В конце августа исследователь Кирилл Бойченко из команды Socket Threat Research Team сообщил об обнаружении вредоносного npm-пакета nodejs-smtp. Пакет маскируется под легитимную библиотеку nodemailer, предназначенную для отправки почтовых сообщений. Он сохраняет заявленную функциональность, что может дополнительно ввести потенциальную жертву в заблуждение. Но также вредоносная версия библиотеки содержит инструменты для перенаправления криптовалют в кошельки злоумышленников. 

Поддельный пакет был загружен в репозиторий npm в апреле 2025 года и с тех пор, вплоть до обнаружения, был загружен 347 раз. Помимо основной функциональности он модифицирует код криптокошелька Atomic Wallet так, чтобы при отправке криптовалюты вместо данных реального получателя подставлялись адреса кошельков злоумышленника. Судя по вшитым адресам для перенаправления, атакующие перехватывают транзакции в биткоинах, Ethereum, Tether, XRP и Solana.

Небольшое количество загрузок не обязательно указывает на то, что атака оказалась безуспешной. Во-первых, это далеко не первая попытка протащить вредоносное ПО в репозиторий npm с целью кражи криптовалют. В апреле этого года был обнаружен очень похожий вредоносный пакет pdf-to-office, внутри которого также был скрыт код для модификации криптокошельков Atomic Wallet и Exodus. Тогда вредоносный код продержался в репозитории около месяца. Во-вторых, случайное скачивание вредоносного пакета может иметь долгосрочные последствия, если код из него будет встроен в легитимное программное обеспечение. Тогда же, в апреле, похожие атаки с кражей криптовалюты, с использованием расширений для Visual Studio Code разбирались и в еще одном отчете.

Что еще произошло

Эксперты «Лаборатории Касперского» опубликовали подробнейший ликбез об особенностях работы и методах кражи сессионных куки. Статья содержит рекомендации как для веб-разработчиков, так и для пользователей. Также опубликована регулярная статистика по развитию угроз за второй квартал 2025 года — для традиционных ПК и мобильных устройств.

Издание BleepingComputer сообщает о творческом использовании злоумышленниками приглашений, рассылаемых через календарь в iCloud. Как видно на скриншоте ниже, инвайты маскируются под сообщение о совершенной покупке, причем кнопки «Принять» и «Отклонить» для мероприятия в календаре выглядят как часть нотификации. Злоумышленники ожидают, что потенциальная жертва позвонит по указанному в приглашении номеру телефона. Такие атаки нельзя назвать новыми — спам-приглашения ранее массово рассылались через сервисы Google. Но использование инфраструктуры Apple является достаточно необычным.

В роутерах TP-Link обнаружена активно эксплуатируемая уязвимость. В списке подверженных моделей есть, в том числе, TP-Link Archer AX10 и TP-Link Archer AX1500. Подробный разбор уязвимости опубликован здесь.

Компании Google пришлось официально опровергать сообщения (пример) о том, что 2,5 миллиардам пользователей почты Gmail были якобы разосланы предупреждения о необходимости смены пароля. Пользуясь случаем, компания Google вновь напоминает о преимуществах перехода с обычных паролей на парольные ключи.

Издание Ars Technica сообщает о случайном или намеренном выпуске дублирующего сертификата для DNS-сервера 1.1.1.1, поддерживаемого компанией Cloudflare. Выпущенный без авторизации регистратором Fina Root CA, сертификат может использоваться для атак man-in-the-middle и дешифровки обращений к DNS-серверу.

В сентябрьском наборе патчей для Android закрыто 111 уязвимостей, включая две, используемые в таргетированных атаках.