Снова скомпроментировали большую пачку npm пакетов;
Рекомендую к прочтению:
https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack
Рекомендую к прочтению:
https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack
wiz.io
Sha1-Hulud 2.0 Supply Chain Attack: 25K+ Repos Exposed | Wiz Blog
Shai-Hulud is back, spreading an npm malware worm through thousands of GitHub repos. Learn the impact, attacker methods, and how to defend your supply chain.
Forwarded from SecuriXy.kz
🚨 Массовая компрометация данных через JSONFormatter и CodeBeautify или Вайбкодинг в деле…
Исследователи WatchTowr Labs выявили системную проблему в популярных онлайн‑инструментах для форматирования кода. Функция Recent Links в сервисах JSONFormatter и CodeBeautify позволяла публично просматривать все сохраненные пользователями файлы.
📊 В результате краулинга удалось собрать более 80 000 файлов (≈5 ГБ), охватывающих пятилетнюю историю JSONFormatter и годовую CodeBeautify. В датасете обнаружены:
🔑 пароли AD и LDAP
🔑 ключи GitHub/GitLab
🔑 креды для AWS/Azure, БД, FTP, SSH
🔑 токены CI/CD, приватные ключи, SSL‑сертификаты
⚠️ По данным отчета, злоумышленники уже использовали эти материалы для атак. Несмотря на отключение функции SAVE в сентябре 2025 года, исторические загрузки остаются доступными.
🛡️ Вывод: стремление к «красоте» кода через внешние сервисы обернулось системной утечкой.
Используйте локальные инструменты (jq, IDE‑плагины, CLI‑утилиты) - только так можно гарантировать,
что секреты не окажутся в публичном доступе.
Подробнее: WatchTowr Labs
Исследователи WatchTowr Labs выявили системную проблему в популярных онлайн‑инструментах для форматирования кода. Функция Recent Links в сервисах JSONFormatter и CodeBeautify позволяла публично просматривать все сохраненные пользователями файлы.
bash
https://jsonformatter.org/{id}
https://jsonformatter.org/{formatter-type}/{id}
https://codebeautify.org/{formatter-type}/{id}
📊 В результате краулинга удалось собрать более 80 000 файлов (≈5 ГБ), охватывающих пятилетнюю историю JSONFormatter и годовую CodeBeautify. В датасете обнаружены:
🔑 пароли AD и LDAP
🔑 ключи GitHub/GitLab
🔑 креды для AWS/Azure, БД, FTP, SSH
🔑 токены CI/CD, приватные ключи, SSL‑сертификаты
⚠️ По данным отчета, злоумышленники уже использовали эти материалы для атак. Несмотря на отключение функции SAVE в сентябре 2025 года, исторические загрузки остаются доступными.
🛡️ Вывод: стремление к «красоте» кода через внешние сервисы обернулось системной утечкой.
Используйте локальные инструменты (jq, IDE‑плагины, CLI‑утилиты) - только так можно гарантировать,
что секреты не окажутся в публичном доступе.
Подробнее: WatchTowr Labs
Forwarded from Последний Оплот Безопасности
This media is not supported in your browser
VIEW IN TELEGRAM
🔥3❤2
Forwarded from SecuriXy.kz
🚨 Zero‑Day: утечка NTLMv2 через Microsoft Photos (ms-photos URI) - «Это не баг - это фича…»
💡 Исследователь обнаружил, что приложение Microsoft Photos принимает параметр
⚠️ Microsoft баг не признала, CVE нет.
Работает даже через 302‑редирект.
Комбинируется с Responder/LLMNR → хэши уходят без каких-либо попапов.
🔍 Что может сделать злоумышленник:
• Собирать Net‑NTLMv2 для оффлайн-брута
• Делать NTLM‑relay в доменной среде
• Встраивать эксплойт в веб-сайты или фишинг → supply‑chain сценарии
🛡 Защита:
• Блокируем исходящий SMB (TCP/445) наружу - MUST HAVE
• Отключаем LLMNR + NetBIOS
• Мониторим запуск
• По желанию: блокируем ms-photos URI через AppLocker/WDAC
🔗Источник: https://youtu.be/e-lM_vP6HwQ?si=-_vwV3Dzt88PQXG3
🔗 PoC: https://github.com/rubenformation/ms-photos_NTLM_Leak
💡 Исследователь обнаружил, что приложение Microsoft Photos принимает параметр
fileName=\\UNC\path в URI-схеме ms-photos:. Достаточно одного клика по ссылке в браузере - Photos.exe запускается и автоматически отправляет NTLMv2‑SSP challenge/response на SMB‑сервер атакующего.⚠️ Microsoft баг не признала, CVE нет.
Работает даже через 302‑редирект.
Комбинируется с Responder/LLMNR → хэши уходят без каких-либо попапов.
🔍 Что может сделать злоумышленник:
• Собирать Net‑NTLMv2 для оффлайн-брута
• Делать NTLM‑relay в доменной среде
• Встраивать эксплойт в веб-сайты или фишинг → supply‑chain сценарии
🛡 Защита:
• Блокируем исходящий SMB (TCP/445) наружу - MUST HAVE
• Отключаем LLMNR + NetBIOS
• Мониторим запуск
Photos.exe с UNC-путями• По желанию: блокируем ms-photos URI через AppLocker/WDAC
🔗Источник: https://youtu.be/e-lM_vP6HwQ?si=-_vwV3Dzt88PQXG3
🔗 PoC: https://github.com/rubenformation/ms-photos_NTLM_Leak