Критическая уязвимость в SimpleHelp активно эксплуатируется: через вредоносные программы TaskWeaver и Djinn Stealer осуществляется массовое хищение данных!

В сфере кибербезопасности обнаружена очередная чрезвычайно опасная угроза. Неизвестные киберпреступники активно используют критическую уязвимость CVE-2026-48558, обнаруженную в платформе удаленного мониторинга и управления (Remote Monitoring and Management – RMM) SimpleHelp, для развертывания на устройствах новых вредоносных программ под названиями TaskWeaver и Djinn Stealer.

Уровень опасности данной уязвимости по шкале CVSS составляет 10.0, что относит ее к категории угроз наивысшей степени риска. Как отмечают эксперты, злоумышленник, успешно использовавший эту уязвимость, может пройти аутентификацию в системе в качестве пользователя «Technician» с полными правами, не имея при этом никакой легитимной учетной записи. В результате он получает возможность использовать функции удаленного управления, передавать файлы на устройства, выполнять команды и запускать вредоносное программное обеспечение.

Суть уязвимости

Проблема связана с недостатком в механизме проверки в процессе аутентификации OpenID Connect (OIDC). Из-за уязвимости неаутентифицированный злоумышленник может создать токен, содержащий поддельные идентификационные данные, обмануть систему и зарегистрироваться в ней как легитимный технический сотрудник.

Одним из наиболее тревожных аспектов является то, что даже если на сервере для технических сотрудников включена многофакторная аутентификация (MFA), данная уязвимость позволяет обойти этот защитный механизм. Поскольку система позволяет новому техническому пользователю самостоятельно зарегистрировать метод MFA при первом входе.

Как осуществляется атака?

Согласно анализу, злоумышленники находят доступный через Интернет сервер SimpleHelp и используют уязвимость CVE-2026-48558 для обхода аутентификации. После этого они создают в системе сессию «Technician» и используют доверенные возможности управления RMM-платформы.

В результате злоумышленники могут:

  • передавать файлы на управляемые устройства;
  • удаленно выполнять команды;
  • запускать вредоносное программное обеспечение;
  • загружать дополнительные вредоносные полезные нагрузки.

В данной кампании на первом этапе запускается TaskWeaver, а затем — Djinn Stealer.

TaskWeaver — скрытый загрузчик (Loader)

TaskWeaver — это сильно обфусцированный загрузчик на основе Node.js. Обычно он распространяется под именем jquery.js и запускается через процесс node.exe.

Данное вредоносное ПО:

  • собирает информацию о системе;
  • определяет конфигурацию устройства;
  • устанавливает зашифрованное соединение с удаленным командным сервером;
  • загружает и запускает дополнительные JavaScript-нагрузки;
  • динамически загружает последующие вредоносные компоненты.

Такой подход позволяет злоумышленникам обновлять вредоносный код в любое время и обходить антивирусные системы.

Djinn Stealer — многофункциональный похититель данных

Второй этап, загружаемый TaskWeaver, — это Djinn Stealer, который нацелен на операционные системы Windows, Linux и macOS.

Вредоносное ПО предназначено для сбора большого объема конфиденциальных данных, принадлежащих пользователям и администраторам.

В частности, оно пытается похитить:

  • логины и пароли, сохраненные в браузерах;
  • cookie-файлы;
  • историю браузера;
  • закладки;
  • SSH-ключи;
  • конфигурацию Git;
  • данные GitHub CLI;
  • файлы аутентификации Docker;
  • данные реестра Helm;
  • конфигурации облачных платформ — AWS, Microsoft Azure, Google Cloud, Oracle Cloud, Cloudflare и других;
  • аутентификационные данные инструментов инфраструктуры, таких как Terraform, HashiCorp Vault, Consul;
  • токены пакетных менеджеров — npm, Yarn, pnpm, Maven, Gradle, pip, PyPI, Cargo, Composer и других;
  • данные проектов и аутентификации платформ искусственного интеллекта и ассистентов;
  • криптовалютные кошельки и их ключи.

В Linux-системах вредоносное ПО также проверяет файлы /proc/<pid>/cmdline и /proc/<pid>/environ. В этих файлах часто могут храниться:

  • API-ключи;
  • токены доступа;
  • строки подключения к базам данных;
  • пароли сервисов;
  • секретные переменные окружения (Environment Variables).

Как передаются похищенные данные?

Все собранные данные сначала упаковываются в формат TAR, затем сжимаются с помощью алгоритма GZIP. После этого они шифруются с использованием алгоритма AES-256-GCM и защищаются с помощью открытого ключа RSA-2048 перед отправкой на серверы, контролируемые злоумышленниками.

Такая многоэтапная система шифрования значительно усложняет обнаружение передаваемых данных с помощью средств сетевого мониторинга.

Платформы искусственного интеллекта также являются целями

Одной из примечательных особенностей данной кампании является особый интерес к современным сервисам искусственного интеллекта.

Djinn Stealer ищет данные аутентификации и проектов, связанных со следующими AI-инструментами:

  • Anthropic Claude;
  • Google Gemini;
  • OpenAI Codex;
  • Cline;
  • OpenCode;
  • Kilo.

Это указывает на то, что злоумышленники нацелены не только на учетные записи пользователей, но и на процессы разработки программного обеспечения, репозитории кода, автоматизированные рабочие процессы и корпоративные сервисы искусственного интеллекта.

Угроза для организаций

SimpleHelp обычно используется для удаленного управления корпоративной инфраструктурой. Поэтому компрометация одного RMM-сервера может привести к тому, что десятки или сотни клиентских систем окажутся под угрозой.

С помощью одного сохраненного на компьютере администратора аутентификационного токена злоумышленник может получить доступ к:

  • производственной (Production) среде;
  • облачной инфраструктуре;
  • CI/CD и DevOps-системам;
  • Git-репозиториям;
  • инфраструктурам клиентов;
  • внутренним корпоративным сетям.

Таким образом, данная уязвимость имеет гораздо более широкий спектр воздействия, чем простая проблема аутентификации.

Рекомендации по защите

Эксперты рекомендуют как можно скорее предпринять следующие меры:

  • немедленно обновить сервер SimpleHelp до последней версии с исправлениями безопасности, выпущенными разработчиком;
  • срочно проверить серверы с включенной аутентификацией OIDC;
  • выявить и удалить неизвестные учетные записи «Technician»;
  • проанализировать логи сервера и конечных точек;
  • проверить наличие неизвестных файлов jquery.js, запускаемых через процессы Node.js;
  • сменить пароли всех учетных записей администраторов и сервисных аккаунтов;
  • обновить API-ключи и токены доступа;
  • перегенерировать SSH-ключи;
  • провести глубокую проверку конечных точек с помощью EDR/XDR-решений;
  • управлять RMM-серверами не через прямое подключение к Интернету, а через VPN или сети, защищенные на основе принципов Zero Trust.

Уязвимость CVE-2026-48558 еще раз продемонстрировала, что один недостаток аутентификации в платформах удаленного управления может создать серьезную угрозу для всей корпоративной инфраструктуры. Вредоносные программы TaskWeaver и Djinn Stealer используют эту возможность для хищения не только учетных записей пользователей и данных браузеров, но и конфиденциальной информации, связанной с облачной инфраструктурой, средами разработки, платформами искусственного интеллекта и криптовалютными активами.

Поэтому сегодня для организаций крайне важно регулярно обновлять RMM-платформы, строго контролировать механизмы аутентификации, непрерывно осуществлять мониторинг инцидентов безопасности и внедрять многоуровневые меры защиты на основе принципов Zero Trust.