CAPEC-448 · Внедрение вируса в DLL

Сканер-ВСкаталог уязвимостей · v4.2

CAPEC-448ДетальныйСтабильный

Абстракция: Детальный

Статус: Стабильный

Источник ↗

Внедрение вируса в DLL

Злоумышленник вносит изменения в DLL и встраивает компьютерный вирус в промежутки между легитимными машинными инструкциями. Эти промежутки могут являться результатом оптимизаций компилятора, выравнивающего блоки памяти для повышения производительности. Внедрённый вирус затем предпринимает попытки заразить любую машину, взаимодействующую с продуктом, и, возможно, похитить конфиденциальные данные или организовать прослушивание.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Продукт содержит код, носящий вредоносный характер.

Связанные уязвимости

CVE-2026-28353Trivy Vulnerability Scanner is a VS Code extension that helps find vulnerabilities. In Trivy VSCode Extension version 1.8.12, which was distributed via OpenVSX marketplace was compromised and contained malicious code designed to leverage local AI coding agent to collect and exfiltrate sensitive information. Users using the affected artifact are advised to immediately remove it and rotate environment secrets. The malicious artifact has been removed from the marketplace. No other affected artifacts have been identified.

CVE-2024-3094В upstream-архивах xz, начиная с версии 5.6.0, был обнаружен вредоносный код. С помощью серии сложных обфускаций процесс сборки liblzma извлекает предварительно созданный объектный файл из замаскированного тестового файла, существующего в исходном коде, который затем используется для изменения определенных функций в коде liblzma. Это приводит к созданию модифицированной библиотеки liblzma, которая может использоваться любым программным обеспечением, связанным с этой библиотекой, перехватывая и изменяя взаимодействие данных с этой библиотекой.

CVE-2023-2003Уязвимость встроенного вредоносного кода в Vision1210, в сборке 5 операционной системы версии 4.3, которая может позволить удаленному злоумышленнику хранить вредоносный код, закодированный в base64, в таблицах данных устройства через протокол PCOM, который затем может быть получен клиентом и выполнен на устройстве.

CVE-2017-16128Модуль npm-script-demo открыл соединение с сервером управления и контроля. Он был удален из реестра npm.

CVE-2025-10894В пакет Nx (система сборки) и несколько связанных с ним плагинов был внедрён вредоносный код. Скомпрометированный пакет был опубликован в реестре программного обеспечения npm посредством атаки на цепочку поставок. Затронутые версии содержат код, который сканирует файловую систему, собирает учетные данные и отправляет их на GitHub в репозиторий под учетной записью пользователя [1]. Для проверки, были ли вы затронуты, проверьте журналы аудита вашей учетной записи GitHub (https://github.com/settings/security-log?q=action%3Arepo.create) на наличие репозитория с именем, содержащим s1ngularity-repository. Если такой репозиторий существует, ваши учетные данные, вероятно, были скомпрометированы. Немедленно смените все учетные данные, такие как токены GitHub, NPM и другие, которые могли быть в ваших переменных окружения. Также проверьте наличие файла /tmp/inventory.txt на вашей локальной машине, который может содержать список файлов, прочитанных вредоносным ПО. Для пользователей, которые были скомпрометированы, рекомендуется сменить токены NPM и GitHub, изменить пароли GitHub и других используемых сервисов, а также проверить файлы .zshrc и .bashrc на наличие подозрительных строк. Для поддержания безопасности немедленно обновите версию Nx до последней, очистите кэши пакетного менеджера и удалите кэш директории. Поддерживающие плагины и версии Nx, которые были скомпрометированы, включают @nx/devkit@20.9.0, @nx/devkit@21.5.0, nx@20.10.0, nx@20.11.0, среди прочих. Атака была осуществлена через уязвимость в рабочем процессе GitHub Actions, позволяющую выполнять произвольные команды bash. Злоумышленник смог получить токен NPM, который был использован для публикации вредоносных версий Nx. Источники: - [1] https://access.redhat.com/security/cve/CVE-2025-10894 - [2] https://access.redhat.com/security/supply-chain-attacks-NPM-packages - [3] https://bugzilla.redhat.com/show_bug.cgi?id=2396282 - [4] https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c - [5] https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware

CVE-2026-31976xygeni-action is the GitHub Action for Xygeni Scanner. On March 3, 2026, an attacker with access to compromised credentials created a series of pull requests (#46, #47, #48) injecting obfuscated shell code into action.yml. The PRs were blocked by branch protection rules and never merged into the main branch. However, the attacker used the compromised GitHub App credentials to move the mutable v5 tag to point at the malicious commit (4bf1d4e19ad81a3e8d4063755ae0f482dd3baf12) from one of the unmerged PRs. This commit remained in the repository's git object store, and any workflow referencing @v5 would fetch and execute it. This is a supply chain compromise via tag poisoning. Any GitHub Actions workflow referencing xygeni/xygeni-action@v5 during the affected window (approximately March 3–10, 2026) executed a C2 implant that granted the attacker arbitrary command execution on the CI runner for up to 180 seconds per workflow run.

CVE-2025-59374"UNSUPPORTED WHEN ASSIGNED" Certain versions of the ASUS Live Update client were distributed with unauthorized modifications introduced through a supply chain compromise. The modified builds could cause devices meeting specific targeting conditions to perform unintended actions. Only devices that met these conditions and installed the compromised versions were affected. The Live Update client has already reached End-of-Support (EOS) in October 2021, and no currently supported devices or products are affected by this issue.

CVE-2025-59039Prebid Universal Creative (PUC) - это JavaScript API для рендеринга нескольких форматов. Пользователи npm версий PUC 1.17.3 или PUC latest были ненадолго затронуты вредоносным ПО, связанным с криптовалютой. Это включает в себя крайне популярное размещение jsdelivr этого файла. Разработчики PUC удалили версию 1.17.3. Пользователям следует обратиться к заметкам о выпуске Prebid.js 9 для получения предложений о переходе от устаревшего рабочего процесса использования PUC или указания на динамическую версию. Пользователям PUC, указывающим на latest, следует как можно скорее перейти на версию 1.17.2, чтобы избежать подобных атак в будущем.

CVE-2025-32965xrpl.js - это JavaScript/TypeScript API для взаимодействия с XRP Ledger в Node.js и браузере. Версии 4.2.1, 4.2.2, 4.2.3, 4.2.4 и 2.14.2 xrpl.js были скомпрометированы и содержали вредоносный код, предназначенный для эксфильтрации приватных ключей. Пользователям рекомендуется немедленно обновиться до версий 4.2.5 или 2.14.3 и сменить приватные ключи или секреты, использованные с затронутыми системами. Источники: - [1] https://github.com/XRPLF/xrpl.js/security/advisories/GHSA-33qr-m49q-rxfx - [2] https://www.aikido.dev/blog/xrp-supplychain-attack-official-npm-package-infected-with-crypto-stealing-backdoor

CVE-2018-25117VestaCP commit a3f0fa1 (2018-05-31) up to commit ee03eff (2018-06-13) contain embedded malicious code that resulted in a supply-chain compromise. New installations created from the compromised installer since at least May 2018 were subject to installation of Linux/ChachaDDoS, a multi-stage DDoS bot that uses Lua for second- and third-stage components. The compromise leaked administrative credentials (base64-encoded admin password and server domain) to an external URL during installation and/or resulted in the installer dropping and executing a DDoS malware payload under local system privileges. Compromised servers were subsequently observed participating in large-scale DDoS activity. Vesta acknowledged exploitation in the wild in October 2018.

CVE-2017-20203NetSarang Xmanager Enterprise 5.0 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218, and Xlpd 5.0 Build 1220 contain a malicious nssock2.dll that implements a multi-stage, DNS-based backdoor. The dormant library contacts a C2 DNS server via a specially crafted TXT record for a month‑generated domain. After receiving a decryption key, it then downloads and executes arbitrary code, creates an encrypted virtual file system (VFS) in the registry, and grants the attacker full remote code execution, data exfiltration, and persistence. NetSarang released builds for each product line that remediated the compromise: Xmanager Enterprise Build 1236, Xmanager Build 1049, Xshell Build 1326, Xftp Build 1222, and Xlpd Build 1224. Kaspersky Lab identified an instance of exploitation in the wild in August 2017.

CVE-2017-20202Web Developer for Chrome v0.4.9 contained malicious code that generated a domain via a DGA and fetched a remote script. The fetched script conditionally loaded follow-on modules that performed extensive ad substitution and malvertising, displayed fake “repair” alerts that redirected users to affiliate programs, and attempted to harvest credentials when users logged in. Injected components enumerate common banner sizes for substitution, replace third-party ad calls, and redirect victim traffic to affiliate landing pages. Potential impacts include user-level code execution in the browser context, large-scale ad fraud and traffic hijacking, credential theft, and exposure to additional payloads delivered by the actor. The compromise was reported on by the maintainer of Web Developer for Chrome on August 2, 2017 and remediated in v0.5.0.

CVE-2017-20201CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 (32-bit builds) contained a malicious pre-entry-point loader that diverts execution from __scrt_common_main_seh into a custom loader. That loader decodes an embedded blob into shellcode, allocates executable heap memory, resolves Windows API functions at runtime, and transfers execution to an in-memory payload. The payload performs anti-analysis checks, gathers host telemetry, encodes the data with a two-stage obfuscation, and attempts HTTPS exfiltration to hard-coded C2 servers or month-based DGA domains. Potential impacts include remote data collection and exfiltration, stealthy in-memory execution and persistence, and potential lateral movement. CCleaner was developed by Piriform, which was acquired by Avast in July 2017; Avast later merged with NortonLifeLock to form the parent company now known as Gen Digital. According to vendor advisories, the compromised CCleaner build was released on August 15, 2017 and remediated on September 12, 2017 with v5.34; the compromised CCleaner Cloud build was released on August 24, 2017 and remediated on September 15, 2017 with v1.07.3214.

CVE-2020-15165Версия 1.1.6-free Chameleon Mini Live Debugger в Google Play Store, возможно, имела свои исходные коды или разрешения, измененные злоумышленником. Официальный мейнтейнер пакета рекомендует всем пользователям как можно скорее обновиться до версии 1.1.8. Для получения дополнительной информации ознакомьтесь с указанным советом по безопасности GitHub.

CVE-2025-59331is-arrayish проверяет, может ли объект быть использован как Массив. 8 сентября 2025 года учетная запись npm для is-arrayish была взломана в результате фишинговой атаки. Была опубликована версия 0.3.3, функционально идентичная предыдущей версии с исправлением, но с добавленным вредоносным ПО, пытающимся перенаправить транзакции криптовалюты на адреса злоумышленника в среде браузера. Локальные среды, серверные среды, командные приложения и т. д. не затронуты. Если пакет использовался в контексте браузера (например, через прямое включение <script> или с помощью инструмента bundling, такого как Babel, Rollup, Vite, Next.js и т. д.), существует вероятность того, что вредоносное ПО все еще присутствует, и такие сборки необходимо будет пересобрать. Вредоносное ПО, по-видимому, нацелено только на транзакции криптовалюты и кошельки, такие как MetaMask. npm удалил вредоносный пакет из реестра в течение дня 8 сентября, предотвратив дальнейшие загрузки из npm. 13 сентября владелец пакета опубликовал новые версии с исправлением, чтобы обновить кэш пользователей частных реестров, у которых могла остаться скомпрометированная версия. Пользователям следует обновиться до последней версии с исправлением, полностью удалить директорию node_modules, очистить глобальный кэш менеджера пакетов и пересобрать любые сборки браузера с нуля. Тем, кто использует частные реестры или зеркала реестра, следует очистить скомпрометированные версии из кэшей. Проблема решена в версии 0.3.4. Источники: - [1] https://github.com/Qix-/node-is-arrayish/security/advisories/GHSA-frh7-2f84-v9mw - [2] https://github.com/debug-js/debug/issues/1005 - [3] https://socket.dev/blog/npm-author-qix-compromised-in-major-supply-chain-attack - [4] https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised - [5] https://www.ox.security/blog/npm-packages-compromised