Хабр, привет! Меня зовут Никита Евдокимов, я работаю старшим разработчиком в «Лаборатории Касперского», а также являюсь мейнтейнером репозитория Kaspresso. Это наш фреймворк для тестирования пользовательских интерфейсов на Android, основанный на Kakao, Espresso и UI Automator.

Недавно в нем появилась новая функция: сравнение скриншотов. С ней можно записывать скриншоты приложения, а на последующих прогонах автотестов сравнивать их с новыми скриншотами и отслеживать изменения в интерфейсе. В статье я пошагово покажу, как с ней работать, со скриншотами и примерами кода.

Материал подойдет для как опытных, так и начинающих специалистов в области автотестирования, а также для дизайнеров: функция облегчает автоматическое тестирование, с ней быстрее и проще проверять, соответствует ли разработанное приложение макету.

Громкой новостью прошлой недели стал взлом библиотеки LiteLLM, используемой в качестве посредника для коммуникации с большим количеством языковых моделей (сообщение от разработчиков, новость на Хабре). Через другое вредоносное приложение на Python была взломана учетная запись мейнтейнера проекта, после чего сразу две версии LiteLLM (1.82.7 и 1.82.8) с вредоносными модулями были загружены в репозиторий PyPI. Отчет с анализом вредоносного кода опубликовали эксперты «Лаборатории Касперского».

В версии 1.82.7 вредоносный код был встроен в файл proxy_server.py. В версии 1.82.8 дополнительно появился .pth-файл, благодаря которому вредоносный код выполнялся при каждом запуске интерпретатора, даже если зараженная библиотека не использовалась. После запуска зараженный скрипт начинал рекурсивный обход рабочих директорий в системе жертвы. В каждой директории скрипт просматривал содержимое файлов, которое выводил в буфер stdout и сохранял в файл для последующей отправки на командный сервер злоумышленников. Далее скрипт собирал информацию о системе и также сохранял в файл. После этого он переходил к поиску конфиденциальных данных, включая следующие типы: 

Исследователи компании Eclypsium в свежем отчете сообщают об обнаружении целого набора уязвимостей в четырех пользовательских адаптерах IP-KVM. Такие адаптеры, как следует из названия, позволяют удаленно управлять компьютером, эмулируя клавиатуру, мышь и внешний дисплей. Компрометация таких адаптеров, соответственно, позволяет полностью перехватить контроль над управляемым устройством. В Eclypsium справедливо предположили, что дешевые (от 30 до 100 долларов) пользовательские устройства будут хуже защищены, чем аналогичные решения для применения в корпоративных сетях.

На прошлой неделе исследователь Крис Азиз опубликовал информацию о новом способе обхода систем безопасности, якобы позволяющем протаскивать вредоносное ПО под видом обычного ZIP-архива. В свойствах каждого архива в этом формате есть поле Compression Method. При желании данные в архиве можно вовсе не сжимать, и тогда в этом поле будет прописано 0 (STORED). Обычный сжатый архив имеет свойство DEFLATE compressed. Защитному решению или архиватору данный статус указывает на то, что архив нужно сначала распаковать.

«Метод», предложенный Азизом, максимально простой. Устанавливаем в поле Compression Method статус STORED (сжатие отсутствует) для обычного архива со сжатием данных, у которого в норме должен быть флаг DEFLATE Compressed. Собственно, на этом все. Защитные решения доверяют описанию архива и сканируют его как контейнер с несжатыми данными. Так как на самом деле данные заархивированы, вредоносное содержимое не будет прочитано. Что открывает возможность «протаскивания» вредоносного кода на компьютер жертвы с последующим выполнением. Но именно на стадии выполнения вредоносного кода казалось бы стройная идея исследователя быстро рушится.

Эксперты «Лаборатории Касперского» опубликовали итоговый отчет по угрозам для мобильных устройств за 2025 год. Всего за прошлый год было предотвращено более 14 миллионов атак с использованием вредоносного или рекламного ПО. Было обнаружено около 815 тысяч вариантов вредоносных программ, из которых 255 тысяч относились к банковским троянам. Большая часть вредоносного ПО относится к классу Adware (62%) и RiskTool (19%), троянские программы составили чуть больше 17% от общего количества зловредов, банковские трояны — 9%. При этом, по сравнению с 2024 годом, количество вредоносных программ, наносящих реальный урон, выросло, а доля нежелательного рекламного ПО снизилась.

Отдельный интерес представляют приведенные в отчете примеры неординарного вредоносного ПО, обнаруженного в 2025 году. Это, например, выявленный в конце 2025 года бэкдор Keenadu, который встраивался прямо в прошивки ряда поддельных Android-смартфонов. В отчете также отмечен IoT-ботнет Kimwolf (обзор на китайском языке), нацеленный на приставки Android TV. Зараженные устройства в дальнейшем использовались для проведения DDoS-атак.

Совсем недавно мы писали о приписываемой северокорейской группировке атаке, целью которой были разработчики ПО, находящиеся в процессе поиска работы. На прошлой неделе исследователи компании Microsoft опубликовали отчет о еще одной похожей атаке. В более раннем исследовании основное внимание было уделено социальной инженерии, в то время как Microsoft подробно рассказывает о технической стороне атаки.

Общая схема атаки показана на скриншоте выше. В процессе интервью разработчику присылают ссылку на код веб-приложения, написанного с использованием фреймворка Next.js. Код хранился на сервисе Bitbucket. Организаторы атаки предусмотрели несколько вариантов выполнения вредоносного кода, содержащегося в проекте. Например, может использоваться автоматизация для Visual Studio Code, которая дает команду на выполнение сразу после того, как разработчик открыл проект и обозначил его как доверенный.

У нас в «Лаборатории Касперского» есть команда анализа защищенности, занимающаяся поиском уязвимостей в самых разнообразных системах. В ней работают эксперты, способные исследовать практически любое устройство (и публикующие технические заметки о своих находках). Но в жизни практически каждого исследователя безопасности прошивок однажды наступает момент, когда он или она сталкивается с новым или не особо известным микроконтроллером или свежей процессорной архитектурой с кастомными расширениями. В последнее время такие моменты наступают все чаще — за прошедшие несколько лет рынок наполнился огромным количеством новых чипов из Поднебесной, в частности, на базе RISC-V, со своими собственными расширениями и реализациями ядер. И вот не так давно на анализ нашим исследователям попало устройство c таким чипом на базе RISC-V, c базовым набором инструкций RV32I и расширением P (причем еще и не последней версии), добавляющим короткие SIMD-операции (Packed-SIMD Instructions).

То, что наши эксперты видели его впервые — абсолютно нормально. Но, по всей видимости, его впервые видел и IDA Pro — инструмент, которым пользуются наши исследователи. Поэтому им пришлось не только изучить ранний черновик расширения P (оно же Packed-SIMD Extension), но также реализовать поддержку IDA Pro ряда инструкций из него и произвести лифтинг, то есть трансляцию инструкций в промежуточное представление или язык, понятные декомпилятору. Именно этим опытом они и решили поделиться в данной статье.

Но прежде чем переходить к описанию решения этих задач, стоит понять, с чем мы имеем дело, поэтому начать следует со знакомства с документацией по архитектуре RISC-V.

Что вы знаете об атаках на графические процессоры? Наверняка ничего приятного: они крайне распространены на мобильных устройствах, классические «песочницы» от них не защищают, и компрометация лишь одного драйвера может поставить под угрозу все ядро…

Меня зовут Денис Молодяков, и я — лид команды графики в KasperskyOS. Идея этого текста возникла во время одного моего выступления на конференции по системной разработке. Тогда из зала задали вопрос, который касался безопасности работы драйверов GPU. Слушатель ссылался на кейсы с «подламыванием» механизма управления видеопамятью драйверов на Android для интегрированных ускорителей семейства ARM Mali и спросил, как наша ОС сможет этому противостоять.

Поэтому в данном материале я подробно расскажу о сути этой коварной атаки, а также рассмотрю и другие типы атак через GPU. В заключение я смоделирую подобные сценарии для нашей микроядерной KasperskyOS и покажу, как мы их митигируем.

На прошлой неделе опубликовано сразу два новых исследования об атаках типа ClickFix, в которых пользователя так или иначе мотивируют самостоятельно выполнять вредоносный код в командной строке. Команда Microsoft Threat Intelligence поделилась чуть более сложным, чем обычно, вариантом атаки, продемонстрированном на скриншоте ниже. Как правило, команда, которую злоумышленники заставляют запустить, содержит адрес, с которого загружается и выполняется вредоносный скрипт. Вероятно, для того чтобы усложнить детектирование атаки в корпоративном окружении и продлить жизнь вредоносной инфраструктуре, в этот простой сценарий вставлен еще один шаг: обращение к контролируемому DNS-серверу.

От имени пользователя происходит обращение к DNS-серверу c использованием утилиты nslookup, запрашиваются данные для домена example.com. Из полученных в ответ данных выделяется строка NAME:, которая и содержит вторую часть вредоносного скрипта. Он, в свою очередь, напрямую скачивает ZIP-архив с набором вредоносных программ. На финальной стадии один из VBS-скриптов прописывается в автозапуск и на компьютер жертвы устанавливается троянская программа ModeloRAT. Это далеко не самый изощренный вариант атаки ClickFix. Ранее та же Microsoft сообщала о нетривиальной тактике, предусматривающей намеренное выведение из строя браузера путем установки вредоносного расширения под видом адблокера.

Привет, Хабр! Меня зовут Григорий и я руковожу департаментом продуктового дизайна в «Лаборатории Касперского». Хочу рассказать историю, которая началась как форс-мажор, продолжилась как управленческий челлендж и закончилась как хорошая тренировка, позволившая нам проверить устойчивость процессов, силу команды и надежность новых технологических партнёров.

Речь пойдёт о том, как в один момент может перевернуться жизнь целого дизайн-департамента (и не только), вынужденного сменить основной рабочий инструмент с Figma на Pixso и как грамотная организация работы помогает минимизировать влияние на непрерывность бизнес-процессов при экстренном переходе на другое решение.

Как и большинство продуктовых команд на рынке, мы проектировали интерфейсы в Figma. Дизайн-системы, библиотеки компонентов, процессы передачи в разработку, плагины, синхронизация процессов все было выстроено в Figma за последние пять-шесть лет, все стабильно работало и обеспечивало скорость выпуска продуктов. Но однажды ночью эта стабильность пошатнулась: мы узнали, что продукт придется сменить.

В этом посте я хочу поделиться опытом экстренной миграции, рассказать о сложностях, с которыми мы столкнулись, о найденных путях их преодоления, и о том, как в процессе вынужденной замены привычного инструмента нашли технологических партнеров, готовых меняться под наши задачи и расти вместе с нами.

На прошлой неделе компания ReversingLabs опубликовала подробный отчет о вредоносной кампании, направленной на разработчиков ПО, занятых в индустрии криптовалют. Кампания атрибутирована группировке Lazarus, работающей из Северной Кореи и известной благодаря атакам, целью которых является кража цифровой валюты. В данном случае речь идет о весьма продуманной и хорошо спланированной операции, жертвами которой становятся программисты, ищущие работу. Привлекательные, но вполне реалистичные вакансии ведут к тестовому заданию, содержащему вредоносный код.

Авторы отчета отдают должное организаторам атаки: их легенда была подготовлена с большим вниманием к деталям. Поддельная компания Veltrix Capital имела собственный веб-сайт, регулярно обновляемые аккаунты в соцсетях, а также собственный репозиторий в GitHub. «Вакансии» от имени несуществующей компании публиковались на LinkedIn и в профильных сообществах на Reddit. Некоторым потенциальным жертвам предложения рассылались лично, причем, вероятно, для этого нанимались настоящие рекрутеры-фрилансеры. Сами вакансии (как показано на скриншоте выше) выглядели максимально правдоподобно, с щедрыми, но реалистичными окладами. Во всех случаях было указано, что требуется или желателен опыт работы в финтехе.

Привет, Хабр! Меня зовут Юрий Леметюйнен. Сейчас в «Лаборатории Касперского» я занимаюсь тестированием железа в процессе разработки KasperskyOS для мобильных устройств.

Каждая железка — произведение искусства, к которому нужен особый подход. При тестировании нашей ОС для смартфона мы столкнулись с тем, что часть багов тачскрина невозможно стабильно воспроизвести и проверить ни в эмуляторе, ни ручным тестированием. В итоге для решения этой проблемы пришлось собрать своего дельта-робота с «робопальцем», который умеет тапать и свайпать по экрану смартфона.  

В тексте погружусь во все основные этапы создания такого «пальца»: от исследования рынка сборки роботов до написания первых тестов. Подкреплю все примерами кода и рассказами об основных проблемах. Текст подойдет для всех, кому интересно сделать собственного робота или просто нравятся креативные способы упрощения автотестов :-)

Важной новостью прошлой недели стало сообщение о взломе обновлений текстового редактора Notepad++ (официальное заявление, новость на Хабре). По данным разработчиков, взломан был механизм обновления редактора, точнее, даже не он, а инфраструктура, обеспечивающая автоматическую доставку новых версий программы. Взлом произошел на уровне хостингового провайдера: в редких (даже можно сказать исключительных) случаях пользователи получали вместо настоящего апдейта вредоносный файл.

Изначально сообщалось о том, что виртуальный сервер, с которого раздавались обновления, был взломан в июне 2025 года. По данным провайдера, в сентябре на сервер накатили обновления, которые закрыли доступ взломщикам. Но здесь же провайдер говорит о том, что учетные данные к ряду внутренних сервисов на том же сервере могли использоваться организаторами атаки вплоть до начала декабря 2025 года. 9 декабря создатели Notepad++ решили проблему радикально, ужесточив проверки при обновлении и сменив поставщика услуг хостинга. 4 февраля специалисты «Лаборатории Касперского» опубликовали результаты собственного расследования, в котором выяснили, что происходило с жертвами атаки и как долго угроза была активной.

20 января была зафиксирована атака на цепочку поставок, затронувшая индийскую компанию MicroWorld Technologies, разработчика антивирусного продукта eScan. Представители компании позднее сами сообщили изданию BleepingComputer о том, что злоумышленники взломали один из региональных серверов и подменили там файл обновления антивируса, который был доставлен клиентам. Атака была обнаружена «снаружи» — специалистами из компании Morphisec, которые проинформировали производителя через день после начала атаки.

Специалисты «Лаборатории Касперского» опубликовали подробный анализ использованного в атаке вредоносного кода. По их оценке, это достаточно необычный вектор атаки. Мало того что атаки на цепочку поставок в принципе происходят редко, еще реже фиксируются случаи компрометации антивирусного программного обеспечения. При этом атака была тщательно подготовлена: не только был взломан сервер обновления, но вредоносный код был специально разработан так, чтобы наиболее эффективно работать с учетом особенностей компрометируемого легитимного ПО.

20 января разработчик Саймон Йозефссон опубликовал в рассылке oss-sec информацию о крайне серьезной уязвимости в демоне telnetd, реализующем удаленное подключение по протоколу telnet. В традиционной для описания уязвимости терминологии суть проблемы заключается в следующем: «ошибка в обработке входящих данных позволяет злоумышленнику пропустить процесс аутентификации и получить на подверженной уязвимости системе права суперпользователя».

Применение таких терминов обычно обозначает, что подлинное описание проблемы либо слишком длинное, либо слишком сложное для понимания, но в данном случае это не так. При подключении к telnetd нужно указать имя пользователя. Его программа передает стандартной утилите login, причем передача осуществляется без предварительной проверки ввода от желающего подключиться. Если указать вместо имени пользователя строку «-f root», эти данные будут переданы в утилиту login, а она уже залогинит любого желающего под рутом без какой-либо авторизации, увидев соответствующий ключ -f. Собственно, это вся уязвимость как есть.

На прошлой неделе команда Google Project Zero опубликовала целую серию статей, анализирующих обнаруженные ею уязвимости в ОС Android. Это довольно редкий вид публикаций, в которых уязвимости, а также методика их обнаружения и способы построения атаки на их основе анализируются максимально подробно. С некоторой натяжкой обнаруженный безопасниками Google баг можно привязать к развитию ИИ-сервисов. На самом деле главная проблема присутствовала в коде, отвечающем за декодирование звука в формате Dolby Digital; такие уязвимости обнаруживаются довольно часто. А искусственный интеллект в данной истории появляется потому, что в мессенджере Google Messages, который обрабатывает входящие SMS и сообщения формата Rich Communication Services, входящие аудиосообщения автоматически декодируются для дальнейшей расшифровки и, возможно, для демонстрации транскрипции или краткого содержания пользователю.

Именно такие «неожиданности» делают возможными наиболее опасные атаки класса zero-click, когда никаких действий от пользователя не требуется. Атака происходит сама по себе — достаточно знать номер телефона жертвы и отправить подготовленное сообщение. Но, вместе с тем, статьи Project Zero показывают, насколько сложны подобные атаки, даже если в руках потенциального злоумышленника оказывается такой ценный артефакт, как максимально удобная для эксплуатации уязвимость.

В самом конце декабря в Германии прошла 39-я по счету конференция Chaos Communication Congress, по традиции получившая краткое обозначение «39c3». Из всех крупных мероприятий, связанных с информационной безопасностью, Chaos Communication Congress, возможно, единственная сохранила, скажем так, «хакерский дух»: когда потайные особенности работы устройств и программ исследуются не потому, что важно, и не из-за денег, а просто из-за здорового любопытства. Именно «хакерской» стала презентация двух исследователей, которые довольно долго изучали особенности работы стиральных машин.

Сразу отметим, что речь не идет об умных бытовых приборах. Первая половина презентации была посвящена изучению принципов работы стиральной машинки Miele, которой уже больше 20 лет. У автора исследования была простая мотивация — изучить внутреннее устройство стиральной машины: после двух десятилетий работы она перестала отжимать белье. В процессе он разобрал проприетарный протокол коммуникации с устройством, нашел секретные коды для получения доступа к диагностическим данным и даже смог сдампить прошивку устройства.

Привет, Хабр! Я Никита Черемисинов, руководитель продуктового дизайна микроядерной операционной системы KasperskyOS, изначально безопасной на уровне архитектуры, «по дефолту». Моя команда отвечает за весь пользовательский слой системы: от пикселя и виброотклика — до системных сценариев, дизайн-системы и базовых приложений. Если это видно, слышно, ощущается или в целом влияет на опыт работы с KasperskyOS — UI/UX это наша зона ответственности.

Система предназначена для использования в самых разных местах — от тонких клиентов и автомобильных шлюзов безопасности до мобильных устройств, через которые сотрудники предприятий управляют производственными процессами. KasperskyOS подходит, например, и механику, который проводит техническое обслуживание и ремонт оборудования, и обходчику, ведущему протоколирование и видеофиксацию событий.

И вот уже несколько лет мы с командой проектируем интерфейсы для этой ОС. И если кому-то кажется, что «ну подумаешь, еще одна оболочка Android», — спешим разочаровать: это совсем другая лига. Разрабатывать интерфейсы для KasperskyOS — это не просто нарисовать набор базовых приложений от SMS до галереи. Это как делать ремонт, начиная с фундамента, а не с обоев. И в этой статье я расскажу о нюансах нашей задачи и о пути, по которому мы пошли.

Свежая публикация экспертов «Лаборатории Касперского» анализирует новую тактику распространения троянской программы Webrat. В начале года эта же программа распространялась под видом читов для популярных игр, таких как Rust и Counter-Strike, а также для платформы Roblox. Судя по всему, организаторы атаки решили расширить аудиторию потенциальных жертв и применили достаточно необычный (хотя и неуникальный) метод: троян распространяется через репозитории на GitHub под видом эксплойтов для «популярных» уязвимостей.

Какие именно уязвимости считают популярными кибермошенники — достаточно любопытная информация. В статье «Лаборатории Касперского» упоминаются три проблемы с достаточно высоким рейтингом опасности по шкале CVSS v3. Это CVE-2025-59295 (8,8 балла из 10 возможных) — свежая, закрытая в октябре 2025 года, уязвимость в браузере Internet Explorer, эксплуатация которой может приводить к выполнению произвольного кода в результате посещения вредоносной страницы. Проблема CVE-2025-10294 (9,8 балла) затрагивает расширение OwnID Passwordless Login для платформы WordPress и позволяет обойти систему аутентификации. Наконец, уязвимость CVE-2025-59230 (7,8 балла) в компоненте Windows под названием Remote Access Connection Manager открывает возможность локального повышения привилегий.

Свежая публикация экспертов «Лаборатории Касперского» посвящена последствиям успешной фишинговой атаки. В статье подробно раскрывается техническая сторона передачи украденных данных пользователя, а также в общих чертах описывается дальнейший путь приватной информации по закоулкам черного рынка. Эта сторона массовых кибератак часто остается недоисследованной: во многих отчетах о кибермошеннической деятельности она описывается одной строчкой «ваши данные попадают злоумышленникам». Как именно попадают и что с ними дальше происходит — также важно понимать.

Рассматриваемый в публикации сценарий начинается с ввода жертвой приватных данных на фишинговой странице. Собранную информацию надо как-то передать организатору атаки, который может одновременно управлять сотнями страниц. Есть три наиболее распространенных способа передачи: через электронную почту, бот в Telegram и специализированную панель управления. Почта, возможно, самый традиционный способ, предусматривающий наличие на фишинговой странице PHP-скрипта, который пересылает данные на адрес, подконтрольный злоумышленнику. Используется он, впрочем, все реже: как из-за возможности блокировки сообщений сервис-провайдером, так и из-за непредсказуемых задержек по пути.