Postřehy z bezpečnosti: Tycoon2FA zpátky v provozu

Backdoor v balíčku LiteLLM na PyPI

Hackerská skupina TeamPCP pokračovala ve svých útocích na dodavatelský řetězec. Tentokrát kompromitovala velmi populární Python balíček LiteLLM na serveru PyPI a tvrdila, že během útoku získala data ze stovek tisíc zařízení.

LiteLLM je open-source knihovna pro jazyk Python, která slouží jako rozhraní pro přístup k různým poskytovatelům velkých jazykových modelů (LLM) prostřednictvím jednotného API. Balíček patří mezi velmi rozšířené nástroje – zaznamenávvá více než 3,4 milionu stažení denně a přes 95 milionů za poslední měsíc.

Podle výzkumu společnosti Endor Labs útočníci balíček kompromitovali a na PyPI publikovali škodlivé verze LiteLLM 1.82.7 a 1.82.8. Ty obsahovaly malware určený ke krádeži široké škály citlivých dat.

K útoku se přihlásila skupina TeamPCP, která stála i za nedávnou mediálně známou kompromitací skeneru zranitelností Trivy společnosti Aqua Security. Tento incident pravděpodobně spustil řetězovou reakci, která zasáhla Docker obrazy Aqua Security, projekt Checkmarx KICS a následně i LiteLLM.

Zjištění také ukázala, že skupina cílila na Kubernetes klastry pomocí škodlivého skriptu. Ten mazal zařízení v případě detekce systémů nakonfigurovaných pro Írán. V ostatních regionech instaloval backdoor s označením CanisterWorm.

Zdroje pro server BleepingComputer uvedly, že počet získaných dat se pohyboval okolo 500 000, ale část záznamů byla duplicitní. Podobný počet „infikovaných zařízení“ uváděla i komunita VX-Underground. Tato čísla nelze nezávisle ověřit.

Společnost Endor Labs dále informovala, že obě škodlivé verze LiteLLM obsahovaly skrytý kód, který se spouštěl při importu balíčku. Tento kód byl vložen do souboru litellm/proxy/proxy_server.py jako base64 payload, který se při každém importu dekódoval a spustil.

Verze 1.82.8 navíc obsahovala agresivnější mechanismus perzistence. Do prostředí Pythonu instalovala soubor litellm_init.pth. Python tyto soubory automaticky zpracovává při spuštění interpreteru, takže se škodlivý kód aktivoval při každém spuštění Pythonu, i bez přímého použití LiteLLM.

Po spuštění payload nasadil variantu nástroje TeamPCP Cloud Stealer spolu se skriptem pro zajištění perzistence. Analýza serveru BleepingComputer ukázala, že jeho logika pro krádež přihlašovacích údajů byla téměř totožná s útokem na Trivy.

Podle Endor Labs payload prováděl třífázový útok: nejprve shromáždil přihlašovací údaje (SSH klíče, cloudové tokeny, Kubernetes údaje, kryptoměnové peněženky a soubory .env), následně se pokusil o laterální pohyb v Kubernetes klastry nasazením privilegovaných podů a nakonec instaloval perzistentní backdoor do systemd, který vyhledával další binární soubory. Exfiltrovaná data byla zašifrována a odeslána na doménu kontrolovanou útočníky.

Stealer sbírá široké spektrum citlivých informací, včetně:

• systémových informací (hostname, pwd, whoami, uname -a, ip addr, printenv),
• SSH klíčů a konfigurací,
• přihlašovacích údajů do cloudových služeb AWS, GCP a Azure,
• tokenů Kubernetes a klastrových tajných klíčů,
• souborů prostředí (.env),
• databázových přihlašovacích údajů,
• TLS privátních klíčů a CI/CD,
• údajů o kryptoměnových peněženkách.

Součástí payloadu byl také další skript zakódovaný v base64, který se instaloval jako uživatelská systemd služba maskovaná jako System Telemetry Service. Tento skript pravidelně kontaktoval vzdálený server na adrese checkmarx[.]zone a stahoval další payloady.

Ukradená data byla zabalena do šifrovaného archivu tpcp.tar.gz a odeslána na infrastrukturu útočníků na doméně  models.litellm[.]cloud.

Obě škodlivé verze LiteLLM byly z PyPI odstraněny a za poslední bezpečnou verzi byla označena verze 1.82.6.

Organizacím, které LiteLLM používají, je doporučeno:

• ověřit, zda nemají nainstalované verze 1.82.7 nebo 1.82.8,
• okamžitě obnovit všechna hesla, tokeny a přihlašovací údaje používané v kódu nebo uložené na napadených zařízeních,
• zkontrolovat artefakty perzistence, například ~/.config/sysmon/sysmon.py a související systemd služby,
• prověřit systémy na přítomnost podezřelých souborů, například /tmp/pglog a  /tmp/.pg_state,
• zkontrolovat Kubernetes klastry na neautorizované pody ve jmenném prostoru  kube-system,
• monitorovat odchozí komunikaci směrem na známé domény útočníků.

V případě podezření na kompromitaci je nutné považovat všechny přihlašovací údaje za odhalené a okamžitě je změnit.

Jak výzkumníci, tak i samotní útočníci uvedli, že obměna tajných klíčů je sice náročná, ale představuje jeden z nejúčinnějších způsobů, jak zabránit dalším útokům v dodavatelském řetězci.

FBI spojila útoky v Signalu s ruskými zpravodajskými službami

FBI vydala veřejné prohlášení, v němž varuje, že útočníci napojení na ruské zpravodajské služby se v rámci phishingových kampaní, které již vedly k napadení tisíců účtů, aktivně zaměřují na uživatele šifrovaných komunikačních aplikací, jako jsou Signal a WhatsApp.

Toto prohlášení FBI je prvním veřejným označením, jež tyto kampaně přímo spojuje s ruskými zpravodajskými službami, a nejde tedy o obecný popis pouhých státních aktérů.

Podle FBI jsou tyto kampaně navrženy tak, aby obešly ochranu end-to-end šifrování v komerčních aplikacích pro zasílání zpráv (CMA), a to nikoliv prolomením šifrování, ale prostřednictvím únosu účtů. FBI uvádí, že techniky použité při těchto útocích lze aplikovat na více CMA, ale zaměřují se převážně na uživatele aplikace Signal.

V závislosti na získaném přístupu mohou útočníci číst soukromé zprávy a seznamy kontaktů, vydávat se za oběti a jako důvěryhodné osoby spouštět další phishingové kampaně. FBI uvádí, že útoky postihly „tisíce“ účtů po celém světě a zaměřují se především na ty, které mají přístup k citlivým informacím.

„Tato aktivita se zaměřuje na osoby s vysokou zpravodajskou hodnotou, jako jsou současní a bývalí úředníci americké vlády, vojenský personál, političtí představitelé a novináři,“ uvádí se ve varování FBI.

FBI přišla s tímto závěrem po dřívějších varováních nizozemských a francouzských orgánů pro kyberbezpečnost popisujících podobné operace.

Na začátku tohoto měsíce nizozemské zpravodajské služby varovaly, že se útočníci podporovaní státem zaměřují na uživatele aplikací Signal a WhatsApp v rámci phishingových kampaní, jejichž cílem je získat přístup k zabezpečeným komunikacím. Útoky spočívaly v tom, že útočníci podvodem přiměli uživatele, aby jim povolili přidat účet do svých zařízení nebo propojit zařízení ovládaná útočníky s daným účtem.

Francouzské Centrum pro koordinaci kybernetických krizí (C4) rovněž zveřejnilo varování ohledně stejné taktiky zaměřené na platformy pro okamžité zasílání zpráv, v němž uvádí, že tato činnost je rozšířená a probíhá v několika zemích.

Ve všech třech varováních se uvádí, že phishingové útoky využívají stejnou taktiku, a to obcházení šifrování platformy prostřednictvím převzetí účtů nebo propojení zařízení s existujícím účtem.

FBI uvádí, že většina phishingových zpráv se vydává za účty technické podpory, které požadují, aby oběť provedla akci, která útočníkům umožní přístup k účtu. Oběti jsou obvykle podvedeny ke sdílení ověřovacích kódů nebo naskenování škodlivých QR kódů, které propojí jejich účty (Signal a WhatsApp) se zařízeními ovládanými útočníky.

Jakmile útočníci získají přístup k účtům, mohou tiše sledovat komunikaci, připojit se ke skupinovým chatům a odesílat zprávy jako napadený uživatel, což ztěžuje odhalení a umožňuje další phishingové kampaně.

Ve veřejném prohlášení se zdůrazňuje, že šifrování v aplikacích Signal, WhatsApp a podobných platformách není narušeno a nejsou zneužívány žádné zranitelnosti.

FBI uvádí, že tato kampaň již vedla k neoprávněnému přístupu k tisícům účtů v aplikacích pro zasílání zpráv, které byly následně použity k oslovení dalších obětí.

Uživatelům se doporučuje, aby zůstali ostražití vůči neočekávaným zprávám, byli opatrní při žádostech o naskenování QR kódů nebo propojení zařízení s jejich účty a nikdy nesdíleli ověřovací kódy s nikým, včetně účtů vydávajících se za pracovníky podpory dané platformy.

Chyba v rozšíření Claude umožňuje vložení XSS-promptu

Výzkumníci odhalili zranitelnost v rozšíření Claude pro prohlížeč Google Chrome od společnosti Anthropic, kterou by bylo možné zneužít k vyvolání škodlivých výzev pouhým navštívením webové stránky.

Tato chyba „umožňuje jakékoliv webové stránce tiše vkládat výzvy do tohoto asistenta, jako by je napsal uživatel,“ uvedl výzkumník společnosti Koi Security Oren Yomtov ve zprávě sdílené s The Hacker News. „Žádné kliknutí, žádné výzvy k povolení. Stačí navštívit stránku a útočník zcela ovládne váš prohlížeč.“

Tento problém, kódovým označením ShadowPrompt, spojuje dvě základní chyby:

• příliš benevolentní seznam povolených zdrojů v rozšíření, který umožňuje jakékoliv subdoméně odpovídající vzoru ( *.claude.ai) odeslat výzvu do Clauda k provedení a
• zranitelnost typu cross-site scripting (XSS) založená na modelu objektů dokumentu (DOM) v komponentě CAPTCHA společnosti Arkose Labs hostované na  a-cdn.claude[.]ai.

XSS chyba umožňuje spuštění libovolného JavaScript kódu v kontextu a-cdn.claude[.]ai. Útočník by mohl toto chování zneužít k vložení JavaScriptu, který vyvolá výzvu v rozšíření Claude.

Rozšíření ze své strany umožňuje, aby se výzva objevila v postranním panelu Clauda, jako by se jednalo o legitimní požadavek uživatele, jednoduše proto, že pochází z domény uvedené na seznamu těch povolených. „Stránka vkládá zranitelnou komponentu Arkose do skrytého <iframe>, odesílá XSS payload přes postMessage a vložený skript spouští výzvu v rozšíření,“ vysvětlil Yomtov. „Oběť nic nevidí.“

Úspěšné zneužití této chyby by útočníkovi mohlo umožnit odcizit citlivá data (např. přístupové tokeny), získat přístup k historii konverzací s agentem AI a dokonce provádět akce jménem oběti (např. odesílat e-maily, v nichž se vydává za oběť, nebo žádat o důvěrná data).

Po zodpovědném zveřejnění této chyby dne 27. prosince 2025 společnost Anthropic nasadila opravu do rozšíření pro prohlížeč Chrome (verze 1.0.41), která vynucuje přísnou kontrolu původu vyžadující přesnou shodu s doménou claude[.]ai. Společnost Arkose Labs od té doby opravila chybu XSS na své straně k 19. únoru 2026.

„Čím schopnější jsou AI asistenti v prohlížečích, tím cennější jsou jako cíle útoků,“ řekl Koi. „Rozšíření, které umí navigovat ve vašem prohlížeči, číst vaše přihlašovací údaje a odesílat e-maily vaším jménem, je autonomním agentem. A bezpečnost tohoto agenta je tak silná, jak silný je nejslabší původ v jeho hranici důvěry.“

Phishingová platforma Tycoon2FA je zpátky v provozu

Platforma „phishing-as-a-service“ (PhaaS) s názvem Tycoon2FA, jejíž provoz Europol a jeho partneři 4. března narušili, se již vrátila k dříve pozorované úrovni aktivity.

Technické narušení vedla společnost Microsoft, která zabavila 330 domén tvořících páteřní infrastrukturu Tycoon2FA, včetně ovládacích panelů a phishingových stránek používaných při útocích. Narušení způsobené orgány činnými v trestním řízení však bylo krátkodobé, protože společnost CrowdStrike zaznamenala, že se kyberkriminální služba během několika dní vrátila k normálnímu objemu svého provozu.

Tycoon2FA, poprvé zdokumentovaný společností Sekoia přibližně před dvěma lety, se objevil jako platforma PhaaS zaměřená na účty Microsoft 365 a Gmail, vybavená mechanismy typu adversary-in-the-middle, které umožňují obejít ochranu dvoufaktorového ověřování (2FA). O měsíc později společnost Trustwave informovala, že provozovatelé platformy ji aktivně vylepšují, přidávají nové pokročilé funkce a lákají další kyberzločince k zakoupení přístupu.

Tycoon2FA je významným hráčem na phishingové scéně; společnost Microsoft uvedla, že tato platforma generovala 30 milionů phishingových e-mailů měsíčně, což představuje 62 % všech e-mailů zablokovaných tímto technologickým gigantem.

Podle společnosti CrowdStrike je Tycoon2FA zpět v provozu a používá převážně nezměněné techniky, taktiky a procedury (TTP) a podporuje celou řadu nelegálních aktivit, jako je kompromitace firemní e-mailové komunikace (BEC), únos e-mailových vláken, převzetí cloudových účtů a škodlivé odkazy na SharePoint.

Po zásahu byl Tycoon2FA použit v škodlivých e-mailových kampaních, které se opíraly o škodlivé URL a služby zkracování odkazů, legitimní platformy, jako jsou prezentační nástroje, kde dochází ke zneužití mechanismů přesměrování, a také o kompromitované domény.

Část staré infrastruktury zůstala aktivní, což naznačuje, že narušení nebylo úplné, zatímco nové phishingové domény a IP adresy byly zaregistrovány krátce po zásahu bezpečnostních složek. Mezi pozorované aktivity po napadení patří vytváření pravidel pro doručenou poštu, skrytých složek pro podvodné e-maily a příprava na operace typu BEC.

CrowdStrike poznamenává, že bez zatčení nebo fyzických zabavení je pro kyberzločince snadné obnovit a nahradit postiženou infrastrukturu. Dokud bude poptávka ze strany phishingového ekosystému vysoká, motiv operátorů platforem PhaaS zůstane nezměněn.

Ve zkratce

• Nový malware Infinity Stealer získává data ze systému macOS pomocí návnad ClickFix
• Falešná upozornění ve VS Code na GitHubu šíří mezi vývojáři malware
• Evropská komise vyšetřuje únik po napadení cloudového účtu Amazonu
• Protipirátská koalice odstranila aplikaci AnimePlay s 5 miliony uživatelů
• Nizozemská policie informovala o narušení bezpečnosti v důsledku phishingového útoku
• Hackerský útok na fotbalový klub Ajax odhalil údaje fanoušků a umožnil zneužití vstupenek
• CISA: Nová chyba Langflow je aktivně zneužívána k únosům AI workflow

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…