Критична вразливість React2Shell стала інструментом для поширення ботнету RondoDox
Дослідники з кібербезпеки виявили нову активність ботнету під назвою RondoDox, який протягом дев’яти місяців використовує критичну вразливість React2Shell (CVE-2025-55182, рейтинг 10.0) у платформах з React Server Components і Next.js для компрометації IoT-пристроїв та вебсерверів. 
Вразливість дозволяє віддалено виконувати код без автентифікації, що дає змогу зловмисникам впроваджувати шкідливе програмне забезпечення, зокрема криптомайнери та компоненти ботнету, на тисячі систем у всьому світі. 
За даними аналітики, понад 90 000 систем досі залишаються вразливими, переважно в США, Німеччині та Франції, що робить цю активність особливо небезпечною для власників пристроїв і серверів без актуальних оновлень.

Джерело

CISA попереджає про активну експлуатацію вразливостей у Microsoft Office та HPE
Агентство з кібербезпеки США (CISA) додало дві критичні вразливості, які впливають на Microsoft Office PowerPoint та Hewlett Packard Enterprise OneView, до свого каталогу Known Exploited Vulnerabilities через дані про їхнє використання зловмисниками. 
Перша помилка дозволяє зловмисникам віддалено виконувати довільний код у PowerPoint через пошкодження пам’яті, а друга – також дозволяє запускати код без автентифікації в HPE OneView на всіх версіях до 11.00. 
Деталі атак невідомі, але спеціалісти виявили публічний proof-of-concept експлойт для однієї з вразливостей, що суттєво підвищує ризик атак. Федеральним установам США рекомендовано встановити необхідні оновлення до 28 січня 2026 року.
Рекомендації для користувачів: 
● оновіть Microsoft Office та увімкніть автоматичні оновлення;● не відкривайте файли PowerPoint з невідомих джерел;● користувачам корпоративних рішень HPE варто перевірити наявність оновлень;● використовуйте антивірус і регулярно його оновлюйте;● повідомляйте IT-фахівців про підозрілу поведінку програм.
Джерело

Правоохоронці Європи викрили Black Axe у справі фінансових шахрайств
У рамках міжнародної операції іспанська Національна поліція за підтримки Європолу та баварської кримінальної поліції затримала 34 осіб, яких підозрюють у причетності до діяльності міжнародної злочинної організації Black Axe – угруповання з Нігерії, що діє в десятках країн світу й займається різними видами злочинної діяльності, включно з кіберзлочинами та фінансовими шахрайствами. 
Під час обшуків у містах Севілья, Мадрид, Малага та Барселона правоохоронці вилучили готівку, заморозили банківські рахунки підозрюваних і зібрали докази участі у шахрайських схемах, завдані збитки яких, за оцінками слідчих, перевищують €5,93 млн.
Black Axe застосовує різноманітні шахрайські схеми – від фішингу та підробки електронної пошти до інших форм онлайн-обману, що призводять до значних фінансових втрат для людей і компаній. Також угруповання залучає фінансових посередників – осіб, які надають свої банківські рахунки для переказу викрадених коштів, ускладнюючи розслідування.
Рекомендації для користувачів:
● не переходьте за підозрілими посиланнями та не передавайте персональну інформацію до невідомих джерел;● перевіряйте будь-які фінансові прохання та «вигідні пропозиції», які бачите в інтернеті;● використовуйте складні паролі та двофакторну автентифікацію для своїх облікових записів.

Джерело 

Критична вразливість Node.js, яка може спричинити падіння серверів
Розробники Node.js випустили оновлення після виявлення серйозної вразливості в механізмі обробки асинхронних операцій async_hooks, яка впливає на більшість Node.js-застосунків у реальному робочому середовищі та дозволяє провокувати аварійне завершення роботи сервера (Denial-of-Service) замість коректної обробки помилки при переповненні стека викликів. 
Вразливість, що отримала ідентифікатор CVE-2025-59466 і оцінена з 7,5 CVSS, створює ризик для широкого спектра застосунків й інструментів, зокрема фреймворків і систем моніторингу, оскільки сервер може несподівано завершити роботу під час певних умов виконання коду, що робить сервіси недоступними для користувачів. Окрім цього, були виправлені й інші серйозні недоліки, які могли призвести до витоку даних або віддаленої відмови в обслуговуванні. Рекомендації для користувачів:
● оновити Node.js до останньої безпечної версії (20.20.0, 22.22.0, 24.13.0 або 25.3.0);● перевірити сторонні бібліотеки та фреймворки на сумісність з цими оновленнями;● забезпечити регулярне оновлення серверного ПЗ та компонентів екосистеми;● моніторити роботу сервера після оновлення для виявлення аномалій у роботі.
Джерело

Критична вразливість у WordPress-плагіні Modular DS дозволяє зловмисникам отримати доступ адміністратора
У плагіні для WordPress під назвою Modular DS виявили критичну вразливість (ідентифікатор CVE-2026-23550, оцінка 10.0), яка вже експлуатується в реальних атаках. 
Ця вразливість дозволяє віддаленим зловмисникам без автентифікації обійти захист і отримати права адміністратора на сайтах, де використовується цей плагін у версіях до 2.5.1 включно, що може призвести до повного контролю над сайтом, внесення шкідливих змін чи розповсюдження небезпечного контенту. 
Вразливість усунута у версії 2.5.2, але багато сайтів досі можуть бути у небезпеці, оскільки плагін має понад 40 000 активних інсталяцій.

Джерело

П’ять шкідливих розширень Chrome маскуються під HR-та ERP-інструменти, викрадаючи сесії користувачів Дослідники з кібербезпеки виявили п’ять нових шкідливих розширень для браузера Google Chrome, які маскуються під легітимні інструменти для роботи з HR- та ERP-платформами, такими як Workday, NetSuite і SuccessFactors. Ці доповнення працюють разом для викрадення облікових даних користувачів, блокують доступ до сторінок безпеки та адміністративних налаштувань і дають зловмисникам змогу перехоплювати облікові записи через викрадення сесій.
Після встановлення, розширення отримують широкі дозволи, регулярно передають файли cookie авторизації на сервери зловмисників і змінюють поведінку браузера так, що фахівцям із безпеки стає складно оперативно реагувати на інциденти.Частина з цих розширень вже видалена з Chrome Web Store, але вони все ще доступні на сторонніх сайтах для завантаження.
Рекомендації для користувачів:
● перед встановленням перевіряйте назву розширення та інформацію про видавця;● обмежуйте кількість розширень і встановлюйте лише ті, які справді необхідні;● періодично переглядайте список встановлених розширень і видаляйте непотрібні або підозрілі;● уважно перевіряйте, які дозволи запитує розширення, і не надавайте надмірних прав;● оновлюйте паролі та активуйте двофакторну автентифікацію для важливих облікових записів.
Джерело

Фреймворк VoidLink посилює ризики атак на хмарні сервіси Фахівці з кібербезпеки проаналізували новий шкідливий фреймворк для Linux під назвою VoidLink, призначений для прихованого та довготривалого доступу до хмарних і контейнерних середовищ.Шкідливе ПЗ має модульну архітектуру, яка складається із завантажувальних компонентів, прихованих агентів, руткіт-механізмів та більш ніж 30 допоміжних модулів, а також здатне адаптуватися до різних платформ і середовищ виконання, зокрема контейнерних та хмарних інфраструктур.
VoidLink орієнтований на збір облікових даних, конфігурацій і технічної інформації, що створює ризик повного контролю над інфраструктурою. Дослідження свідчить, що значна частина коду могла бути створена з використанням інструментів штучного інтелекту, що дозволило швидко розробити складне та масштабне рішення.
Хоча активних атак із використанням VoidLink наразі не зафіксовано, його функціональні можливості свідчать про значний рівень загрози для хмарних середовищ і Linux-систем.
Рекомендації для користувачів:
● своєчасно оновлювати операційні системи та серверне програмне забезпечення;● захищати облікові записи багатофакторною автентифікацією;використовувати окремі облікові дані з мінімальними правами доступу;● регулярно перевіряти системні журнали та активні процеси;уникати розгортання невідомих або неперевірених контейнерів і сервісів.
Джерело

Microsoft попереджає про багатоетапні фішингові AitM-атаки Компанія Microsoft повідомила про виявлення складної багатоетапної кампанії фішингу та компрометації бізнес-електронної пошти (BEC), в якій використовується техніка «adversary-in-the-middle» (AitM) для крадіжки облікових даних і контрольованого поштового трафіку в організаціях енергетичного сектору. 
Зловмисники надсилали фішингові листи з нібито довірених SharePoint-посилань, які перенаправляли на підроблені сторінки входу, викрадали логіни та сесійні файли, після чого створювали правила в поштових скриньках для приховування своєї активності та автоматичного видалення листів, що надходили. 
Така атака небезпечна тим, що зламана поштова скринька може розсилати наступні фішингові повідомлення від імені жертви, а сам факт компрометації може довго лишатися непоміченим, ускладнюючи виявлення і відновлення безпеки облікових записів.
Рекомендації для користувачів:
● уважно перевіряйте посилання в електронних листах, навіть якщо вони виглядають надійними чи походять зі знайомих сервісів;● не поширюйте свої облікові дані на підозрілих чи незнайомих сторінках входу;● вмикайте багатофакторну автентифікацію там, де це можливо;● регулярно оновлюйте паролі й у разі підозри на злом негайно їх змінюйте;● перевіряйте налаштування поштової скриньки на наявність невідомих правил чи переадресацій.
Джерело

CISA повідомляє про критичні вразливості, які вже експлуатуються хакерами

Агентство з кібербезпеки США CISA оновило каталог Known Exploited Vulnerabilities (KEV), додавши чотири вразливості, які вже активно використовуються у реальних кібератаках. 
До переліку увійшли проблеми в Synacor Zimbra Collaboration Suite, Versa Concerto, а також у популярних інструментах для розробників Vite та Prettier (eslint-config-prettier). У разі експлуатації цих вразливостей зловмисники можуть отримувати контроль над сервісами, викрадати інформацію або порушувати роботу організацій.
Оскільки факти експлуатації підтверджені, такі вразливості становлять особливу небезпеку для організацій, які використовують зазначені рішення, адже вони можуть стати швидким шляхом проникнення в мережу, компрометації даних або розгортання шкідливого програмного забезпечення. 
CISA наголошує на необхідності встановлення оновлень у найкоротші строки, щоб мінімізувати ризики атак.
Рекомендації для користувачів:
● регулярно оновлюйте операційну систему, браузер і всі встановлені програми;● не відкладайте встановлення критичних патчів безпеки;● використовуйте двофакторну автентифікацію для важливих сервісів;● будьте обережні з підозрілими листами, вкладеннями та посиланнями.

Джерело