Forwarded from s0ld13r ch. (s0ld13r)
BitWarden CLI скомпрометирован: новая волна Shai-Hulud 🚨
В npm пакете👀
Payload разворачивается в несколько этапов: через preinstall запускается bw_setup.js, который подтягивает Bun runtime с GitHub и исполняет обфусцированный скрипт😃
Основной функционал:
• кража dev-секретов: .npmrc, .git-credentials, .env, SSH ключи
• сбор cloud-доступов: AWS / GCP / Azure
• извлечение gh auth token и дальнейшая работа через GitHub API
• fallback через commit search (LongLiveTheResistanceAgainstMachines / beautifulcastle)
• создание репозиториев у жертвы и загрузка туда зашифрованных данных
• попытки получения секретов из GitHub Actions
Отдельно стоит отметить таргетинг .claude и MCP конфигов, у атакующего явный интерес к AI инструментам. Если пакет c версией🏃♂️
🛡 IOC for hunts:
🔗 Report:
https://www.ox.security/blog/shai-hulud-bitwarden-cli-supply-chain-attack/
🔗 JFrog Research: https://research.jfrog.com/post/bitwarden-cli-hijack/
🔗 OpenSourceMalware:
https://opensourcemalware.com/npm/@bitwarden/cli
🧢 s0ld13r
В npm пакете
@bitwarden/cli (версия 2026.4.0) обнаружен троянизированный билд, замаскированный под легитный CLI. Пакет сохраняет оригинальные метаданные, но execution path переписан - при установке запускается вредоносный loader подгружающий стилер Shai-Hulud Payload разворачивается в несколько этапов: через preinstall запускается bw_setup.js, который подтягивает Bun runtime с GitHub и исполняет обфусцированный скрипт
Основной функционал:
• кража dev-секретов: .npmrc, .git-credentials, .env, SSH ключи
• сбор cloud-доступов: AWS / GCP / Azure
• извлечение gh auth token и дальнейшая работа через GitHub API
• fallback через commit search (LongLiveTheResistanceAgainstMachines / beautifulcastle)
• создание репозиториев у жертвы и загрузка туда зашифрованных данных
• попытки получения секретов из GitHub Actions
Отдельно стоит отметить таргетинг .claude и MCP конфигов, у атакующего явный интерес к AI инструментам. Если пакет c версией
2026.4.0 устанавливался нужно считать хост скомпрометированным и ротировать все секреты Сетевые индикаторы
audit[.]checkmarx[.]cx
94[.]154[.]172[.]43
https://audit[.]checkmarx[.]cx/v1/telemetry
Файлы / пакет
@bitwarden/cli 2026.4.0
bw_setup.js
bw1.js
SHA суммы
18f784b3bc9a0bcdcb1a8d7f51bc5f54323fc40cbd874119354ab609bef6e4cb
8605e365edf11160aad517c7d79a3b26b62290e5072ef97b102a01ddbb343f14
167ce57ef59a32a6a0ef4137785828077879092d7f83ddbc1755d6e69116e0ad
63e204438ef56b1e500433e85f8773da302718de70407d20bdddb174d3439e6e
🔗 Report:
https://www.ox.security/blog/shai-hulud-bitwarden-cli-supply-chain-attack/
🔗 JFrog Research: https://research.jfrog.com/post/bitwarden-cli-hijack/
🔗 OpenSourceMalware:
https://opensourcemalware.com/npm/@bitwarden/cli
Please open Telegram to view this post
VIEW IN TELEGRAM
Habr
Как отменить или откатить коммит в Git командами reset, revert и restore
Всем привет! Если вы работаете с Git относительно недавно, почти наверняка у вас возникала потребность в отмене коммита. И, что печально, вы быстро поняли, что простого "откатить все назад" нет....
🔗Ссылка:
https://habr.com/post/1010466/
https://habr.com/post/1010466/
Telekom Security
Pack2TheRoot (CVE-2026-41651): Cross-Distro Local Privilege Escalation Vulnerability
Pack2TheRoot (CVE-2026-41651) is a local privilege escalation (LPE) vulnerability that affects multiple Linux distributions in default installations.
Forwarded from 1N73LL1G3NC3
This media is not supported in your browser
VIEW IN TELEGRAM
PhantomRPC: A new privilege escalation technique in Windows RPC
If you have a service like RDP that exposes an RPC server, there many system services running as SYSTEM connect to it as RPC clients. If that service is turned off (RDP is off by default), it seems that any other process in Windows can expose the same RPC server using the same endpoint.
Now all the RPC calls from that SYSTEM processes will come to this fake server and If the process that deployed the server has SeImpersonatePrivilege, it can escalate to SYSTEM by impersonate the RPC client.
In the white paper below, I describe five exploit paths you can abuse.
PhantomRPC (LPE 0-day)
A research repository where you can find all the resources for PhantomRPC research that allows local privilege escalation.
If you have a service like RDP that exposes an RPC server, there many system services running as SYSTEM connect to it as RPC clients. If that service is turned off (RDP is off by default), it seems that any other process in Windows can expose the same RPC server using the same endpoint.
Now all the RPC calls from that SYSTEM processes will come to this fake server and If the process that deployed the server has SeImpersonatePrivilege, it can escalate to SYSTEM by impersonate the RPC client.
In the white paper below, I describe five exploit paths you can abuse.
PhantomRPC (LPE 0-day)
A research repository where you can find all the resources for PhantomRPC research that allows local privilege escalation.
Всем хак 👋
Хочу поделиться подкастом с нашим участником Astral, сделанным также нашим участником сервера Fsecurity — Ph0en1x
Приятного просмотра 🍿
🔗 Ссылка:
https://youtu.be/N370AZVt7nc
Хочу поделиться подкастом с нашим участником Astral, сделанным также нашим участником сервера Fsecurity — Ph0en1x
Приятного просмотра 🍿
🔗 Ссылка:
https://youtu.be/N370AZVt7nc
YouTube
Подкаст. Астрал. Интервью с OSINT специалистом и бывшим доксером | Интервью с хакером
#подкаст
#астрал
#OSINT
#интервью
#хакер
#безопасность
#доксинг
#кибербезопасность
#информационная_безопасность
#разведка
#цифровой_след
#анонимность
#подкаст_о_хакерах
#интервью_с_экспертом
#социальная_инженерия
#фишинг
#взлом
#приватность
#защита_данных…
#астрал
#OSINT
#интервью
#хакер
#безопасность
#доксинг
#кибербезопасность
#информационная_безопасность
#разведка
#цифровой_след
#анонимность
#подкаст_о_хакерах
#интервью_с_экспертом
#социальная_инженерия
#фишинг
#взлом
#приватность
#защита_данных…
Forwarded from RedBlue Notes
web_pentest_manual.pdf
434.4 KB
А вот и туториал по анализу защищённости веб-приложений.
Как обычно букв много, своего рода обзорная экскурсия по тому, что в какой момент тыкать, чтобы было больше понимания, что вообще происходит на каждом этапе.
Не просто "манки джоб" с тыканьем скриптиков по очереди, а с пониманием, почему сейчас надо крутануть анализатор шаблонизаторов на JSP-странице, а не в сотый раз искать Log4Shell там, где его быть не может.
Всё описанное применяется только на системах, где у тебя есть письменное разрешение на тестирование. Bug Bounty программы, лаборатории вроде HackTheBox и PortSwigger Web Security Academy, собственные стенды. Всё остальное это уже не пентест, а УК РФ, осторожнее
Лайков
Подписывайтесь на канал
Please open Telegram to view this post
VIEW IN TELEGRAM