Hackere bytter til Tsundere Bot i nye løsepengeangrep . Ny sandbox escape sårbarhet utsetter n8n instanser for RCE angrep. Falsk Moltbot AI kodeassistent på VS Code Marketplace sprer skadevare.
Hackere bytter til Tsundere Bot i nye løsepengeangrep
Trusselaktøren TA584 trapper opp virksomheten og bruker nå Tsundere Bot og XWorm for å skaffe seg initial tilgang som kan ende i løsepengeangrep.
Angrepene starter med e‑poster fra kompromitterte kontoer som leder ofre gjennom filtrering, CAPTCHA og en falsk ClickFix side som får dem til å kjøre en PowerShell kommando. Denne laster ned og kjører enten XWorm eller Tsundere Bot, et fleksibelt "Malware as a Service" verktøy som kan samle informasjon, bevege seg i nettverket og hente ned andre ondartede komponenter.
Proofpoint ser en kraftig økning i TA584 aktivitet og forventer at aktøren vil fortsette å utvide målrettingen og eksperimentere med nye verktøy.
Ny sandbox escape sårbarhet utsetter n8n instanser for RCE angrep
Det er avdekket to alvorlige sårbarheter i n8n, en populær plattform for workflow automatisering, som gjør det mulig for autentiserte angripere å bryte ut av sandbox miljøer og utføre vilkårlig kode på vertsoperativsystemet.
Sårbarhetene påvirker både JavaScript baserte eval noder og Python noder, der utilstrekkelig isolering gjør det mulig å få tilgang til hovedprosessen, miljøvariabler og underliggende systemressurser. Vellykket utnyttelse kan føre til full kompromittering av n8n instansen, inkludert eksponering av API nøkler, tokens, legitimasjon og videre lateral bevegelse i interne nettverk. Gitt at n8n ofte brukes som et sentralt integrasjonspunkt mot interne systemer og tredjepartstjenester, vurderes konsekvensene som betydelige selv om angrepene krever autentisert tilgang.
Oppdater n8n umiddelbart til versjoner som inneholder sikkerhetsfikser: CVE-2026-1470: 1.123.17, 2.4.5, 2.5.1 eller nyere, CVE-2026-0863: 1.123.14, 2.3.5, 2.4.2 eller nyere
Falsk Moltbot AI kodeassistent på VS Code Marketplace sprer skadevare
En ny, falsk Visual Studio Code utvidelse som utgir seg for å være en Moltbot basert AI kodeassistent ble nylig oppdaget på den offisielle VS Code Marketplace. Utvidelsen, kalt “ClawdBot Agent – AI Coding Assistant”, ble publisert 27. januar 2026 av en bruker med navnet clawdbot, til tross for at Moltbot ikke har noen legitim VS Code utvidelse.
Når den installeres, kjører den automatisk ved oppstart av VS Code og henter en config.json fra en ekstern server. Denne instruerer utvidelsen til å kjøre en ondartet binær kalt Code.exe, som installerer et legitimt fjernstyringsverktøy som ConnectWise ScreenConnect og kobler seg til angriperens infrastruktur for vedvarende ekstern tilgang. Utvidelsen har også flere reservemekanismer, blant annet ved å laste ned og sideloade en Rust kompilert DLL (DWrite.dll) fra Dropbox. I tillegg inneholder den hardkodede alternative URLer og batch skript som kan hente ondartede komponenter fra andre domener.
Angrepet utnytter Moltbots økende popularitet for å lure utviklere, og kan kompromittere både utviklingsklienter og tilknyttede nettverk. Microsoft har fjernet utvidelsen etter funnene.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.