V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CAPEC-442СтандартСтабильный
Абстракция: Стандарт
Статус: Стабильный
Источник ↗

Заражённое программное обеспечение

Злоумышленник добавляет вредоносную логику, нередко в форме компьютерного вируса, в иное безобидное программное обеспечение. Эта логика зачастую скрыта от пользователя программного обеспечения и работает в фоновом режиме, производя негативные воздействия. Зачастую вредоносная логика внедряется в пустое пространство между легитимным кодом и вызывается при запуске программного обеспечения. Данный шаблон атаки ориентирован на программное обеспечение, уже введённое в эксплуатацию, в отличие от ПО, находящегося в стадии разработки и являющегося частью цепочки поставок.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

CWE-506
Продукт содержит код, носящий вредоносный характер.

Связанные уязвимости

CVE-2026-28353Trivy Vulnerability Scanner - это расширение VS-кода, которое помогает найти уязвимости. В Trivy VScoode Extension версии 1.8.12, которая распространялась через OpenVSX, была скомпрометирована и содержала вредоносный код, предназначенный для использования локального кодирующего агента ИИ для сбора и эксфильтрации конфиденциальной информации. Пользователям, использующим пораженный артефакт, рекомендуется немедленно удалить его и повернуть секрет окружающей среды. Вредоносный артефакт был удален с рынка. Других затронутых артефактов выявлено не было.
CVE-2024-3094В upstream-архивах xz, начиная с версии 5.6.0, был обнаружен вредоносный код. С помощью серии сложных обфускаций процесс сборки liblzma извлекает предварительно созданный объектный файл из замаскированного тестового файла, существующего в исходном коде, который затем используется для изменения определенных функций в коде liblzma. Это приводит к созданию модифицированной библиотеки liblzma, которая может использоваться любым программным обеспечением, связанным с этой библиотекой, перехватывая и изменяя взаимодействие данных с этой библиотекой.
CVE-2026-6443Все плагины от Essentialplugin для WordPress уязвимы для инъекционного бэкдора в различных версиях. Это связано с тем, что плагин был продан злонамеренному игроку, который встроил бэкдор во все приобретенные ими плагины. Это позволяет злоумышленнику поддерживать постоянный бэкдор и вводить спам в пострадавшие участки.
CVE-2023-2003Уязвимость встроенного вредоносного кода в Vision1210, в сборке 5 операционной системы версии 4.3, которая может позволить удаленному злоумышленнику хранить вредоносный код, закодированный в base64, в таблицах данных устройства через протокол PCOM, который затем может быть получен клиентом и выполнен на устройстве.
CVE-2017-16128Модуль npm-script-demo открыл соединение с сервером управления и контроля. Он был удален из реестра npm.
CVE-2026-45758Guardrails AI - это фреймворк Python, который помогает создавать приложения ИИ. 11 мая 2026 года примерно в 18:00 по тихоокеанскому времени злоумышленник опубликовал вредоносную версию «гардеррейл-ай» (0.10.1) для PyPI. Любой пользователь, установивший `guardrails-ai==0.10.1` с PyPI 11 мая 2026 года, может пострадать. Исследователи безопасности идентифицировали вредоносный пакет в течение примерно 2 часов после публикации, а PyPI покрыл хранилище. Основываясь на нашей телеметрии, хранители ИИ Guardrails не наблюдали запросов на инфраструктуру ИИ Guardrails, исходя из вредоносной версии 0,10.1, а обзор системных и журналов доступа не привел никаких доказательств эксфильтрации пользовательских данных через свои системы. Пользователи должны обновиться до версии 0.10.2 или понизить рейтинг до версии 0.10.0, оба из которых не затронуты. Те, кто установил версию 0.10.1, должны повернуть любые учетные данные, доступные с их машины (GitHub PATs, ключи облачных провайдеров, токены реестра пакетов, ключи API) и провести аудит своей учетной записи GitHub на предмет несанкционированных рабочих процессов или репозиториев.
CVE-2026-45321Выполнение произвольного кода в TanStack
CVE-2025-10894В пакет Nx (система сборки) и несколько связанных с ним плагинов был внедрён вредоносный код. Скомпрометированный пакет был опубликован в реестре программного обеспечения npm посредством атаки на цепочку поставок. Затронутые версии содержат код, который сканирует файловую систему, собирает учетные данные и отправляет их на GitHub в репозиторий под учетной записью пользователя [1]. Для проверки, были ли вы затронуты, проверьте журналы аудита вашей учетной записи GitHub (https://github.com/settings/security-log?q=action%3Arepo.create) на наличие репозитория с именем, содержащим s1ngularity-repository. Если такой репозиторий существует, ваши учетные данные, вероятно, были скомпрометированы. Немедленно смените все учетные данные, такие как токены GitHub, NPM и другие, которые могли быть в ваших переменных окружения. Также проверьте наличие файла /tmp/inventory.txt на вашей локальной машине, который может содержать список файлов, прочитанных вредоносным ПО. Для пользователей, которые были скомпрометированы, рекомендуется сменить токены NPM и GitHub, изменить пароли GitHub и других используемых сервисов, а также проверить файлы .zshrc и .bashrc на наличие подозрительных строк. Для поддержания безопасности немедленно обновите версию Nx до последней, очистите кэши пакетного менеджера и удалите кэш директории. Поддерживающие плагины и версии Nx, которые были скомпрометированы, включают @nx/devkit@20.9.0, @nx/devkit@21.5.0, nx@20.10.0, nx@20.11.0, среди прочих. Атака была осуществлена через уязвимость в рабочем процессе GitHub Actions, позволяющую выполнять произвольные команды bash. Злоумышленник смог получить токен NPM, который был использован для публикации вредоносных версий Nx. Источники: - [1] https://access.redhat.com/security/cve/CVE-2025-10894 - [2] https://access.redhat.com/security/supply-chain-attacks-NPM-packages - [3] https://bugzilla.redhat.com/show_bug.cgi?id=2396282 - [4] https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c - [5] https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware
CVE-2026-33634Выполнение произвольного кода в Aqua Security Trivy
CVE-2026-8398Атака в цепочке поставок скомпрометировала официальные пакеты установки DAEMON Tools Lite (версии Windows с 12.5.0.2421 по 12.5.0.2434), распространяемые с законного веб-сайта deamon-tools.cc примерно с 8 апреля 2026 года по 5 мая 2026 года. Злоумышленники получили несанкционированный доступ к инфраструктуре сборки или распространения поставщика (AVB Disc Soft) и троянизировали три двоичных файла: DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe. Эти файлы были подписаны в цифровом виде с законным сертификатом подписи кода AVB Disc Soft, что позволило злоумышленникам казаться заслуживающими доверия и обходить обнаружение на основе сигнатуры.
CVE-2026-48027Nx Console - это пользовательский интерфейс для Nx & Lerna. 19 мая 2026 года вредоносная версия Nx Console, 18.95.0, была опубликована в 12:30 вечера UTC и удалена вскоре после этого в 12:48 вечера UTC, оставив ее доступной в течение ~ 18 минут в Visual Studio Marketplace. Для OpenVSX проблема была обнаружена позже, а скомпрометированная версия была доступна с 12:33 UTC до 13:09 UTC (~36 минут). Версия 18.100.0 консоли Nx не скомпрометирована, и пользователи могут исправить, перейдя на эту версию.
CVE-2026-44484PyTorch Lightning - это основа глубокого обучения для предварительной подготовки и настройки моделей ИИ. Версии 2.6.2 и 2.6.2 имеют функциональные возможности, соответствующие механизму сбора данных.
CVE-2026-34424Smart Slider 3 Pro версии 3.5.1.35 для WordPress и Joomla содержит многоступенчатый набор инструментов удаленного доступа, введенный через скомпрометированную систему обновлений, которая позволяет неаутентифицированным злоумышленникам выполнять произвольный код и команды. Злоумышленники могут инициировать удаленное выполнение оболочки перед аутентификацией через HTTP-заголовки, устанавливать аутентифицированные бэкдоры, принимающие произвольные код PHP или команды ОС, создавать скрытые учетные записи администратора, эксфильтровать учетные данные и ключи доступа, а также поддерживать настойчивость через несколько точек впрыска, включая обязательные плагины и модификации основных файлов.
CVE-2026-31976xygeni-action — это GitHub Action for Xygeni Scanner. 3 марта 2026 года злоумышленник с доступом к скомпрометированным учетным данным создал серию запросов на вытягивание (#46, #47, #48), вводя запутанный код оболочки в action.yml. PR были заблокированы правилами защиты филиалов и никогда не сливались с основным ветвлением. Тем не менее, злоумышленник использовал скомпрометированные учетные данные GitHub App, чтобы переместить изменчивый тег v5, чтобы указать на вредоносный коммит (4bf1d4e19ad81a3e8d4063755ae0f482d3baf12) из одного из необъединенных PR. Это обязательство осталось в магазине git-объектов хранилища, и любой рабочий процесс, ссылаясь @v5 на него, будет приходить и выполнять его. Это компромисс в цепочке поставок путем отравления тегами. Любой рабочий процесс GitHub Actions, ссылающийся на xygeni/xygeni-action@v5 во время затронутого окна (примерно 3–10 марта 2026 года), выполнил имплантат C2, который предоставил злоумышленнику произвольную командную казнь на бегуне CI до 180 секунд за рабочий процесс.
CVE-2025-59374«БЕЗ ПОДДЕРЖИВАЮЩИЕ КОГДА НАЗНАЧЕНЫ» Определенные версии клиента ASUS Live Update были распространены с несанкционированными изменениями, введенными через компромисс в цепочке поставок. Модифицированные сборки могут привести к тому, что устройства, отвечающие конкретным условиям таргетинга, будут выполнять непреднамеренные действия. Пострадали только устройства, которые соответствовали этим условиям и установили скомпрометированные версии. Клиент Live Update уже достиг End-of-Support (EOS) в октябре 2021 года, и ни на которые в настоящее время поддерживаются устройства или продукты, не затронуты этой проблемой.