Осуществлен выпуск веб-браузера Firefox 150, а также сформированы обновления для предыдущих веток с расширенным сроком поддержки: 140.10.0 и 115.35.0.
В ходе обновления устранено 359 уязвимостей...
🔗Ссылка:
https://opennet.ru/65260/
В ходе обновления устранено 359 уязвимостей...
🔗Ссылка:
https://opennet.ru/65260/
Forwarded from s0ld13r ch. (s0ld13r)
BitWarden CLI скомпрометирован: новая волна Shai-Hulud 🚨
В npm пакете👀
Payload разворачивается в несколько этапов: через preinstall запускается bw_setup.js, который подтягивает Bun runtime с GitHub и исполняет обфусцированный скрипт😃
Основной функционал:
• кража dev-секретов: .npmrc, .git-credentials, .env, SSH ключи
• сбор cloud-доступов: AWS / GCP / Azure
• извлечение gh auth token и дальнейшая работа через GitHub API
• fallback через commit search (LongLiveTheResistanceAgainstMachines / beautifulcastle)
• создание репозиториев у жертвы и загрузка туда зашифрованных данных
• попытки получения секретов из GitHub Actions
Отдельно стоит отметить таргетинг .claude и MCP конфигов, у атакующего явный интерес к AI инструментам. Если пакет c версией🏃♂️
🛡 IOC for hunts:
🔗 Report:
https://www.ox.security/blog/shai-hulud-bitwarden-cli-supply-chain-attack/
🔗 JFrog Research: https://research.jfrog.com/post/bitwarden-cli-hijack/
🔗 OpenSourceMalware:
https://opensourcemalware.com/npm/@bitwarden/cli
🧢 s0ld13r
В npm пакете
@bitwarden/cli (версия 2026.4.0) обнаружен троянизированный билд, замаскированный под легитный CLI. Пакет сохраняет оригинальные метаданные, но execution path переписан - при установке запускается вредоносный loader подгружающий стилер Shai-Hulud Payload разворачивается в несколько этапов: через preinstall запускается bw_setup.js, который подтягивает Bun runtime с GitHub и исполняет обфусцированный скрипт
Основной функционал:
• кража dev-секретов: .npmrc, .git-credentials, .env, SSH ключи
• сбор cloud-доступов: AWS / GCP / Azure
• извлечение gh auth token и дальнейшая работа через GitHub API
• fallback через commit search (LongLiveTheResistanceAgainstMachines / beautifulcastle)
• создание репозиториев у жертвы и загрузка туда зашифрованных данных
• попытки получения секретов из GitHub Actions
Отдельно стоит отметить таргетинг .claude и MCP конфигов, у атакующего явный интерес к AI инструментам. Если пакет c версией
2026.4.0 устанавливался нужно считать хост скомпрометированным и ротировать все секреты Сетевые индикаторы
audit[.]checkmarx[.]cx
94[.]154[.]172[.]43
https://audit[.]checkmarx[.]cx/v1/telemetry
Файлы / пакет
@bitwarden/cli 2026.4.0
bw_setup.js
bw1.js
SHA суммы
18f784b3bc9a0bcdcb1a8d7f51bc5f54323fc40cbd874119354ab609bef6e4cb
8605e365edf11160aad517c7d79a3b26b62290e5072ef97b102a01ddbb343f14
167ce57ef59a32a6a0ef4137785828077879092d7f83ddbc1755d6e69116e0ad
63e204438ef56b1e500433e85f8773da302718de70407d20bdddb174d3439e6e
🔗 Report:
https://www.ox.security/blog/shai-hulud-bitwarden-cli-supply-chain-attack/
🔗 JFrog Research: https://research.jfrog.com/post/bitwarden-cli-hijack/
🔗 OpenSourceMalware:
https://opensourcemalware.com/npm/@bitwarden/cli
Please open Telegram to view this post
VIEW IN TELEGRAM
Habr
Как отменить или откатить коммит в Git командами reset, revert и restore
Всем привет! Если вы работаете с Git относительно недавно, почти наверняка у вас возникала потребность в отмене коммита. И, что печально, вы быстро поняли, что простого "откатить все назад" нет....
🔗Ссылка:
https://habr.com/post/1010466/
https://habr.com/post/1010466/
Telekom Security
Pack2TheRoot (CVE-2026-41651): Cross-Distro Local Privilege Escalation Vulnerability
Pack2TheRoot (CVE-2026-41651) is a local privilege escalation (LPE) vulnerability that affects multiple Linux distributions in default installations.
Forwarded from 1N73LL1G3NC3
This media is not supported in your browser
VIEW IN TELEGRAM
PhantomRPC: A new privilege escalation technique in Windows RPC
If you have a service like RDP that exposes an RPC server, there many system services running as SYSTEM connect to it as RPC clients. If that service is turned off (RDP is off by default), it seems that any other process in Windows can expose the same RPC server using the same endpoint.
Now all the RPC calls from that SYSTEM processes will come to this fake server and If the process that deployed the server has SeImpersonatePrivilege, it can escalate to SYSTEM by impersonate the RPC client.
In the white paper below, I describe five exploit paths you can abuse.
PhantomRPC (LPE 0-day)
A research repository where you can find all the resources for PhantomRPC research that allows local privilege escalation.
If you have a service like RDP that exposes an RPC server, there many system services running as SYSTEM connect to it as RPC clients. If that service is turned off (RDP is off by default), it seems that any other process in Windows can expose the same RPC server using the same endpoint.
Now all the RPC calls from that SYSTEM processes will come to this fake server and If the process that deployed the server has SeImpersonatePrivilege, it can escalate to SYSTEM by impersonate the RPC client.
In the white paper below, I describe five exploit paths you can abuse.
PhantomRPC (LPE 0-day)
A research repository where you can find all the resources for PhantomRPC research that allows local privilege escalation.