Infiltrace a útoky pod rouškou práce na dálku
Severokorejské IT operace představují závažnou kybernetickou hrozbu. Útoky začínají na pracovních platformách a sítích, kde agenti KLDR využívají falešné identity a nástroje umělé inteligence k přesvědčivým pohovorům a komunikaci. Po získání práce žádají o zaslání firemního notebooku na adresu v USA, kde jej převezmou prostředníci tzv. „laptop farmy“ a zajistí přístup do sítí obětí. V řadě případů tato infiltrace vedla k vážným incidentům – nasazení ransomwaru, odcizení citlivých dat či vydírání zaměstnavatelů. Tyto operace nejen ohrožují integritu firemních sítí, ale zásadně podkopávají i důvěru v bezpečnost outsourcingu IT práce.
Na základě pokračujícího vyšetřování americký Úřad pro kontrolu zahraničních aktiv (OFAC) uvalil sankce na ruského občana Vitaliye Sergeyeviche Andreyeva, severokorejského diplomata Kim Ung Suna a firmy Shenyang Geumpungri Network Technology Co., Ltd. a Korea Sinjin Trading Corporation. Tyto entity se podílely na praní peněz a generování milionových zisků pro severokorejský režim. Sankce doplňují dřívější kroky a zdůrazňují, že činnost severokorejských IT pracovníků není pouze finanční, ale především kyberbezpečnostní hrozbou. Americké úřady ve spolupráci s partnery varují firmy, aby pečlivě prověřovaly nové zaměstnance, a zároveň podnikají kroky k rozbití laptop farem a blokování kanálů, kterými se výnosy z těchto kyberoperací dostávají k režimu KLDR, jež jsou dále využity například k financování zbraní hromadného ničení.
Docker Desktop opravuje kritickou chybu
Docker v těchto dnech vydal verzi aplikace Desktop (4.44.3), v níž opravil kritickou zranitelnost (CVE-2025–9074, CVSS 9,3). Ta ve verzích pro operační systémy Windows a macOS mohla útočníkovi umožnit únik z izolovaného prostředí kontejneru.
Zranitelnost objevili výzkumníci Felix Boulet a Philippe Dugre (zer0×64). Boulet odhalil, že kontejnery mohou přistupovat na Docker Engine API na výchozí adrese 192.168.65.7:2375 bez autentizace. Nepomáhá ani zapnutá funkce „Enhanced Container Isolation (ECI)“, ani neaktivní volba „Expose daemon on tcp://localhost:2375 without TLS“. V důsledku toho může útočník spouštět privilegované příkazy a získat tak přístup k ostatním kontejnerům, vytvářet nové, spravovat image, atd. V určitých případech (např. Docker Desktop pro Windows s WSL backendem) umožňuje i připojit disk hostitele se stejnými právy jako uživatel, který Docker Desktop spouští. Výzkumníci předvedli, jak může napadený kontejner připojit disk C:\ hostitele, a spustit nový kontejner s právy pro čtení i zápis, což vede ke kompletní kompromitaci hostitelského systému.
V případě hostitelského operačního systému macOS je situace o něco příznivější, díky jeho internímu izolačnímu mechanismu (aplikace Docker nemá přístup ke zbytku filesystému, a neběží s právy administrátora) je uživatel v případě pokusu o připojení diskového oddílu nucen projít autentizačním procesem. Nicméně stále je útočník schopen získat plnou kontrolu nad ostatními kontejnery a měnit jejich konfiguraci. Linux naopak nebyl ovlivněn vůbec, protože namísto TCP socketu používá pro mezikontejnerovou komunikaci pojmenované roury (named pipes).
Výzkumníci uvádějí, že tato kritická chyba je důsledkem poměrně jednoduchého opomenutí v logice kódu – interní HTTP API bylo dostupné z jakéhokoliv kontejneru bez autentizace či přístupových omezení. Na implementaci praktického příkladu zneužití pak autor potřeboval pouhé 3 řádky kódu v Pythonu.
PromptLock, aneb přichází doba AI ransomwaru
Společnost ESET tento týden oznámila nález „prvního ransomware poháněného umělou inteligencí“, a pojmenovala jej PromptLock. Přestože zatím nebylo zjištěno jeho použití v reálných útocích, a jedná se nejspíš o jakýsi vývojový test tohoto konceptu (např. funkce smazání cílových dat v něm ještě není implementovaná), jeho schopnost data z napadeného systému exfiltrovat a zašifrovat je do budoucna jasnou hrozbou.
Malware využívá teprve nedávno představený jazykový model gpt-oss-20b od OpenAI. PromptLock nestahuje celý model, který má velikost v řádu gigabajtů,
uvádějí zástupci ESETu. Útočník může místo toho pouze vytvořit spojení z kompromitované sítě k serveru, na kterém běží API Ollama s modelem gpt-oss-20b.
Kód je napsán v jazyce Golang, a generuje škodlivé Lua skripty v reálném čase. To také znamená, že indikátory kompromitace (IoCs) se mohou mezi jednotlivými běhy lišit a tato variabilita ztěžuje jeho detekci. Skripty generované na základě pevně zakódovaných promptů pak slouží pro procházení lokálního souborového systému, inspekci cílových souborů, exfiltraci vybraných dat a šifrování,
uvedli zástupci ESETu. Jsou kompatibilní napříč platformami – fungují ve Windows, Linuxu i macOS. PromptLock používá pro zašifrování souborů 128bitový algoritmus SPECK.
Ransomwarový kód také obsahuje instrukce pro vytvoření „individuálně přizpůsobené“ výzvy k zaplacení výkupného podle toho, jaké soubory byly nalezeny, ať už šlo o o osobní počítač, firemní server, nebo zařízení distribuce energie. Naopak bitcoinová adresa užitá ve vygenerované výzvě k platbě se jeví jako vysloveně „testovací“, neboť je asociována s (pravděpodobným) tvůrcem samotné kryptoměny, Satoshi Nakamotem.
Tento případ je, navzdory rysům svědčícím o jeho teprve vývojové fázi, důležitým varováním: prakticky se otevírá cesta pro vznik mnohem sofistikovanějších a adaptivnějších malwarů. I když aktuálně PromptLock není využíván v reálných útocích, ukazuje, jak razantně může AI snížit technickou bariéru pro tvorbu nebezpečných hrozeb.
Škodlivé balíčky NX vedoucí k úniku dat uživatelů
Vývojáři oblíbené open-source platformy NX upozornili na vážný bezpečnostní incident. Neznámému útočníkovi se podařilo kompromitovat několik verzí jejich balíčků na npm a nahrát škodlivý kód, který po instalaci na zařízení vývojářů sbíral citlivá data a odesílal je do veřejných GitHub repozitářů.
Nx je populární build systém a nástroj pro správu větších monorepo projektů, který má přes 3,5 milionu týdenních stažení. Mezi zasažené balíčky patřil hlavní NX i několik doplňkových modulů jako @nx/devkit, @nx/node či @nx/eslint. Všechny škodlivé verze byly odstraněny z veřejného registru.
Kompromitace proběhla 26. srpna 2025 a podle autorů projektu byla způsobena zranitelností v GitHub workflow, konkrétně v mechanismu pull_request_target, který umožnil útočníkovi spustit kód s vyššími oprávněními. Díky tomu se mu podařilo získat npm token a zveřejnit škodlivé verze balíčků jako by šlo o oficiální aktualizace.
Škodlivý kód byl ukryt v postinstall skriptu, který se automaticky spustil při instalaci balíčku. Tento skript po spuštění provedl následující:
- prohledal systém a sbíral textové soubory obsahující přihlašovací údaje,
- získal konfigurace Git a SSH klíče,
- odeslal data na GitHub do repozitářů pojmenovaných např. s1ngularity-repository,
- upravil soubory
.bashrca.zshrc, aby spouštěly příkazsudo shutdown -h 0, což vedlo k okamžitému vypnutí zařízení po zadání hesla.
Kromě toho malware zneužíval také některé nástroje s umělou inteligencí, jako jsou Claude, Google Gemini nebo Amazon Q, které byly na počítači nainstalované. Pomocí speciálních příkazů útočníci instruovali tyto nástroje, aby vyhledávaly obsah souborového systému a odesílaly jej zpět na útočníkem řízené servery, čímž efektivně zneužili AI asistenty k průzkumu a exfiltraci dat ze zařízení.
Společnost Wiz, která se podílela na analýze incidentu, uvedla, že útočníci získali stovky GitHub tokenů a dalších přístupových údajů přičemž mnoho z nich bylo i po několika dnech stále platných. Byly také nalezeny přístupy k cloudovým službám, jako jsou AWS, Google AI, OpenAI nebo Datadog.
Tým NX mezitím podnikl nápravná opatření – rotoval přístupové tokeny, provedl audit aktivit na GitHubu i npm a nastavil povinné dvoufaktorové ověření pro publikaci balíčků. Uživatelům doporučují následující:
- zkontrolovat, zda neinstalovali některou z kompromitovaných verzí,
- provést revizi .bashrc a .zshrc, a případně odstranit škodlivé příkazy,
- rotovat přístupové tokeny (GitHub, npm, API klíče),
- sledovat podezřelé repozitáře na svých účtech.
Incident ukazuje na novou úroveň promyšlenosti útoků na vývojářský ekosystém. Kombinace slabin v CI/CD nástrojích, zneužití vývojářských prostředí a AI asistentů představuje vážnou výzvu i pro pokročilejší bezpečnostní týmy.
Ve zkratce
- Čínská APT skupina Salt Typhoon napadla více než 600 společností napříč 80 zeměmi v rámci kyberšpionážních operací
- Claude AI zneužito k automatizaci a orchestraci sofistikovaných kyberútoků
- Kritická RCE zranitelnost Citrix NetScaler zařízení CVE-2025–7775
- Útok na švédského dodavatele IT systémů způsobil nedostupnost systémů ve více než 200 regionech země
- Podvodníci odcizili více než milion dolarů prostřednictvím klonů webů známých společností
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
