Επικίνδυνα ψεύτικα VPN στο GitHub και κρίσιμες ευπάθειες σε Fortinet. Τι πρέπει να γνωρίζουν οι χρήστες

Ένα νέο κύμα κυβερνοεπιθέσεων εκμεταλλεύεται τη δημοτικότητα των δωρεάν VPN και των game mods, στοχεύοντας ιδίως gamers και χρήστες που αναζητούν προστασία της ιδιωτικότητας. Ειδικοί ασφαλείας εντόπισαν κακόβουλο λογισμικό που διακινείται μέσω GitHub, μεταμφιεσμένο ως “Free VPN for PC” ή ως mod για το Minecraft (“Skin Changer”). Στην πραγματικότητα, πρόκειται για έναν εξελιγμένο dropper που εγκαθιστά το Lumma Stealer, ένα info-stealer που στοχεύει προσωπικά δεδομένα και διαπιστευτήρια.

Η επίθεση εκμεταλλεύεται τη φήμη του GitHub ως αξιόπιστης πλατφόρμας, προσφέροντας αρχεία ZIP με κωδικό και αναλυτικές οδηγίες εγκατάστασης, προσδίδοντας ψευδαίσθηση νομιμότητας. Μόλις εκτελεστεί, το κακόβουλο λογισμικό εγκαθίσταται στον φάκελο AppData των Windows, χρησιμοποιώντας τεχνικές όπως process injection μέσω MSBuild.exe, δυναμική φόρτωση DLL, memory injection και obfuscation, ώστε να παραμένει αόρατο στα παραδοσιακά antivirus. Επιπλέον, αξιοποιεί στρατηγικές MITRE ATT&CK όπως DLL side-loading και sandbox evasion, καθιστώντας τον εντοπισμό του ιδιαίτερα δύσκολο.

Η βασική σύσταση των ειδικών είναι να αποφεύγεται η εγκατάσταση λογισμικού από μη επαληθευμένες πηγές, ακόμη και αν φιλοξενούνται σε πλατφόρμες όπως το GitHub. Ειδικά τα εκτελέσιμα αρχεία που διανέμονται μέσα από password-protected ZIP ή συνοδεύονται από ασαφείς οδηγίες εγκατάστασης πρέπει να αντιμετωπίζονται με μεγάλη καχυποψία. Συνιστάται επίσης η απενεργοποίηση εκτέλεσης αρχείων από φακέλους όπως το AppData, η παρακολούθηση ύποπτων διεργασιών (π.χ. MSBuild.exe) και η χρήση antivirus με δυνατότητες behavior-based ανίχνευσης1.

Fortinet FortiWeb: Κρίσιμη ευπάθεια SQL Injection με PoC για απομακρυσμένη εκτέλεση κώδικα

Στις 13 Ιουλίου αποκαλύφθηκε μια σοβαρή ευπάθεια (CVE-2025-25257, CVSS 9.8) στο Fortinet FortiWeb, που επιτρέπει σε μη αυθεντικοποιημένους επιτιθέμενους να εκτελέσουν αυθαίρετο SQL και, κατά συνέπεια, απομακρυσμένο κώδικα σε ευάλωτους servers. Η ευπάθεια αφορά SQL injection μέσω ειδικά διαμορφωμένων HTTP/HTTPS requests και έχει ήδη δημοσιευθεί proof-of-concept exploit, αυξάνοντας τον κίνδυνο άμεσης εκμετάλλευσης.

Οι ερευνητές έδειξαν ότι μπορούν να γράψουν αρχεία ως root στο σύστημα μέσω MySQL’s INTO OUTFILE και να εκτελέσουν αυθαίρετο Python κώδικα εκμεταλλευόμενοι υπάρχοντα scripts στο σύστημα. Η Fortinet έχει ήδη κυκλοφορήσει patches για τις εκδόσεις 7.6.4, 7.4.8, 7.2.11 και 7.0.11 και καλεί όλους τους διαχειριστές να ενημερώσουν άμεσα τα συστήματά τους, καθώς η διαθεσιμότητα δημόσιων exploits καθιστά την απειλή ιδιαίτερα επείγουσα.

Εν Κατακλείδι

Η συνδυασμένη απειλή από εξελιγμένο malware που διακινείται μέσω αξιόπιστων πλατφορμών και η ταχύτατη weaponization κρίσιμων ευπαθειών σε λογισμικό υποδομής αποδεικνύουν ότι η ασφάλεια στον κυβερνοχώρο απαιτεί συνεχή επαγρύπνηση, ενημέρωση και αυστηρή τήρηση βέλτιστων πρακτικών. Η έγκαιρη ενημέρωση λογισμικού και η προσεκτική αξιολόγηση κάθε λογισμικού που εγκαθίσταται αποτελούν πλέον αναγκαία μέτρα προστασίας.