<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	xmlns:media="http://search.yahoo.com/mrss/"
>

<channel>
	<title>атака на ланцюг постачання &#8211; CyberCalm</title>
	<atom:link href="https://cybercalm.org/topic/ataka-na-lantsyug-postachannya/feed/" rel="self" type="application/rss+xml" />
	<link>https://cybercalm.org</link>
	<description>Кіберзахист та технології простою мовою</description>
	<lastBuildDate>Fri, 08 May 2026 06:13:50 +0000</lastBuildDate>
	<language>uk</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://cybercalm.org/wp-content/uploads/2025/10/favicon-1.svg</url>
	<title>атака на ланцюг постачання &#8211; CyberCalm</title>
	<link>https://cybercalm.org</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Атака на ланцюг постачання: як зловмисники проникають через довірених партнерів</title>
		<link>https://cybercalm.org/supply-chain-attack/</link>
		
		<dc:creator><![CDATA[Наталя Зарудня]]></dc:creator>
		<pubDate>Fri, 08 May 2026 06:13:50 +0000</pubDate>
				<category><![CDATA[Кібербезпека]]></category>
		<category><![CDATA[NotPetya]]></category>
		<category><![CDATA[атака на ланцюг постачання]]></category>
		<category><![CDATA[база знань]]></category>
		<category><![CDATA[Вибір редакції]]></category>
		<category><![CDATA[кібератаки]]></category>
		<category><![CDATA[шкідливе ПЗ]]></category>
		<guid isPermaLink="false">https://cybercalm.org/?p=164867</guid>

					<description><![CDATA[<p><a rel="nofollow" href="https://cybercalm.org">CyberCalm</a><br />
<img src="https://cdn.cybercalm.org/wp-content/uploads/2026/05/08091233/supply-chain-attack-2078778201.webp" style="display: block; margin: 1em auto"><br />
<a rel="nofollow" href="https://cybercalm.org/supply-chain-attack/">Атака на ланцюг постачання: як зловмисники проникають через довірених партнерів</a></p>
<p>Атака на ланцюг постачання — один із найнебезпечніших і найскладніших для виявлення видів кіберзагроз. Замість того, щоб штурмувати укріплений периметр компанії, зловмисники компрометують довіреного постачальника програмного забезпечення, оновлень, бібліотек коду чи хмарних сервісів — і через нього потрапляють одночасно до тисяч організацій. У 2025 році кількість таких інцидентів подвоїлася, а збитки від найбільших із них [&#8230;]</p>
<p>Ця стаття <a rel="nofollow" href="https://cybercalm.org/supply-chain-attack/">Атака на ланцюг постачання: як зловмисники проникають через довірених партнерів</a> раніше була опублікована на сайті <a rel="nofollow" href="https://cybercalm.org">CyberCalm</a>, її автор — <a rel="nofollow" href="https://cybercalm.org/author/nataliazarudnya/">Наталя Зарудня</a></p>
]]></description>
										<content:encoded><![CDATA[<p><a rel="nofollow" href="https://cybercalm.org">CyberCalm</a><br />
<img src="https://cdn.cybercalm.org/wp-content/uploads/2026/05/08091233/supply-chain-attack-2078778201.webp" style="display: block; margin: 1em auto"><br />
<a rel="nofollow" href="https://cybercalm.org/supply-chain-attack/">Атака на ланцюг постачання: як зловмисники проникають через довірених партнерів</a></p>
<p>Атака на ланцюг постачання — один із найнебезпечніших і найскладніших для виявлення видів кіберзагроз. Замість того, щоб штурмувати укріплений периметр компанії, зловмисники компрометують довіреного постачальника програмного забезпечення, оновлень, бібліотек коду чи хмарних сервісів — і через нього потрапляють одночасно до тисяч організацій.<span id="more-164867"></span></p>
<p>У 2025 році кількість таких інцидентів подвоїлася, а збитки від найбільших із них вимірюються мільярдами доларів. Україна на власному прикладі знає, чим закінчуються подібні кампанії: атака NotPetya у 2017 році, що почалася через українську бухгалтерську програму, стала однією з найруйнівніших кіберподій в історії.</p>
<h2><strong><b>Що таке атака на ланцюг постачання</b></strong></h2>
<p>Сучасна організація — це не ізольована фортеця. Її ІТ-інфраструктура побудована на десятках, а часом і сотнях зовнішніх компонентів: операційних системах, антивірусному ПЗ, бухгалтерських програмах, бібліотеках із відкритим кодом, SaaS-платформах, інструментах для розробників, постачальниках хмарних послуг. Усі ці елементи об&#8217;єднує одне — їм за замовчуванням довіряють. Саме на цій довірі й паразитують ініціатори загроз.</p>
<p><strong>Атака на ланцюг постачання</strong> (<em>англ. supply chain attack</em>) — це кіберінцидент, у якому зловмисник проникає до цільової організації не напряму, а через скомпрометованого постачальника або компонент, що використовується в її роботі. Замість того, щоб атакувати добре захищену корпоративну мережу, нападники шукають найслабшу ланку в ланцюзі — стороннього вендора, відкритий пакет коду, оновлення програмного забезпечення — і через нього отримують доступ одразу до всіх його клієнтів.</p>
<p>За даними <a href="https://owasp.org/Top10/2025/A03_2025-Software_Supply_Chain_Failures/" target="_blank" rel="noopener">OWASP</a>, ризик збоїв у ланцюзі постачання ПЗ у 2025 році очолив рейтинг найкритичніших загроз для веб-застосунків — рівно половина опитаних експертів поставила цю категорію на перше місце. Згідно з галузевими дослідженнями, близько 30 % усіх витоків даних сьогодні так чи інакше пов&#8217;язані з третіми сторонами або компрометацією ланцюга постачання, а середня вартість усунення наслідків такого інциденту перевищує 4,9 млн доларів.</p>
<h2><strong><b>Як працює атака на ланцюг постачання</b></strong></h2>
<p>Логіка такої атаки проста й елегантна — у цьому й полягає її небезпека. Зловмисники не намагаються пробити лобом захист великої корпорації чи державної установи. Натомість вони знаходять компанію або проєкт, який забезпечує цільову організацію певними послугами або ПЗ, і компрометують саме його. Далі шкідливий код розповсюджується через легітимні, підписані канали — як звичайне оновлення, нова версія бібліотеки чи стандартна інтеграція API.</p>
<p>Класичний сценарій складається з кількох етапів:</p>
<ul>
<li><b></b><strong><b>Розвідка. </b></strong>Зловмисники аналізують екосистему цільової організації, шукаючи постачальників із найслабшим захистом, але максимальним рівнем доступу — зазвичай це компанії, що надають інструменти моніторингу, оновлення, керування ідентифікацією.</li>
<li><b></b><strong><b>Компрометація постачальника. </b></strong>Атакувальники проникають в інфраструктуру вендора через фішинг, експлуатацію вразливостей, викрадення облікових даних розробників або <a href="https://cybercalm.org/chym-zagrozhuye-vam-sotsialna-inzheneriya-ta-yak-ne-staty-zhertvoyu-sotsialnogo-hakera/">соціальну інженерію</a>.</li>
<li><b></b><strong><b>Впровадження бекдору. </b></strong>У легітимний продукт — оновлення, бібліотеку, плагін чи інтеграцію — вбудовується <a href="https://cybercalm.org/bekdor-pryhovanyj-hid-yakogo-vy-ne-bachyte-ale-vin-bachyt-vas/">шкідливий код</a>. Часто він підписаний справжнім цифровим сертифікатом постачальника, через що системи безпеки сприймають його як довірений.</li>
<li><b></b><strong><b>Масове розповсюдження. </b></strong>Скомпрометована версія потрапляє до клієнтів через звичайні канали — серверне оновлення, репозиторій пакетів, маркетплейс розширень. Один інцидент може зачепити тисячі організацій одночасно.</li>
<li><b></b><strong><b>Постексплуатація. </b></strong>Отримавши плацдарм у мережах жертв, нападники розгортають додаткове шкідливе ПЗ, викрадають дані, шифрують системи або встановлюють постійний прихований доступ для подальших операцій.</li>
</ul>
<h2><strong><b>Чому такі атаки настільки небезпечні</b></strong></h2>
<p>Атаки на ланцюг постачання обходять відразу кілька рівнів захисту. Antivirus та EDR-рішення довіряють підписаним оновленням від відомих вендорів. Системи контролю доступу пропускають трафік від легітимних інструментів, які вже мають високі привілеї в інфраструктурі. CI/CD-пайплайни автоматично завантажують нові версії бібліотек із публічних репозиторіїв без додаткової перевірки.</p>
<p>Ще одна особливість — ефект мультиплікатора. Один скомпрометований постачальник миттєво перетворюється на сотні чи тисячі заражених організацій. Атакувальники витрачають ресурси на одну операцію, а отримують доступ до десятків галузей одночасно — від банків і державних установ до критичної інфраструктури.</p>
<p>До того ж такі атаки часто залишаються невиявленими місяцями. У випадку SolarWinds зловмисники <a href="https://cybercalm.org/elektronna-poshta-solarwinds-bula-zlamana-i-kontrolyuvalasya-hakeramy-9-misyatsiv/">мали доступ до мереж жертв</a> близько року, перш ніж їх помітили. Це дає достатньо часу, щоб ретельно вивчити внутрішні системи, викрасти конфіденційні дані та закріпити присутність.</p>
<h2><strong><b>Основні різновиди атак на ланцюг постачання</b></strong></h2>
<h3><strong><b>Компрометація програмного забезпечення</b></strong></h3>
<p>Найпоширеніший і найвідоміший сценарій. Атакувальники проникають у систему збірки чи розповсюдження ПЗ постачальника й вбудовують шкідливий код у легітимні релізи. Жертва встановлює оновлення, довіряючи цифровому підпису, — і отримує бекдор у власну мережу. Саме за такою схемою розгорталися інциденти SolarWinds, NotPetya та <a href="https://cybercalm.org/ccleaner-povidomlyaye-shho-hakery-vkraly-osobysti-dani-korystuvachiv-pid-chas-masovogo-zlomu-moveit/">CCleaner</a>.</p>
<h3><strong><b>Атаки на пакети з відкритим кодом</b></strong></h3>
<p>Сучасна розробка майже повністю спирається на open-source — npm, PyPI, RubyGems, Maven. Один популярний пакет може бути задіяний в мільйонах проєктів. Зловмисники компрометують облікові записи мейнтейнерів, публікують шкідливі версії популярних бібліотек або створюють пакети-двійники зі схожими назвами (так звані typosquatting-атаки). У 2025 році саморозповсюджуваний хробак Shai-Hulud заразив сотні npm-пакетів, викрадаючи токени GitHub та npm із систем розробників.</p>
<h3><strong><b>Атаки на CI/CD та інструменти розробників</b></strong></h3>
<p>Окремий тренд останніх років — компрометація автоматизованих систем збірки. У березні 2025 року атакувальники зламали популярний GitHub Action tj-actions/changed-files і модифікували його код, через що в публічних логах опинилися секрети тисяч проєктів. Інцидент призвів, зокрема, до компрометації частини інфраструктури Coinbase. Це показало, що ризики переходять від коду до самих автоматизованих процесів його доставки.</p>
<h3><strong><b>Зловживання SaaS-інтеграціями та OAuth-токенами</b></strong></h3>
<p>У серпні 2025 року стало відомо про масштабну компрометацію інтеграції між Salesloft та Drift. Атакувальники отримали OAuth-токени оновлення, які організації видавали для роботи Drift, і використали їх для доступу до даних понад 700 компаній — без шкідливого ПЗ і без жодних викрадених паролів. Жертвами стали платформи Salesforce, хмарні системи, корпоративна пошта.</p>
<h3><strong><b>Апаратні атаки</b></strong></h3>
<p>Менш помітний, але не менш небезпечний напрям — підміна або модифікація обладнання на етапі виробництва, транспортування чи обслуговування. У 2024 році Міністерство юстиції США оголосило обвинувачення у справі про багаторічне постачання контрафактного мережевого обладнання Cisco з Китаю до американських лікарень, шкіл і навіть систем, що обслуговували винищувачі F-15, F-18, F-22 і бомбардувальники B-52.</p>
<h2><strong><b>Український прецедент: NotPetya та M.E.Doc</b></strong></h2>
<p>27 червня 2017 року в Україні почалася подія, яку згодом назвуть найруйнівнішою кібератакою в історії. Десятки великих компаній, банки, аеропорти, метрополітен, державні установи, навіть системи моніторингу радіації Чорнобильської АЕС — усе одночасно вийшло з ладу. Шкідливе ПЗ, яке згодом отримало назву <a href="https://uk.wikipedia.org/wiki/%D0%A5%D0%B0%D0%BA%D0%B5%D1%80%D1%81%D1%8C%D0%BA%D1%96_%D0%B0%D1%82%D0%B0%D0%BA%D0%B8_%D0%BD%D0%B0_%D0%A3%D0%BA%D1%80%D0%B0%D1%97%D0%BD%D1%83_(2017)" target="_blank" rel="noopener">NotPetya</a>, маскувалося під вимагач, але насправді було вайпером — інструментом, призначеним не для отримання викупу, а для безповоротного знищення даних.</p>
<p>Точкою входу стала українська бухгалтерська програма M.E.Doc від компанії «Інтелект-Сервіс» — фактично стандартне рішення для подання податкової звітності, встановлене майже на кожному підприємстві країни. За даними дослідників ESET та Cisco Talos, бекдор у механізмі оновлення M.E.Doc існував щонайменше з квітня–травня 2017 року. Російське хакерське угруповання Sandworm (підрозділ ГРУ) використало довірений канал доставки оновлень, щоб одночасно заразити тисячі організацій.</p>
<p>Опинившись у мережі, NotPetya розповсюджувався автоматично за допомогою експлойта EternalBlue (вразливість у протоколі SMB Windows) та інструмента Mimikatz, який витягував облікові дані з пам&#8217;яті. Швидкість була шокуючою: мережа великого українського банку лягла за 45 секунд, частина транспортного хабу — за 16. Близько 80 % уражених систем перебували в Україні, але епідемія перекинулася на 60+ країн через міжнародні підрозділи компаній.</p>
<p>Глобальні втрати оцінили щонайменше у 10 млрд доларів. Maersk зазнав збитків на 250–300 млн, Merck — на 870 млн, FedEx (TNT Express) — на 400 млн, Saint-Gobain — на 384 млн доларів. За оцінкою РНБО та галузевих експертів, NotPetya на три дні зупинив третину української економіки, а прямі збитки для країни сягнули сотень мільйонів доларів. Офіс директора національної розвідки США та британський NCSC офіційно атрибутували атаку російському ГРУ.</p>
<p>NotPetya став хрестоматійним прикладом того, як одна скомпрометована третя сторона — навіть невелика родинна ІТ-компанія — може стати інструментом нанесення стратегічної шкоди в кіберпросторі.</p>
<h2><strong><b>Інші резонансні атаки на ланцюг постачання</b></strong></h2>
<h3><strong><b>SolarWinds (2020)</b></strong></h3>
<p>Російське угруповання APT29 (Cozy Bear), пов&#8217;язане зі Службою зовнішньої розвідки РФ, скомпрометувало інфраструктуру збірки платформи моніторингу мереж SolarWinds Orion і вбудувало бекдор SUNBURST у легітимні оновлення продукту. Шкідливе ПЗ потрапило приблизно до 18 000 клієнтів, серед яких — десятки федеральних відомств США, Microsoft, FireEye, корпорації зі списку Fortune 500. Атакувальники мали прихований доступ до мереж жертв близько року, перш ніж її виявила компанія FireEye у грудні 2020 року.</p>
<h3><strong><b>Атаки на британську роздрібну торгівлю (2025)</b></strong></h3>
<p>Навесні 2025 року угруповання Scattered Spider у партнерстві з операторами шифрувальника DragonForce провело скоординовану кампанію проти найбільших британських ритейлерів. Marks &amp; Spencer постраждав від атаки на VMware ESXi-сервери, через що довелося зупинити онлайн-замовлення та сервіс Click &amp; Collect у понад 1000 магазинах. Удару зазнали також Harrods, Co-op і Dior.</p>
<h3><strong><b>Ingram Micro (липень 2025)</b></strong></h3>
<p>Один зі світових ІТ-дистриб&#8217;юторів зазнав атаки шифрувальника від групи SafePay. Зловмисники викрали 3,5 ТБ конфіденційних даних і зашифрували системи, що спричинило багатоденний глобальний збій у платформах для замовлень, ліцензування та партнерських інтеграцій. Оскільки Ingram Micro перебуває в центрі технологічного ланцюга постачання, наслідки відчули реселери, MSP-провайдери та вендори по всьому світу.</p>
<h3><strong><b>Shai-Hulud (npm, 2025)</b></strong></h3>
<p>Самопоширюваний хробак, що став, за оцінкою фахівців, головною подією року в галузі. Шкідливе ПЗ скрізь шукало секрети — токени GitHub, npm, ключі API — і публікувало їх у відкритих репозиторіях. Друга хвиля наприкінці 2025 року отримала функцію вайпера: якщо хробак не знаходив дійсних токенів, він стирав файли користувача. Один із наслідків — крадіжка криптовалюти на 8,5 млн доларів у користувачів Trust Wallet через підмінене розширення в Chrome Web Store.</p>
<h2><strong><b>Як захищатися: рекомендації для організацій</b></strong></h2>
<p>Повністю усунути ризик атаки на ланцюг постачання неможливо — будь-яка сучасна ІТ-інфраструктура спирається на десятки зовнішніх компонентів. Але цей ризик можна суттєво знизити, якщо систематично працювати з довірою до постачальників і впроваджувати багаторівневий захист.</p>
<ul>
<li><b></b><strong><b>Архітектура нульової довіри (Zero Trust). </b></strong>Жодному компоненту — навіть внутрішньому — не довіряти за замовчуванням. Кожен запит і кожне з&#8217;єднання мають проходити автентифікацію та авторизацію.</li>
<li><b></b><strong><b>Інвентаризація залежностей (SBOM). </b></strong>Постійно вести облік усіх компонентів — клієнтських і серверних, бібліотек і фреймворків. Без розуміння того, з чого складається ваш стек, неможливо швидко відреагувати на новину про компрометацію конкретного пакета.</li>
<li><b></b><strong><b>Перевірка постачальників. </b></strong>Оцінювати рівень кібербезпеки вендорів перед інтеграцією, фіксувати вимоги в договорах, регулярно проводити повторні аудити. Особливу увагу приділяти тим постачальникам, чиє ПЗ матиме високі привілеї у вашій мережі.</li>
<li><b></b><strong><b>Сегментація та обмеження привілеїв. </b></strong>Засоби моніторингу та керування на кшталт SolarWinds Orion отримують широкий доступ до інфраструктури — це робить їх ідеальною мішенню. Мікросегментація мережі обмежує можливості зловмисника рухатися горизонтально навіть після успішного проникнення.</li>
<li><b></b><strong><b>Багатофакторна автентифікація та апаратні ключі. </b></strong>Особливо для облікових записів розробників, мейнтейнерів open-source-пакетів і всіх привілейованих користувачів. Більшість великих атак на npm 2025 року починалася з фішингу та компрометації одного маейнтейнера.</li>
<li><b></b><strong><b>Закріплення версій та підписаний код. </b></strong>Не використовувати «найсвіжішу» версію бібліотеки автоматично — фіксувати конкретні версії, перевіряти підписи, проганяти оновлення через staging-середовище перед розгортанням у продакшен.</li>
<li><b></b><strong><b>Моніторинг аномалій. </b></strong>SIEM-системи, контроль за активністю в Active Directory, інструменти запобігання витоку даних (DLP). Підозріла поведінка довіреного інструмента — найважливіший сигнал, який часто є єдиним способом виявити атаку.</li>
<li><b></b><strong><b>Резервне копіювання. </b></strong>Бекапи мають бути регулярними, актуальними та зберігатися в ізольованому середовищі. Урок Maersk: компанію врятувала лише копія Active Directory, що випадково вціліла на сервері в Гані, який перед атакою був офлайн через перебої з електропостачанням.</li>
</ul>
<h2><strong><b>А що робити звичайному користувачеві?</b></strong></h2>
<p>Атаки на ланцюг постачання — переважно загроза для організацій, але деякі принципи захисту корисно застосовувати й приватним користувачам. Завантажуйте програми лише з офіційних магазинів і сайтів виробників. Уникайте піратських копій ПЗ і неперевірених розширень для браузерів — саме через них найчастіше потрапляють трояни. Вмикайте автоматичне оновлення операційної системи та антивірусу, але обережно ставтеся до маловідомих утиліт, що просять надати широкі привілеї.</p>
<h2><strong><b>Висновок</b></strong></h2>
<p>Атаки на ланцюг постачання — це системна проблема цифрової економіки, побудованої на взаємній довірі між тисячами компаній і відкритих проєктів. Кожна нова інтеграція, кожна стороння бібліотека, кожне автоматичне оновлення — це водночас зручність і потенційний вектор атаки. Кейси NotPetya, SolarWinds, Shai-Hulud та інших великих інцидентів останніх років доводять: одного скомпрометованого вендора достатньо, щоб поставити під удар цілі галузі.</p>
<p>Для організацій це означає необхідність переосмислити саму концепцію довіри в ІТ-інфраструктурі — від архітектури нульової довіри до прискіпливого аудиту партнерів. Для держав — потребу в національних стратегіях кіберзахисту, що враховують ризики залежності від іноземного ПЗ. Для України, що десятиліттями перебуває в епіцентрі російських кіберагресій, це не теоретичне питання, а пряме питання національної безпеки.</p>
<p>Ця стаття <a rel="nofollow" href="https://cybercalm.org/supply-chain-attack/">Атака на ланцюг постачання: як зловмисники проникають через довірених партнерів</a> раніше була опублікована на сайті <a rel="nofollow" href="https://cybercalm.org">CyberCalm</a>, її автор — <a rel="nofollow" href="https://cybercalm.org/author/nataliazarudnya/">Наталя Зарудня</a></p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://cdn.cybercalm.org/wp-content/uploads/2026/05/08091233/supply-chain-attack-2078778201.webp" />	</item>
		<item>
		<title>DAEMON Tools підтвердили злам: інсталятори безкоштовної версії містили шкідливе ПЗ</title>
		<link>https://cybercalm.org/daemon-tools-pidtverdyly-zlam/</link>
		
		<dc:creator><![CDATA[Наталя Зарудня]]></dc:creator>
		<pubDate>Thu, 07 May 2026 07:31:50 +0000</pubDate>
				<category><![CDATA[Кібербезпека]]></category>
		<category><![CDATA[DAEMON Tools]]></category>
		<category><![CDATA[атака на ланцюг постачання]]></category>
		<category><![CDATA[злам]]></category>
		<category><![CDATA[шкідливе ПЗ]]></category>
		<guid isPermaLink="false">https://cybercalm.org/?p=164864</guid>

					<description><![CDATA[<p><a rel="nofollow" href="https://cybercalm.org">CyberCalm</a><br />
<img src="https://cdn.cybercalm.org/wp-content/uploads/2026/05/07103009/dea81025-1d3f-4c58-b077-a5ba52bd1928-1877352839.jpg" style="display: block; margin: 1em auto"><br />
<a rel="nofollow" href="https://cybercalm.org/daemon-tools-pidtverdyly-zlam/">DAEMON Tools підтвердили злам: інсталятори безкоштовної версії містили шкідливе ПЗ</a></p>
<p>Компанія Disc Soft Limited — розробник популярного емулятора оптичних дисків DAEMON Tools — підтвердила, що її інфраструктуру було скомпрометовано в результаті атаки на ланцюг постачання. Зловмисники впродовж місяця поширювали з офіційного сайту троянізовані інсталятори безкоштовної версії DAEMON Tools Lite, які заражали системи користувачів бекдорами та інфостилерами. Розробники випустили оновлену версію 12.6, що не містить шкідливого [&#8230;]</p>
<p>Ця стаття <a rel="nofollow" href="https://cybercalm.org/daemon-tools-pidtverdyly-zlam/">DAEMON Tools підтвердили злам: інсталятори безкоштовної версії містили шкідливе ПЗ</a> раніше була опублікована на сайті <a rel="nofollow" href="https://cybercalm.org">CyberCalm</a>, її автор — <a rel="nofollow" href="https://cybercalm.org/author/nataliazarudnya/">Наталя Зарудня</a></p>
]]></description>
										<content:encoded><![CDATA[<p><a rel="nofollow" href="https://cybercalm.org">CyberCalm</a><br />
<img src="https://cdn.cybercalm.org/wp-content/uploads/2026/05/07103009/dea81025-1d3f-4c58-b077-a5ba52bd1928-1877352839.jpg" style="display: block; margin: 1em auto"><br />
<a rel="nofollow" href="https://cybercalm.org/daemon-tools-pidtverdyly-zlam/">DAEMON Tools підтвердили злам: інсталятори безкоштовної версії містили шкідливе ПЗ</a></p>
<p>Компанія Disc Soft Limited — розробник популярного емулятора оптичних дисків DAEMON Tools — підтвердила, що її інфраструктуру було скомпрометовано в результаті атаки на ланцюг постачання. Зловмисники впродовж місяця поширювали з офіційного сайту троянізовані інсталятори безкоштовної версії DAEMON Tools Lite, які заражали системи користувачів бекдорами та інфостилерами. Розробники випустили оновлену версію 12.6, що не містить шкідливого коду.<span id="more-164864"></span></p>
<h2><strong><b>Що сталося: атака на ланцюг постачання</b></strong></h2>
<p>За даними Disc Soft, у білд-середовищі компанії було зафіксовано несанкціоноване втручання, через яке частина інсталяційних пакетів вийшла у скомпрометованому стані. 5 травня вийшла версія DAEMON Tools Lite 12.6, що не містить підозрілих файлів.</p>
<p>«Менш ніж за 12 годин після виявлення проблеми ми змогли впровадити рішення. За результатами поточного аналізу інцидент стосувався виключно безкоштовної версії DAEMON Tools Lite та не вплинув на жоден з інших наших продуктів», — <a href="https://blog.daemon-tools.cc/post/security-incident" target="_blank" rel="noopener">повідомили в Disc Soft</a>.</p>
<p>У компанії наголосили, що не мають підтверджень заяв про ураження всіх користувачів DAEMON Tools, а платні версії — DAEMON Tools Pro та DAEMON Tools Ultra — не постраждали. Disc Soft підтвердила, що інфраструктуру вдалося убезпечити, проте на цьому етапі компанія не атрибутує атаку конкретним ініціаторам загроз і не розкриває вектор первинного доступу — розслідування триває.</p>
<h2><strong><b>Хто в зоні ризику: користувачам безкоштовної Lite з 8 квітня</b></strong></h2>
<p>Інцидент стосується тих, хто завантажував або встановлював DAEMON Tools Lite версії 12.5.1 (free) починаючи з 8 квітня. Таким користувачам розробник радить:</p>
<ul>
<li>видалити застосунок;</li>
<li>провести повне сканування системи актуальним антивірусним або захисним ПЗ;</li>
<li>завантажити та встановити нову версію DAEMON Tools Lite 12.6 виключно з офіційного сайту.</li>
</ul>
<p>Disc Soft видалила троянізовану збірку, яка більше не підтримується: тепер під час її запуску відображається попередження з пропозицією оновитися до актуальної версії.</p>
<h2><strong><b>Як працював шкідливий код: дві стадії та RAT-вкладення</b></strong></h2>
<p>Атаку першими публічно описали аналітики Kaspersky. За їхніми даними, троянізовані інсталятори (версії від 12.5.0.2421 до 12.5.0.2434) мали дійсний цифровий підпис і поширювалися саме з офіційного сайту, що убезпечувало їх від базових перевірок репутації. Вкладений у бінарники шкідливий код розгортав корисне навантаження, яке закріплювалося в системі та активувало <a href="https://cybercalm.org/bekdor-pryhovanyj-hid-yakogo-vy-ne-bachyte-ale-vin-bachyt-vas/">бекдор</a> під час старту ОС.</p>
<p>На першій стадії в систему доставлявся простий інфостилер. Він збирав дані для профілювання жертви — ім’я хоста, MAC-адресу, перелік запущених процесів та встановленого ПЗ, мовну локаль системи — й передавав їх на сервери, підконтрольні зловмисникам. На основі результатів частина інфікованих пристроїв отримувала другу стадію: легкий бекдор, здатний виконувати команди, завантажувати файли та запускати код безпосередньо в пам’яті.</p>
<p>Щонайменше в одному випадку дослідники зафіксували розгортання QUIC RAT — шкідливого ПЗ для віддаленого доступу, яке вміє ін’єктувати код у легітимні процеси та підтримує кілька протоколів зв’язку.</p>
<h2><strong><b>Масштаб: понад 100 країн та тисячі заражених пристроїв</b></strong></h2>
<p>За оцінками дослідників, троянізовані інсталятори DAEMON Tools Lite з 8 квітня встановили на тисячах систем у понад 100 країнах. Серед уражених — організації роздрібної торгівлі, наукові, державні та промислові структури в Росії, Білорусі та Таїланді, а також домашні користувачі в Україні, Росії, Бразилії, Туреччині, Іспанії, Німеччині, Франції, Італії та Китаї.</p>
<p>В оновленні до початкового звіту дослідники підтвердили, що версія DAEMON Tools Lite 12.6.0.2445, випущена після їхнього розкриття, більше не демонструє шкідливої поведінки.</p>
<h2><strong><b>Що це означає для користувачів в Україні</b></strong></h2>
<p>Інцидент із DAEMON Tools — типова атака на ланцюг постачання: цифровий підпис розробника та офіційний сайт у цьому сценарії не є гарантією безпеки. Зокрема:</p>
<ul>
<li>якщо ви встановлювали DAEMON Tools Lite 12.5.1 (free) з 8 квітня, варто негайно перевірити пристрій і оновити програму до 12.6;</li>
<li>рекомендуємо перевірити журнали мережевої активності на наявність підозрілих з’єднань з невідомими серверами;</li>
<li>фахівцям з кібербезпеки в організаціях варто врахувати індикатори компрометації, опубліковані дослідниками, у системах виявлення;</li>
<li>про підозру на компрометацію корпоративних систем слід повідомити CERT-UA (cert.gov.ua) та, у разі шкоди, Кіберполіцію.</li>
</ul>
<p>Окрема ремарка: серед дослідників, які першими описали цю атаку, — компанія Kaspersky (Лабораторія Касперського), що має російське походження. Користувачам та організаціям в Україні нагадуємо, що використання захисного ПЗ російського або білоруського походження (зокрема Kaspersky та Dr.Web) є небезпечним з огляду на безпекові ризики та чинні рекомендації українських державних регуляторів. Інформацію про індикатори компрометації краще брати з первинних звітів та звіряти з даними інших дослідницьких команд.</p>
<h2><strong><b>Як знизити ризик подібних атак</b></strong></h2>
<ul>
<li>Завантажуйте програмне забезпечення лише з офіційних джерел, але не покладайтеся виключно на цей критерій: атаки на ланцюг постачання спрямовані саме на легітимні канали дистрибуції.</li>
<li>Підтримуйте захисне ПЗ та операційну систему в актуальному стані; вмикайте захист на основі поведінкового аналізу.</li>
<li>Використовуйте принцип мінімальних привілеїв та окремий обліковий запис без прав адміністратора для повсякденної роботи.</li>
<li>Вмикайте багатофакторну автентифікацію для критичних сервісів, щоб ускладнити подальше використання викрадених даних.</li>
<li>Регулярно створюйте резервні копії важливих даних і зберігайте їх офлайн або в незалежному середовищі.</li>
<li>Для організацій — впроваджуйте моніторинг кінцевих точок (EDR) та контроль вихідного мережевого трафіку, щоб швидше виявляти зв’язок з керувальними серверами.</li>
</ul>
<p>Ця стаття <a rel="nofollow" href="https://cybercalm.org/daemon-tools-pidtverdyly-zlam/">DAEMON Tools підтвердили злам: інсталятори безкоштовної версії містили шкідливе ПЗ</a> раніше була опублікована на сайті <a rel="nofollow" href="https://cybercalm.org">CyberCalm</a>, її автор — <a rel="nofollow" href="https://cybercalm.org/author/nataliazarudnya/">Наталя Зарудня</a></p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://cdn.cybercalm.org/wp-content/uploads/2026/05/07103009/dea81025-1d3f-4c58-b077-a5ba52bd1928-1877352839.jpg" />	</item>
		<item>
		<title>Хтось купив 31 WordPress-плагін і вбудував бекдор у кожен з них</title>
		<link>https://cybercalm.org/htos-kupyv-31-wordpress-plagin-i-vbuduvav-bekdor/</link>
		
		<dc:creator><![CDATA[Побокін Максим]]></dc:creator>
		<pubDate>Thu, 16 Apr 2026 11:00:44 +0000</pubDate>
				<category><![CDATA[Кібербезпека]]></category>
		<category><![CDATA[WordPress]]></category>
		<category><![CDATA[атака на ланцюг постачання]]></category>
		<category><![CDATA[бекдор]]></category>
		<category><![CDATA[плагіни]]></category>
		<category><![CDATA[шкідливе ПЗ]]></category>
		<guid isPermaLink="false">https://cybercalm.org/?p=164674</guid>

					<description><![CDATA[<p><a rel="nofollow" href="https://cybercalm.org">CyberCalm</a><br />
<img src="https://cdn.cybercalm.org/wp-content/uploads/2026/04/16113416/wordpress-plugin-supply-chain-attack-1.webp" style="display: block; margin: 1em auto"><br />
<a rel="nofollow" href="https://cybercalm.org/htos-kupyv-31-wordpress-plagin-i-vbuduvav-bekdor/">Хтось купив 31 WordPress-плагін і вбудував бекдор у кожен з них</a></p>
<p>Десятки плагінів для WordPress виявились зараженими бекдором після того, як зловмисники придбали компанію-розробника Essential Plugin. Уражені плагіни вилучено з каталогу, однак власникам сайтів рекомендується перевірити свої інсталяції.</p>
<p>Ця стаття <a rel="nofollow" href="https://cybercalm.org/htos-kupyv-31-wordpress-plagin-i-vbuduvav-bekdor/">Хтось купив 31 WordPress-плагін і вбудував бекдор у кожен з них</a> раніше була опублікована на сайті <a rel="nofollow" href="https://cybercalm.org">CyberCalm</a>, її автор — <a rel="nofollow" href="https://cybercalm.org/author/maksym-pobokin/">Побокін Максим</a></p>
]]></description>
										<content:encoded><![CDATA[<p><a rel="nofollow" href="https://cybercalm.org">CyberCalm</a><br />
<img src="https://cdn.cybercalm.org/wp-content/uploads/2026/04/16113416/wordpress-plugin-supply-chain-attack-1.webp" style="display: block; margin: 1em auto"><br />
<a rel="nofollow" href="https://cybercalm.org/htos-kupyv-31-wordpress-plagin-i-vbuduvav-bekdor/">Хтось купив 31 WordPress-плагін і вбудував бекдор у кожен з них</a></p>
<p>Невідомий зловмисник придбав на торговому майданчику Flippa портфель із понад 30 безкоштовних WordPress-плагінів з багаторічною репутацією — і додав до кожного з них прихований бекдор. Шкідливий код непомітно існував на сайтах вісім місяців, перш ніж був активований у квітні 2026 року. WordPress.org закрив усі 31 плагін в один день.<span id="more-164674"></span></p>
<h2><strong><b>Купівля репутації: як усе починалося</b></strong></h2>
<p>Портфель плагінів під назвою Essential Plugin (раніше — WP Online Support) будувала індійська команда розробників починаючи з 2015 року. За понад десять років вони створили понад 30 безкоштовних плагінів із преміум-версіями: слайдери, галереї, таймери зворотного відліку, спливаючі вікна, тестимоніали тощо.</p>
<p>Наприкінці 2024 року доходи бізнесу впали на 35–45%, і один із засновників виставив весь портфель на продаж через майданчик Flippa. Покупець, відомий лише як «Kris» із досвідом у SEO, криптовалюті та гемблінг-маркетингу, придбав бізнес за шестизначну суму. Flippa навіть опублікував кейс-стаді про цей правочин у липні 2025 року.</p>
<p>Перший же SVN-коміт нового власника виявився бекдором. Засновник хостингової компанії Anchor Hosting Остін Гіндер <a href="https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/" target="_blank" rel="noopener">опублікував</a> у своєму блозі детальний опис атаки на ланцюг постачання.</p>
<h2><strong><b>Бекдор: вісім місяців очікування</b></strong></h2>
<p>8 серпня 2025 року новий власник випустив версію 2.6.7 плагіна Countdown Timer Ultimate. У журналі змін значилося лише «перевірка сумісності з WordPress 6.8.2». Насправді оновлення додавало прихований модуль, який дозволяв зловмисникові дистанційно керувати сайтом.</p>
<p>Шкідливий код нічого не робив протягом восьми місяців — аж до 5–6 квітня 2026 року, коли атака була активована. Модуль зв&#8217;язався із зовнішнім сервером і завантажив файл із назвою, навмисне схожою на стандартний файл WordPress. Далі у файл налаштувань сайту wp-config.php інжектувався масивний блок прихованого коду.</p>
<p>Шкідливе ПЗ показувало спам-посилання та підроблені сторінки лише пошуковим роботам — власники сайтів нічого не бачили. Щоб ускладнити блокування, зловмисники використовували адресу управляючого сервера, закодовану в смарт-контракті Ethereum: традиційне блокування домену не спрацювало б, адже нову адресу можна оновити прямо в блокчейні.</p>
<h2><strong><b>WordPress.org закрив усі плагіни за один день</b></strong></h2>
<p>7 квітня 2026 року команда WordPress.org Plugins Team остаточно закрила всі 31 плагін від автора essentialplugin. 8 квітня платформа примусово оновила плагіни на всіх сайтах до версії 2.6.9.1, яка нейтралізувала механізм зв&#8217;язку з сервером зловмисника. Однак примусове оновлення не очистило wp-config.php — якщо сайт вже встиг отримати шкідливий код, той продовжував працювати.</p>
<h2><strong><b>Список уражених плагінів</b></strong></h2>
<p>Перевірте свій сайт на наявність будь-якого з наведених нижче плагінів та негайно видаліть їх:</p>
<ul>
<li>Accordion and Accordion Slider</li>
<li>Album and Image Gallery Plus Lightbox</li>
<li>Audio Player with Playlist Ultimate</li>
<li>Blog Designer for Post and Widget</li>
<li>Countdown Timer Ultimate</li>
<li>Featured Post Creative</li>
<li>Footer Mega Grid Columns</li>
<li>Hero Banner Ultimate</li>
<li>HTML5 VideoGallery Plus Player</li>
<li>Meta Slider and Carousel with Lightbox</li>
<li>Popup Anything on Click</li>
<li>Portfolio and Projects</li>
<li>Post Category Image with Grid and Slider</li>
<li>Post Grid and Filter Ultimate</li>
<li>Preloader for Website</li>
<li>Product Categories Designs for WooCommerce</li>
<li>Responsive WP FAQ with Category (sp-faq)</li>
<li>SlidersPack — All in One Image Sliders</li>
<li>SP News And Widget</li>
<li>Styles for WP PageNavi — Addon</li>
<li>Ticker Ultimate</li>
<li>Timeline and History Slider</li>
<li>Woo Product Slider and Carousel with Category</li>
<li>WP Blog and Widgets</li>
<li>WP Featured Content and Slider</li>
<li>WP Logo Showcase Responsive Slider and Carousel</li>
<li>WP Responsive Recent Post Slider</li>
<li>WP Slick Slider and Image Carousel</li>
<li>WP Team Showcase and Slider</li>
<li>WP Testimonial with Widget</li>
<li>WP Trending Post Slider and Widget</li>
</ul>
<h2><strong><b>Що робити: покроковий алгоритм дій</b></strong></h2>
<ol>
<li><b></b><strong><b>Перевірте список встановлених плагінів. </b></strong>У панелі керування WordPress перейдіть до розділу «Плагіни» і порівняйте з наведеним вище списком.</li>
<li><b></b><strong><b>Деактивуйте та видаліть уражені плагіни. </b></strong>Не просто деактивуйте — видаляйте повністю. Шукайте альтернативи від перевірених авторів.</li>
<li><b></b><strong><b>Перевірте файл wp-config.php. </b></strong>Відкрийте файл через файловий менеджер хостингу або FTP. Нормальний розмір — близько 3–4 КБ. Якщо файл значно більший (6+ КБ) або ви бачите незрозумілий код у кінці рядка require_once ABSPATH . wp-settings.php — сайт скомпрометований.</li>
<li><b></b><strong><b>Якщо wp-config.php заражений — зверніться до фахівця. </b></strong>Просте видалення плагіна не допоможе: необхідне повне очищення сайту, перевірка всіх файлів і, можливо, відновлення з резервної копії, зробленої до 5 квітня 2026 року.</li>
<li><b></b><strong><b>Перевірте резервні копії. </b></strong>Порівняйте розмір wp-config.php у резервних копіях за різні дати. Якщо резервні копії зберігаються на хостингу, звернення до служби підтримки допоможе встановити точний момент зараження.</li>
<li><b></b><strong><b>Змініть паролі. </b></strong>Після очищення сайту змініть паролі адміністратора WordPress, бази даних та облікового запису хостингу.</li>
<li><b></b><strong><b>Встановіть плагін безпеки. </b></strong>Плагіни на кшталт Wordfence або iThemes Security допоможуть виявляти підозрілі зміни файлів у майбутньому.</li>
<li><b></b><strong><b>Відстежуйте сповіщення WordPress.org. </b></strong>Коли платформа закриває плагін через безпеку, у панелі адміністратора WordPress з&#8217;являється відповідне попередження. Ніколи не ігноруйте ці повідомлення.</li>
</ol>
<h2><strong><b>Системна проблема: WordPress не перевіряє нових власників плагінів</b></strong></h2>
<p>Це вже <a href="https://cybercalm.org/topic/wordpress/">не перший</a> подібний випадок. Тижнем раніше аналогічна атака була виявлена з плагіном Widget Logic. У 2017 році покупець плагіна Display Widget (200 000 активних встановлень) так само впровадив спам-код після придбання.</p>
<p>WordPress.org не має жодного механізму для перевірки зміни власника плагіна. Ні сповіщення користувачів, ні додаткової перевірки коду при появі нового коміттера. Команда безпеки платформи відреагувала швидко після виявлення атаки — але між впровадженням бекдора і його виявленням минуло вісім місяців.</p>
<p>Цей інцидент ілюструє ключовий ризик ланцюжка постачання програмного забезпечення: навіть багаторічний надійний інструмент може стати загрозою після зміни власника. Перевіряйте, хто розробляє плагіни, які ви використовуєте, і стежте за змінами в їхньому авторстві.</p>
<p>Ця стаття <a rel="nofollow" href="https://cybercalm.org/htos-kupyv-31-wordpress-plagin-i-vbuduvav-bekdor/">Хтось купив 31 WordPress-плагін і вбудував бекдор у кожен з них</a> раніше була опублікована на сайті <a rel="nofollow" href="https://cybercalm.org">CyberCalm</a>, її автор — <a rel="nofollow" href="https://cybercalm.org/author/maksym-pobokin/">Побокін Максим</a></p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://cdn.cybercalm.org/wp-content/uploads/2026/04/16113416/wordpress-plugin-supply-chain-attack-1.webp" />	</item>
	</channel>
</rss>
