Забыли обновить роутер? Поздравляем, хакеры используют его для взлома GitHub
NewsMakerИстория о том, как обычный маршрутизатор стал соучастником крупного преступления.
Взлом маршрутизатора может показаться локальной неприятностью, а подмена кода в GitHub Actions — историей из совсем другого мира. Однако март 2026 года показал, что между домашними роутерами и корпоративными CI/CD-конвейерами иногда проходит одна и та же нить. Авторы исследования Ctrl-Alt-Intel пришли к выводу , что атака на Xygeni, о которой раньше говорили отдельно, связана с кампанией по захвату TP-Link и ASUS для создания скрытой прокси-сети.
Команда занималась совсем другой темой — отслеживала злоумышленников, которые превращают взломанные устройства на границе сети в резидентские прокси. Во время расследования специалисты нашли следы инструмента microsocks на потребительских роутерах TP-Link, а рядом — управляющий модуль ShadowLink.
Разбор показал неожиданное совпадение: тот же протокол связи с сервером управления, тот же порядок обмена командами и тот же секрет аутентификации использовались во вредоносном компоненте, внедрённом 3 марта в GitHub Action компании Xygeni.
По данным Ctrl-Alt-Intel, на TP-Link злоумышленники использовали уязвимость CVE-2024-21833 , чтобы загружать скрипт, подбирать бинарный файл под архитектуру устройства, поднимать SOCKS5-прокси и закрепляться в системе через cron, rc.local и NVRAM.
Взлом маршрутизатора может показаться локальной неприятностью, а подмена кода в GitHub Actions — историей из совсем другого мира. Однако март 2026 года показал, что между домашними роутерами и корпоративными CI/CD-конвейерами иногда проходит одна и та же нить. Авторы исследования Ctrl-Alt-Intel пришли к выводу , что атака на Xygeni, о которой раньше говорили отдельно, связана с кампанией по захвату TP-Link и ASUS для создания скрытой прокси-сети.
Команда занималась совсем другой темой — отслеживала злоумышленников, которые превращают взломанные устройства на границе сети в резидентские прокси. Во время расследования специалисты нашли следы инструмента microsocks на потребительских роутерах TP-Link, а рядом — управляющий модуль ShadowLink.
Разбор показал неожиданное совпадение: тот же протокол связи с сервером управления, тот же порядок обмена командами и тот же секрет аутентификации использовались во вредоносном компоненте, внедрённом 3 марта в GitHub Action компании Xygeni.
По данным Ctrl-Alt-Intel, на TP-Link злоумышленники использовали уязвимость CVE-2024-21833 , чтобы загружать скрипт, подбирать бинарный файл под архитектуру устройства, поднимать SOCKS5-прокси и закрепляться в системе через cron, rc.local и NVRAM.