Как я спас компьютеры миллионов юзеров Winget. История одного форка «Запрета»
PXStudioOpenSource 9 минут назад Как я спас компьютеры миллионов юзеров Winget. История одного форка «Запрета» Простой 2 мин 204 Программирование * Информационная безопасность * Сетевые технологии * GitHub * Мнение Из...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. PXStudioOpenSource 9 минут назад Как я спас компьютеры миллионов юзеров Winget. История одного форка «Запрета» Простой 2 мин 204 Программирование * Информационная безопасность * Сетевые технологии * GitHub * Мнение Из песочницы Недавно в официальном репозитории Microsoft Winget был обнаружен вредоносный форк популярной утилиты Zapret. Речь идет о проекте под названием Zapret 2 GUI (ID: loop-uh.
Сейчас вы его там уже не найдете). Для тех, кто пропустил предысторию этого «чудо-софта», крайне рекомендую ознакомиться с разбором его «художеств» в этой статье. Если вкратце: под видом полезной утилиты пользователям скармливали стиллер, который устанавливал корневой сертификат (Root CA), перехватывал трафик и каждые 30 секунд сливал конфиденциальные данные в приватный Telegram-чат.
Технические детали
А также можете посмотреть мой Issue на GitHub по теме этой программы. Как это попало в Winget? К сожалению, автоматические проверки не всегда могут распознать сложный вредонос, особенно если он упакован или использует техники уклонения (Evasion).
Заметив подозрительную активность пакета loop-uh. Zapret2, я незамедлительно поднял Issue в официальном репозитории microsoft/winget-pkgs Ссылка есть чуть выше. В репорте были предоставлены неоспоримые доказательства: от логов установки левых сертификатов до конкретного разбора того, что делает это софтина и куда она что отправляет.
Итог: реакция модераторов (в частности, Stephen Gillie) не заставила себя ждать. После детального изучения предоставленных пруфов, вредоносный пакет был полностью удален из репозитория, а всё семейство подобных «форков» попало в черный список. По предварительным оценкам, это спасло от компрометации сотни тысяч, а возможно, и миллионы систем.
Отраслевые последствия
Кстати, забавно, что автор (или не он) попытался через день добавить некий ZapretKVN запрос, на добавление которого был отклонен сами знаете по какой причине. S Автор попытался вернуть свою программу loop-uh. Я думаю, не нужно объяснять, что случилось)Мой вам совет: никогда не доверяйте софту на 100%, даже если он находится в «доверенном» источнике.
Всегда проверяйте установщики на VirusTotal. Используйте интерактивные песочницы (Hybrid Analysis, Triage, Any. Run) для анализа поведения файла в реальном времени.
Смотрите на отчеты MITRE ATT&CK. Если простой утилите внезапно требуется Impair Defenses или Input Capture — это огромный красный флаг. Безопасность — это не только антивирус, но и ваша внимательность.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
