её использование снижает производительность в среднем на 10%, а в задачах с активным вводом-выводом — до 51%.
Атаке VMScape подвержены почти все современные CPU: AMD Zen (все поколения), Hygon и Intel (начиная с Coffee Lake 2017 года). Частично уязвимы Intel Cascade Lake и Alder Lake. Даже современная защита Intel eIBRS не полностью блокирует атаки через буфер истории переходов (BHB). Атака пока подтверждена только для KVM/QEMU, Xen не подвержен уязвимости, другие гипервизоры изучаются.
AMD подтвердила уязвимость и планирует программные исправления. Компания Intel заявила, что существующие механизмы защиты процессоров могут помочь устранить проблему, и компания намерена сотрудничать с разработчиками Linux для реализации патчей. Ожидается, что патч будет доступен во всех основных дистрибутивах Linux и будет работать даже на новейших процессорах, где атака теоретически невозможна.
www.opennet.ru/opennews/art.shtml?num=63868
Фишинг-атака на Rust-разработчиков
Rust Foundation предупредил разработчиков о фишинговой атаке на пользователей репозитория crates.io. Злоумышленники рассылали поддельные письма, маскирующиеся под официальные уведомления от crates.io, в которых сообщали о компрометации инфраструктуры и предлагали срочно изменить учётные данные через систему единого входа (SSO).
Ссылки в письмах вели на фиктивный сайт rustfoundation.dev — копию GitHub, который мошенники использовали для перехвата логинов, паролей и кодов двухфакторной аутентификации. Подобные атаки уже наблюдались против NPM, PyPI и Mozilla AMO для публикации релизов с вредоносным кодом. Сведений об утечке учётных данных пока нет.
www.opennet.ru/opennews/art.shtml?num=63875
Вирус-вымогатель HybridPetya научился обходить защиту UEFI Secure Boot
HybridPetya — новая версия вымогателей Petya/NotPetya, которая умеет обходить защиту UEFI Secure Boot через уязвимость, исправленную в начале 2025 года.
HybridPetya работает так:
Вирус проникает в системный раздел EFI и модифицирует загрузчик UEFI, вызывая синий экран для принудительной перезагрузки.
После перезагрузки запускается буткит, который шифрует критически важные системные файлы, включая таблицу MFT с метаданными всех файлов NTFS, алгоритмом Salsa20. Процесс маскируется под стандартную проверку диска CHKDSK.
Появляется экран с требованием выкупа 1000 $ в биткоинах за ключ расшифровки.
В отличие от NotPetya, который уничтожал данные, HybridPetya позволяет их восстановить после оплаты. При вводе правильного ключа восстанавливаются оригинальные загрузчики из резервных копий и начинается постепенная расшифровка данных. Особенность вируса — использование скрытых файлов в системном разделе EFI для управления процессом.
На практике активных атак пока не зафиксировано — возможно, это исследовательский проект. Однако его появление показывает, что обход Secure Boot становится реальной угрозой.
3dnews.ru/1129210/petya-vernulsya-obnarugen-opasniy-virusvimogatel-hybridpetya-kotoriy-obhodit-uefi-secure-boot/#68c58776742eec55628b4569
Атака Phoenix (CVE-2025-6202): обход защиты DDR5 и угроза безопасности данных
Исследователи из Швейцарской высшей технической школы Цюриха и компании Google разработали новую технику атаки класса Rowhammer — Phoenix (CVE-2025-6202). Метод позволяет обходить встроенную защиту TRR в чипах DDR5 и менять конкретные биты в оперативной памяти, что может привести к повышению привилегий в системе. Атака успешно протестирована на ПК с процессором AMD Zen 4 и памятью SK Hynix DDR5.
Атака Rowhammer использует особенность архитектуры DRAM: интенсивное чтение данных из определенных областей памяти вызывает электрические помехи, приводящие к потере заряда в соседних ячейках и изменению хранимой информации. Несмотря на то что производители внедрили механизм защиты TRR (Target Row Refresh), он оказался уязвим к новым методам обхода.
Ключевые особенности Phoenix (CVE-2025-6202):
Работает на всех 15 протестированных модулях SK Hynix (2021-2024).
Для получения root-доступа на системе с AMD Ryzen 7 7700X требуется около 109 секунд.
Изменение одного бита позволяет модифицировать таблицы страниц памяти, ключи SSH или обходить проверки sudo.
Для блокировки атаки Phoenix предлагают увеличить частоту обновления памяти в три раза. Производителям рекомендуют пересмотреть архитектуру механизма защиты TRR, отказавшись от модели, основанной на сохранении в тайне принципов его работы.
Дополнительно разработана техника Rubicon для контролируемого размещения данных в памяти, что значительно ускоряет атаки (в 284 раза для Intel и в 6,8 раз для AMD). Отдельно показана возможность применения Rowhammer-атак к ИИ-системам (метод OneFlip), где изменение одного бита может кардинально изменить поведение AI-моделей: например, исказить работу модели автопилота или изменить интерпретацию дорожных знаков.
www.opennet.ru/opennews/art.shtml?num=63891
Из Windows удаляют устаревший и небезопасный язык VBScript
Корпорация Microsoft официально подтвердила планы по отказу от языка сценариев VBScript. Окончательно поддержку прекратят в течение следующих двух лет, поэтому пользователям придётся пересмотреть решения автоматизации.
VBScript основан на языке Visual Basic. Microsoft представил его в 1996 году как часть Windows 98 и NT 4.0. Он долгое время оставался ключевым инструментом для автоматизации задач и создания макросов в продуктах Microsoft Office, стал стандартом для Active Scripting-решений.
Почему решили отказаться от VBScript:
Технология устарела: современный Windows предлагает более мощные альтернативы — PowerShell, Python.
Есть проблемы с безопасностью: раньше VBScript часто использовали хакеры для распространения вредоносного ПО (Emotet, Qbot и др.).
Отключение пройдёт в три этапа: VBScript будет доступен по умолчанию до 2026–2027 года, затем станет опциональным компонентом, а в будущем — будет окончательно удалён. Соответственно, внешние VBS-скрипты и макросы перестанут поддерживаться.
Microsoft настоятельно рекомендует разработчикам и корпоративным клиентам заблаговременно перейти на современные средства автоматизации, например, PowerShell, чтобы избежать сбоев в работе приложений.
3dnews.ru/1129135/microsoft-napomnila-o-skorom-prekrashchenii-poddergki-yazika-stsenariev-vbscript-v-windows/#68c39732742eec64a88b4568
Шаи-Хулуд атакует NPM
Атаки на экосистему NPM вышли на новый уровень с появлением самораспространяющегося червя под кодовым названием «Shai-Hulud» (по имени монстра из романа Фрэнка Герберта «Дюна»). С его помощью злоумышленники автоматически заражают цепочки зависимостей, чтобы перехватить конфиденциальную информацию. Это может привести к масштабному захвату пакетов и массовым утечкам данных.
Атака представляет собой цепную реакцию:
Злоумышленники получают учётную запись сопровождающего NPM-пакета (например, с помощью фишинга).
С помощью этих данных они публикуют новый пакет релиза, который содержит вредоносный код.
Червь активируется при установке скомпрометированного пакета в числе зависимостей, используя скрипт (postinstall-хук), прописанный в package.json.
Вредоносный код запускает утилиту TruffleHog, которая сканирует систему (переменные окружения, файлы конфигурации) в поисках токенов и ключей доступа (NPM, GitHub, AWS, Azure, GCP).
Обнаружив токен доступа к каталогу NPM, червь с помощью функции NpmModule.updatePackage формирует новые вредоносные релизы для самых популярных пакетов, к которым получил доступ. Процесс включает загрузку исходного архива пакета, изменение версии, добавление постустановочного хука и повторную публикацию.
Собранные данные червь передаёт злоумышленникам. Для этого он создаёт на GitHub репозитории с именем Shai-Hulud и размещает в них файл data.json с закодированными данными, а также использует GitHub Actions для их отправки на внешние серверы.
Атака началась со взлома пакета @ctrl/tinycolor (2.2 млн загрузок в неделю). В результате червь заразил 187 пакетов, выпустил для них 477 вредоносных обновлений и продолжает распространяться. Среди поражённых — 25 пакетов компании CrowdStrike, также атака затронула проект gemini-cli от Google.
www.opennet.ru/opennews/art.shtml?num=63894
Это не единственная атака на NPM за последние месяцы: например, в июле зафиксировали волну фишинг-атак на сопровождающих JavaScript-библиотеки. В результате атаки злоумышленники, получив токен разработчика, выпустили вредоносные обновления для пяти популярных NPM-пакетов (100 млн загрузок/неделю). Поэтому репозиторий вводит усиленные меры безопасности:
Обязательная двухфакторная аутентификация при публикации пакетов.
Переход с одноразовых TOTP-паролей на протокол FIDO U2F.
Замена классических токенов на гранулированные со сроком действия 7 дней.
Внедрение механизма Trusted Publishers на основе стандарта OpenID Connect, который позволяет внешним сервисам безопасно подтверждать публикацию пакетов.
www.opennet.ru/opennews/art.shtml?num=63930
SystemBC: ботнет превращает VPS в каналы для преступников
Специалисты Lumen Technology провели расследование и предупреждают: ботнет SystemBC ищет уязвимые VPS-серверы, чтобы превратить их в прокси-каналы для злоумышленников.
Примерно с 2019 года около 1500 ботов в составе SystemBC ежедневно формируют инфраструктуру для вредоносной активности. Например, проводят с его помощью брутфорс учётных данных WordPress и продают их брокерам, чтобы они могли внедрять вредоносный код на сайты. Кроме того, ботнет служит основой для других вредоносных прокси-сервисов, например, REM Proxy.
Как происходит атака:
Операторы ботнета сканируют интернет в поисках VPS с критическими уязвимостями.
Уязвимые серверы заражают вредоносным ПО SystemBC.
Заражённый сервер становится прокси-узлом в ботнете и помогает маршрутизировать вредоносный трафик.
Сейчас ботнент SystemBC насчитывает более 80 управляющих серверов. Он известен высокой пропускной способностью — до 16 ГБ прокси-данных в сутки с одного IP.
Эксперты Lumen Technology считают, что основу ботнета SystemBC (почти 80%) составляют VPS-серверы крупных коммерческих провайдеров, имеющие хотя бы одну критическую уязвимость. Благодаря этому злоумышленникам удаётся дольше удерживать контроль над жертвами: почти 40% систем остаются заражёнными дольше месяца.
Советуем организациям и пользователям отслеживать аномалии исходящего трафика.
xakep.ru/2025/09/19/systembc/
Бэкдор BrockenDoor: новая волна атак на российские компании
Эксперты «Лаборатории Касперского» обнаружили новую кампанию хактивистов BO Team против крупных российских организаций и госсектора. Её цель — получить доступ к системам, чтобы использовать данные для уничтожения IT-инфраструктуры жертв или заразить её вирусом-шифровальщиком. Хактивисты обновили инструментарий и теперь атакуют компании с помощью новой версии бэкдора BrockenDoor.
Для проникновения в системы группировка рассылает персонализированные фишинговые письма. В одном из сценариев злоумышленники сообщают о злоупотреблении полисом ДМС и прикладывают архив с фальшивым протоколом о служебном расследовании. Сам архив — это исполняемый .exe-файл, замаскированный под PDF-документ. После запуска активируется бэкдор BrockenDoor, который передаёт на сервер хакеров данные системы (имя пользователя, ОС, файлы на рабочем столе).
Основной код BrockenDoor переписан на C#, что упрощает разработку и сокрытие кода с помощью доступных обфускаторов. Для затруднения анализа команды сокращены до 2–3 символов (например, команда set_poll_interval сократилась до spi).
xakep.ru/2025/09/26/new-brockendoor/
Уязвимость в io_uring, позволяющая повысить привилегии в Linux
Обнаружена уязвимость (CVE-2025-39698) в подсистеме io_uring ядра Linux. Она позволяет непривилегированному пользователю выполнить код на уровне ядра. Проблема связана с отсутствием проверки существования объекта перед операциями с ним.
Уязвимость устранена в обновлениях ядер 6.16.4 и 6.12.44. Обновления для дистрибутивов можно проверить на страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (если страница недоступна, исправление ещё в разработке).
www.opennet.ru/opennews/art.shtml?num=63946
В crates.io обнаружены два вредоносных пакета
Разработчики предупредили, что в репозитории Rust обнаружены пакеты faster_log и async_println с вредоносным кодом. Их опубликовали 25 мая и скачали уже 8424 раза.
Злоумышленники дали своим пакетам названия, сходные с легитимными (например, faster_log вместо fast_log), рассчитывая на невнимательность пользователей. При выполнении или тестировании проектов с этими зависимостями код искал в логах приватные ключи Solana и Ethereum и отправлял их на сервер злоумышленников.
Отдельно сопровождающих PyPI предупредили о фишинговой рассылке с угрозой блокировки учётной записи. Сообщение содержит ссылку на поддельный домен pypi-mirror.org.
www.opennet.ru/opennews/art.shtml?num=63944
Не забывайте вовремя обновляться, не переходите по ссылкам из подозрительных писем и следите за новостями безопасности. От всех угроз, возможно, такой совет не спасёт, но вероятность рисков снизит точно.
