#news CrowdStrike поймала у себя инсайдера. Человек с сомнительной рабочей этикой и плохо просчитанными рисками сдал злоумышленникам скриншоты внутренних систем и не только. Они ранее вспыли в чатиках неугомонного хакерского тройничка из ShinyHunters, Scattered Spider и Lapsus$.
Утверждают, что инсайдер сдал и SSO-куки, но его поймали и обрубили доступ раньше, чем получили доступ. Триумвират также пытался прикупить отчёты CrowdStrike по группировкам, но и их не получили. Между тем цена вопроса якобы 25к долларов. Казалось бы, кто станет ломать карьеру в западном инфобезе за такую скромную сумму? Но ларчик просто открывается, если вспомнить волшебное слово “офшоринг”. В Индии у CrowdStrike на одном только LinkedIn 369 позиций. Средняя годовая там по компании, судя по агрегаторам, около 70к, джуны — в лучшем случае те самые ~25к. Вот и цифры понятнее. Да и отложенная гратификация — не шутки. Справляется не каждый, извольте заложить в риски по офшорингу вместе с зарплатой в виде ветки.
@tomhunter
Утверждают, что инсайдер сдал и SSO-куки, но его поймали и обрубили доступ раньше, чем получили доступ. Триумвират также пытался прикупить отчёты CrowdStrike по группировкам, но и их не получили. Между тем цена вопроса якобы 25к долларов. Казалось бы, кто станет ломать карьеру в западном инфобезе за такую скромную сумму? Но ларчик просто открывается, если вспомнить волшебное слово “офшоринг”. В Индии у CrowdStrike на одном только LinkedIn 369 позиций. Средняя годовая там по компании, судя по агрегаторам, около 70к, джуны — в лучшем случае те самые ~25к. Вот и цифры понятнее. Да и отложенная гратификация — не шутки. Справляется не каждый, извольте заложить в риски по офшорингу вместе с зарплатой в виде ветки.
@tomhunter
😁7💯4👍2😱2
#news Если Shai-Hulud на npm был настолько хорош, то где Shai-Hulud 2? Так на npm. Снова. И в этот раз с продвинутыми масштабами, функциональностью и возможными последствиями для экосистемы. Отчёты о новой кампании пошли вчера, сегодня всё стоит на ушах.
Счёт компрометаций идёт на десятки тысяч, во многом за счёт заражения популярнейших пакетов. Проекты от ENS Domains, PostHog и Postman — пишут, они в зависимостях у четверти просканированных сред. Соответственно, масштабы компрометации — моё почтение. На момент первых репортов это были 700 пакетов у ~500 юзеров и 27+ тысяч вредоносных репозиториев. С оговорками, что заражения шли со скоростью в ~1000 репов каждые полчаса. При этом в автоматизации тоже новинка: малварь идёт в preinstall’e со всем из этого вытекающим. Иными словами, сиквел удался. Осталось дождаться реакции GitHub: такими темпами дойдёт до того, что токены под свои пайплайны разрабы будут получать под роспись с временем жизни от коммита и до обеда.
@tomhunter
Счёт компрометаций идёт на десятки тысяч, во многом за счёт заражения популярнейших пакетов. Проекты от ENS Domains, PostHog и Postman — пишут, они в зависимостях у четверти просканированных сред. Соответственно, масштабы компрометации — моё почтение. На момент первых репортов это были 700 пакетов у ~500 юзеров и 27+ тысяч вредоносных репозиториев. С оговорками, что заражения шли со скоростью в ~1000 репов каждые полчаса. При этом в автоматизации тоже новинка: малварь идёт в preinstall’e со всем из этого вытекающим. Иными словами, сиквел удался. Осталось дождаться реакции GitHub: такими темпами дойдёт до того, что токены под свои пайплайны разрабы будут получать под роспись с временем жизни от коммита и до обеда.
@tomhunter
😁7🔥4❤2👍1
#news Больше креатива от мира ClickFix-атак. В свежей вариации засветилась стеганография для доставки, но интереснее в ней новинка по части социнженерии. Атака замаскирована под экран обновления Windows. В этом варианте вместо капчи полноэкранные окна.
Пользователю достаточно залететь на вредоносный сайт, тот переводит его в полный экран, и дальше всё по стандартной ClickFix-схеме. Курсор скрыт, нажать esc догадается не каждый. По нагрузке инфостилеры, запрятанные в png-файлы. За октябрь команда Huntress изучила 76 инцидентов по всему миру, так что в десятках компаний довольные коллеги удачно обновившегося сотрудника ранним осенним утром отправляются на тренинг, где усталый ибшник расскажет им, что никто не хочет подарить им айфон, а обновления Windows не просят вручную вставлять команды. Взгляните на этот переливающийся синеньким знакомый экранчик глазами доверчивого юзера. Сразу ведь захотелось понажимать всякое, правда?
@tomhunter
Пользователю достаточно залететь на вредоносный сайт, тот переводит его в полный экран, и дальше всё по стандартной ClickFix-схеме. Курсор скрыт, нажать esc догадается не каждый. По нагрузке инфостилеры, запрятанные в png-файлы. За октябрь команда Huntress изучила 76 инцидентов по всему миру, так что в десятках компаний довольные коллеги удачно обновившегося сотрудника ранним осенним утром отправляются на тренинг, где усталый ибшник расскажет им, что никто не хочет подарить им айфон, а обновления Windows не просят вручную вставлять команды. Взгляните на этот переливающийся синеньким знакомый экранчик глазами доверчивого юзера. Сразу ведь захотелось понажимать всякое, правда?
@tomhunter
😁13❤2👍1🤯1
#news К лучшим традициям ИБ в разработке. Исследователи прошлись по онлайн-инструментам для форматирования кода вроде JSONFormatter и CodeBeautify. И собрали внушительную коллекцию кредов, ключей и токенов.
Проблема сводится кразрабам фиче “Недавние ссылки”: юзеры сохраняют куски кода для шары, защиты на ссылках нет, и у них предсказуемый формат — вытянули простеньким краулером. Набралось 80 тысяч паст со всевозможными секретами из всех отраслей – от ИБ и провайдеров до госухи и критической инфраструктуры. Кто-то слил конфиг от всей своей облачной инфры, кто-то креды от крупных банков и бирж. Иными словами, очередная сокровищница для любого злоумышленника, не говоря об апэтэшечках. Как шутят авторы, ты получаешь красивый код, я получаю начальный доступ. Подробнее в отчёте. LLM’ки стали трагедией для культуры отчётов в ИБ, но у этих пока всё тепло и лампово, от нердов для нердов, с шутеечками и мемами без эффекта зловещей долины. Тем и ценно.
@tomhunter
Проблема сводится к
@tomhunter
😁6🔥2❤1👍1
#news Рыночек джейлбрейкнутых ИИ-моделей продолжает обрастать новыми поделиями. В сетевых дебрях сейчас популярна очередная вариация WormGPT. Всего 50 баксов в месяц, чтобы почувствовать себя кулхацкером — предложение заманчивое.
По функциональности, впрочем, rogue AI на минималках мало отличаются от своих порядочных собратьев. Сгенерированный ими код также надо допиливать напильником, так что для атак из коробки он малопригоден. Но вот автоматизация рутины и несложные скрипты — это уже пожалуйста. Есть и бесплатные вариации со своим колоритом. Как вам KawaiiGPT, “садистская кибер-пентест вайфу” — самое то для дискордной поросли. Так что вкатывание в сайберкрайм никогда ещё не было таким демократичным. Детали в отчёте, но есть нюанс: в отличие от весельчаков из Watchtowr корпоративный мир вместе c Unit42 пал жертвой LLM-эффективности. Кто в чатах с жпт был, тот над ИБ-отчётами не смеётся. Как-то уже не до смеха.
@tomhunter
По функциональности, впрочем, rogue AI на минималках мало отличаются от своих порядочных собратьев. Сгенерированный ими код также надо допиливать напильником, так что для атак из коробки он малопригоден. Но вот автоматизация рутины и несложные скрипты — это уже пожалуйста. Есть и бесплатные вариации со своим колоритом. Как вам KawaiiGPT, “садистская кибер-пентест вайфу” — самое то для дискордной поросли. Так что вкатывание в сайберкрайм никогда ещё не было таким демократичным. Детали в отчёте, но есть нюанс: в отличие от весельчаков из Watchtowr корпоративный мир вместе c Unit42 пал жертвой LLM-эффективности. Кто в чатах с жпт был, тот над ИБ-отчётами не смеётся. Как-то уже не до смеха.
@tomhunter
👍5😁2💯1
#news Историями про ShinyHunters и компанию уже никого не удивишь, а вот классика OSINT от Кребса не устаревает. Он идентифицировал одного из операторов и публичное лицо группировки и связался с ним. Сколько лет дарованию, как думаете? Пятнадцать.
С опсеком у Rey ожидаемо было не очень. Он был активен на недавних BH и в группах в Telegram, где запостил скрин скам-письма со своей почтой — ник замазал, а вот провайдера и утёкший пароль нет. Почта нашлась, в логах с инфостилеров по ней Кребс дошёл до адреса в Иордании. Личные детали из открытых групп в TG совпали. После письма на почту отцу малолетнее дарование вышло на связь. И утверждает, что по счастливому стечению обстоятельств уже на связи с западными безопасниками, всех сдал и хочет с киберпреступностью покончить. Сомнительно, но окей. Бонусом заявил, что у рансомвари SLSH просто исходники HellCat, которые допиливают LLM’кой. Сайберкрайм — это спектр: на одном конце апэтэшечки в погонах, на другом — 15-летние детишки из приличных семей.
@tomhunter
С опсеком у Rey ожидаемо было не очень. Он был активен на недавних BH и в группах в Telegram, где запостил скрин скам-письма со своей почтой — ник замазал, а вот провайдера и утёкший пароль нет. Почта нашлась, в логах с инфостилеров по ней Кребс дошёл до адреса в Иордании. Личные детали из открытых групп в TG совпали. После письма на почту отцу малолетнее дарование вышло на связь. И утверждает, что по счастливому стечению обстоятельств уже на связи с западными безопасниками, всех сдал и хочет с киберпреступностью покончить. Сомнительно, но окей. Бонусом заявил, что у рансомвари SLSH просто исходники HellCat, которые допиливают LLM’кой. Сайберкрайм — это спектр: на одном конце апэтэшечки в погонах, на другом — 15-летние детишки из приличных семей.
@tomhunter
😁14❤2👍1
#news К оригинальным находкам из мира крипты. В магазине расширений Chrome обнаружили инструмент для торговли на одной из бирж. С небольшим бонусом для автора — 0,05% от транзакций.
Crypto Copilot под биржу Raydium обещает интеграцию с лентой ex-Твиттера, чтобы криптобро мог совершать транзакции, не отвлекаясь от скроллинга. Но вместе с легитимным интерфейсом для трейдинга идёт скрытый механизм перевода комиссии от суммы перевода на захардкоженный адрес. Нигде в интерфейсе это не отображается, фича не задокументирована, зарыта глубоко в код и обфусцирована. Смекалочка разраба не особо окупилась: на кошелёк упало около 7 баксов. Но вредонос висит в магазине с мая 2024-го. Если бы он был популярнее, сторонние транзакции заметили бы раньше. Но здесь встаёт и вопрос, сколько таких поделий с незадокументированными фичами ходит по блокчейнам. Скорее всего, не одно.
@tomhunter
Crypto Copilot под биржу Raydium обещает интеграцию с лентой ex-Твиттера, чтобы криптобро мог совершать транзакции, не отвлекаясь от скроллинга. Но вместе с легитимным интерфейсом для трейдинга идёт скрытый механизм перевода комиссии от суммы перевода на захардкоженный адрес. Нигде в интерфейсе это не отображается, фича не задокументирована, зарыта глубоко в код и обфусцирована. Смекалочка разраба не особо окупилась: на кошелёк упало около 7 баксов. Но вредонос висит в магазине с мая 2024-го. Если бы он был популярнее, сторонние транзакции заметили бы раньше. Но здесь встаёт и вопрос, сколько таких поделий с незадокументированными фичами ходит по блокчейнам. Скорее всего, не одно.
@tomhunter
🔥3👍1💯1
#news GreyNoise запустила сканер айпишников для проверки, не светились ли они во вредоносных сканах, в частности в составе ботнетов и сетей резидентских прокси. Так что ответ на извечный вопрос юзера “Не скомпрометирован ли мой ТВ” дан одним кликом.
Сканер прогоняет айпишник по собранным компанией датасетам и возвращает один из трёх результатов: чистый, вредоносный/подозрительный и корпоративный. Для флагнутых айпи есть 90-дневный таймлайн, позволяющий отследить компрометацию. Всё это без регистрации и смс. В быту инструмент полезный, чтобы не ковыряться в логах и трафике на каждой сетке. Бонусом идёт API, запросы по которому можно интегрировать под свои нужды, всё это тоже без аутентификации и в пределах разумного по стуку. В общем, в качестве QoL пригодится. Плюс можно половить устройства из ботнетов в сетях у друзей и поразить их своими ИБ-компетенциями, а потом удивляться, почему тебя больше не зовут на вечеринки.
@tomhunter
Сканер прогоняет айпишник по собранным компанией датасетам и возвращает один из трёх результатов: чистый, вредоносный/подозрительный и корпоративный. Для флагнутых айпи есть 90-дневный таймлайн, позволяющий отследить компрометацию. Всё это без регистрации и смс. В быту инструмент полезный, чтобы не ковыряться в логах и трафике на каждой сетке. Бонусом идёт API, запросы по которому можно интегрировать под свои нужды, всё это тоже без аутентификации и в пределах разумного по стуку. В общем, в качестве QoL пригодится. Плюс можно половить устройства из ботнетов в сетях у друзей и поразить их своими ИБ-компетенциями, а потом удивляться, почему тебя больше не зовут на вечеринки.
@tomhunter
😁5👍1🔥1
#news Пятничные новости инфобеза. Свежее расширение под Chrome и Firefox предлагает уберечь своё инфопространство от ИИ-контента. И отправиться в благословенное сетевое прошлое до 30 ноября 2022-го.
Slop Evader работает в качестве поисковика по нескольким сайтам до даты прихода жпт-контента в нашу жизнь, включая Google и Stack Exchange. Всё это больше творческий проект, чем серьёзный инструмент, но запросы на фильтрацию растут, пишутся гайды, и неизбежно появляются вот такие избегатели слопа для желающих сбежать от ИИ-продукта, идентичного натуральному. Особенно когда найти картиночкуили ИБ-отчёт , не вышедший из-под цифрового пера LLM’ки, становится решительно невозможно. Приметы эпохи. Через несколько лет человеческий контент рискует стать редкой элитарной диковинкой вроде походов в оперу, но пока ещё можно вернуть себе свой цифровой 2007-й по вкусу. Бонусом для желающих испытать свой детектор ИИ-картинок тест, в котором весело и немного страшно.
@tomhunter
Slop Evader работает в качестве поисковика по нескольким сайтам до даты прихода жпт-контента в нашу жизнь, включая Google и Stack Exchange. Всё это больше творческий проект, чем серьёзный инструмент, но запросы на фильтрацию растут, пишутся гайды, и неизбежно появляются вот такие избегатели слопа для желающих сбежать от ИИ-продукта, идентичного натуральному. Особенно когда найти картиночку
@tomhunter
👍5😁3
#news Исследователь просканировал GitLab и не нашёл ни одного утёкшего секрета! Шутка. Конечно, нашёл. ~17 тысяч штук на ~3 тысячи уникальных доменов. Большая часть старше 2018-го, но нашёлся и уникум из 2009-го. Валидный. А вы как думали?
Просканировал он все 5,6 миллионов публичных репозиториев — всё это с помощью API GitLab, пары сервисов AWS и TruffleHog. В итоге полный скан за сутки и демократичные 770 баксов. Понятно, что это куча заброшенного, тестового и ботового, но есть и с потенциалом. Токены от GCP, MongoDB, AWS и самого GitLab — от последнего 400 ключей. В итоге по духу и букве ответственного раскрытия затронутые компании уведомлены, 9к баксов BB собраны, кто-то даже отозвал слитое. А кто-то не отозвал. И далеко не у всех желающих наскрапить их за 700 баксов на уме всякое ответственное. Такая вот она, изнанка сенсационных мифов про элитные апэтэшечки. За каждой успешной APT стоит рядовой джун Петров с Nmap на экране и пламенной любовью к родине в сердце.
@tomhunter
Просканировал он все 5,6 миллионов публичных репозиториев — всё это с помощью API GitLab, пары сервисов AWS и TruffleHog. В итоге полный скан за сутки и демократичные 770 баксов. Понятно, что это куча заброшенного, тестового и ботового, но есть и с потенциалом. Токены от GCP, MongoDB, AWS и самого GitLab — от последнего 400 ключей. В итоге по духу и букве ответственного раскрытия затронутые компании уведомлены, 9к баксов BB собраны, кто-то даже отозвал слитое. А кто-то не отозвал. И далеко не у всех желающих наскрапить их за 700 баксов на уме всякое ответственное. Такая вот она, изнанка сенсационных мифов про элитные апэтэшечки. За каждой успешной APT стоит рядовой джун Петров с Nmap на экране и пламенной любовью к родине в сердце.
@tomhunter
😁10💯5👍1
#news Ещё один криптомиксер пал смертью храбрых проводников цифрового будущего. Европол и компания сообщили о перехвате платформы, известной под оригинальным названием Cryptomixer.
Как сообщают, криптомиксер Cryptomixer был активен с 2016-го, и за это время через него прошли 1,3 миллиарда евро. При перехвате были изъяты 3 сервера в Швейцарии, 12 терабайт данных, домены в верхнем и нижнем интернетах и битки на ~25 миллионов евро. Операторов пока раскрывать не спешат и об арестах не сообщают. Между тем кому-то в Европоле явно понравилось генерировать мультики. Операция Олимпия вслед за Эндгеймом обзавелась стильным видеосопровождением в стиле технуар. Продакшн — моё почтение, с качественной анимацией и пасхалками на кириллице. Без заходов в духе “операторы Rhadamanthys обносят клиентов”, но тоже ничего. Нужно больше псиопов по киберпреступной экосистеме, хороших и разных. Так хоть неделя начинается с огоньком.
@tomhunter
Как сообщают, криптомиксер Cryptomixer был активен с 2016-го, и за это время через него прошли 1,3 миллиарда евро. При перехвате были изъяты 3 сервера в Швейцарии, 12 терабайт данных, домены в верхнем и нижнем интернетах и битки на ~25 миллионов евро. Операторов пока раскрывать не спешат и об арестах не сообщают. Между тем кому-то в Европоле явно понравилось генерировать мультики. Операция Олимпия вслед за Эндгеймом обзавелась стильным видеосопровождением в стиле технуар. Продакшн — моё почтение, с качественной анимацией и пасхалками на кириллице. Без заходов в духе “операторы Rhadamanthys обносят клиентов”, но тоже ничего. Нужно больше псиопов по киберпреступной экосистеме, хороших и разных. Так хоть неделя начинается с огоньком.
@tomhunter
🔥6😁4👍2🫡2
#news Подзабытая в наших широтах тема. TryHackMe под огнём из-за вопиющих нарушений современных порядков на своём декабрьском курсовом ивенте. Гендерного баланса не подвезли: на 18 наставников не нашлось ни одной женщины. Зэ хоррор.
На фоне разгоревшегося скандальчика TryHackMe пришлось оправдываться и резко искать участниц за пару дней до начала курса. То, что орги писали нескольким, но ни у одной не нашлось времени или желания ответить, разогретую публику не впечатлило. Как и очевидные вещи: по статистике в ИБ на сотню крупнейших блогеров только пара девчат. В общем, пошёл стандартный бубнёж на тему репрезентации. Одна из дамочек на волне хайпа заявила, что мы не готовы к дискуссии на тему сексизма в мире пентеста и редтимеров. Не готовы, сто процентов. Есть у нас темы и понасущнее. Да и спроси редтимера его мнение по вопросу, рискуешь получить задумчивое “А что такое женщина?” и получасовой рассказ про его любимый С2. Беседу о животрепещущем пришлось бы начинать издалека.
@tomhunter
На фоне разгоревшегося скандальчика TryHackMe пришлось оправдываться и резко искать участниц за пару дней до начала курса. То, что орги писали нескольким, но ни у одной не нашлось времени или желания ответить, разогретую публику не впечатлило. Как и очевидные вещи: по статистике в ИБ на сотню крупнейших блогеров только пара девчат. В общем, пошёл стандартный бубнёж на тему репрезентации. Одна из дамочек на волне хайпа заявила, что мы не готовы к дискуссии на тему сексизма в мире пентеста и редтимеров. Не готовы, сто процентов. Есть у нас темы и понасущнее. Да и спроси редтимера его мнение по вопросу, рискуешь получить задумчивое “А что такое женщина?” и получасовой рассказ про его любимый С2. Беседу о животрепещущем пришлось бы начинать издалека.
@tomhunter
😁17👍5
#news YouTube-клиент SmartTube был недавно скомпрометирован. Приложение обзавелось вредоносной библиотекой, на неё начал ругаться Play Protect. Судя по содержимому, инфра под ботнет.
SmartTube — популярный сторонний клиент под TV с характеристиками уровня хлебопечки. Пикантности добавляет и то, что клиент распространён в наших краях: настроечки в нём в руках продвинутого читателя гайдов глазами помогают справляться с деградацией ютубовских серверов. Разработчик сообщил, что его ключи были скомпрометированы, он их отозвал, так что свежая версия будет под новым ID. По поведению обычный имплант под ботнет, но в отсутствии “прозрачности” и деталей от разраба можно наблюдать угар обеспокоенных юзеров в комментариях на GitHub. Вплоть до паникёрства в духе “Лыскова подменили, спасайся кто может”. Дружище, у тебя бюджетный телек простенький вредонос словил, а не Stuxnet на задорно крутящейся центрифуге. Чего уж так переживать.
@tomhunter
SmartTube — популярный сторонний клиент под TV с характеристиками уровня хлебопечки. Пикантности добавляет и то, что клиент распространён в наших краях: настроечки в нём в руках продвинутого читателя гайдов глазами помогают справляться с деградацией ютубовских серверов. Разработчик сообщил, что его ключи были скомпрометированы, он их отозвал, так что свежая версия будет под новым ID. По поведению обычный имплант под ботнет, но в отсутствии “прозрачности” и деталей от разраба можно наблюдать угар обеспокоенных юзеров в комментариях на GitHub. Вплоть до паникёрства в духе “Лыскова подменили, спасайся кто может”. Дружище, у тебя бюджетный телек простенький вредонос словил, а не Stuxnet на задорно крутящейся центрифуге. Чего уж так переживать.
@tomhunter
😁11👍3🔥2
#news У 404 Media интервью с Майклом Боббиттом, бывшим сотрудником ФБР, работавшим на операции Trojan Shield. Также известной как Anom или как перестать бояться и начать снабжать организованную преступность “зашифрованной” связью.
Anom — стартап от ФБР уже легендарный. Боббитт рассказывает о ходе операции, местами интересные детали о том, как преступникам устраивали псиопы, чтобы убедить их, что вектором поимки не стал любимый защищённый телефон итальянских мафиози. В духе “делали вид, что снимаем трекер с машины, придерживали громкие аресты и пропускали грузы до третьих стран, чтобы снять подозрения”. Редкий случай, когда два десятка стран, завязанных на одну операцию, умудрились не превратить её в один большой бардак со скоростью улиточки. И заодно успешно свернуть её, существенно подорвав веру в экосистему шифрованной связи. Детали в основном операционные, по сотрудничеству с Европолом и международной кооперации между органами, но в целом любопытно.
@tomhunter
Anom — стартап от ФБР уже легендарный. Боббитт рассказывает о ходе операции, местами интересные детали о том, как преступникам устраивали псиопы, чтобы убедить их, что вектором поимки не стал любимый защищённый телефон итальянских мафиози. В духе “делали вид, что снимаем трекер с машины, придерживали громкие аресты и пропускали грузы до третьих стран, чтобы снять подозрения”. Редкий случай, когда два десятка стран, завязанных на одну операцию, умудрились не превратить её в один большой бардак со скоростью улиточки. И заодно успешно свернуть её, существенно подорвав веру в экосистему шифрованной связи. Детали в основном операционные, по сотрудничеству с Европолом и международной кооперации между органами, но в целом любопытно.
@tomhunter
👍6❤4
#news Исследователи подводят итоги сиквела Shai-Hulud 2 на npm. Атака охватила около 30 тысяч репозиториев, из которых утекли 400 тысяч секретов. Из них ~10 тысяч валидны. И на 1 декабря валидными оставались больше 60 процентов.
Вторая атака затронула более 800 пакетов и обзавелась вайпером домашней директории — если эксфильтрация не удалась, заражение не пошло дальше и при сносе инфры. Что само по себе интересно: разраб, видимо, посмотрел на Не-Петю и решил, чем он хуже? Пусть будет вайпер. Между тем ~60% заражений пришлись на два пакета, а среди стянутых токенов всё ещё сотни валидных, так что задел под атаки на цепочку поставок солидный. Но, опять же, с оглядкой на вайпер, на финансово мотивированного актора это совсем не похоже. Чего стоит ждать, так это нового червия и подражателей на других опенсорсных платформах, молодых и задорных. Некоторые люди просто мечтают видеть npm в огне, и это не только выгоревшие сеньоры.
@tomhunter
Вторая атака затронула более 800 пакетов и обзавелась вайпером домашней директории — если эксфильтрация не удалась, заражение не пошло дальше и при сносе инфры. Что само по себе интересно: разраб, видимо, посмотрел на Не-Петю и решил, чем он хуже? Пусть будет вайпер. Между тем ~60% заражений пришлись на два пакета, а среди стянутых токенов всё ещё сотни валидных, так что задел под атаки на цепочку поставок солидный. Но, опять же, с оглядкой на вайпер, на финансово мотивированного актора это совсем не похоже. Чего стоит ждать, так это нового червия и подражателей на других опенсорсных платформах, молодых и задорных. Некоторые люди просто мечтают видеть npm в огне, и это не только выгоревшие сеньоры.
@tomhunter
😁3❤2👍2🔥2
#news Чёрный день для детишек в России: с утра прилегла их любимая платформа Roblox. Тысячи жалоб, сотни тысяч затронутых пользователей, открывается платформа только с помощью инструментов, которые нельзя называть. Всё как полагается.
“Коммерсант” сообщает, что Roblox перестал работать внезапно, но все, конечно, прекрасно понимают, что совсем не внезапно — по недавним разговорчикам и так всё было очевидно. Антон Горелкин предположил, что сбой связан с действиями регулятора,но пока официальных заявлений нет уже есть. Блокировка за экстремизм разного рода, а дальше как пойдёт — почистят в Roblox свои игровые конюшни от непотребного, может, и сменится гнев на милость. В общем, ничего неожиданного. Наследие советского мехмата дало нам поколения блестящих айтишников и киберпреступников, а РКН оставит страну с поколением обывателей, разбирающихся в сетевых протоколах лучше китайской тиктокерши. Есть, наверное, и в этом определённая доля положительного.
@tomhunter
“Коммерсант” сообщает, что Roblox перестал работать внезапно, но все, конечно, прекрасно понимают, что совсем не внезапно — по недавним разговорчикам и так всё было очевидно. Антон Горелкин предположил, что сбой связан с действиями регулятора,
@tomhunter
😁11👍5🔥3🤬2💯1
#news Google проводит безжалостные эксперименты над юзерами Google Discover. Вместо оригинальных новостных заголовков, которые скрапит ИИ-агент, пользователи видят переписанные LLM’кой.
При этом проблема даже не в этичности такого подхода — оригинальный труд авторов статей замещают вырвиглазные кликбейтные заголовки уровня одного новостного ИБ-портала в рунете. Главное, творческое переосмысление LLM’кой и здесь сильно расходится с содержанием статей. “Раскрыта стоимость Steam Machine” — нет, не раскрыта. “Разработчики Microsoft используют ИИ” — вот это новость. “Игроки BG3 эксплуатируют детей”. Что? Часть заголовков и просто бессодержательная мешанина. Иными словами, непрошенное запихивание LLM’ок в каждую щель во славу инфернальной ИИ-машины и инвестиций в неё идёт полным ходом. Хорошие новости, конкретно этот эксперимент временный. Плохие новости, шиттификацию интернета уже не остановить. Что, кстати, за кулисами признаёт и сама Google.
@tomhunter
При этом проблема даже не в этичности такого подхода — оригинальный труд авторов статей замещают вырвиглазные кликбейтные заголовки уровня одного новостного ИБ-портала в рунете. Главное, творческое переосмысление LLM’кой и здесь сильно расходится с содержанием статей. “Раскрыта стоимость Steam Machine” — нет, не раскрыта. “Разработчики Microsoft используют ИИ” — вот это новость. “Игроки BG3 эксплуатируют детей”. Что? Часть заголовков и просто бессодержательная мешанина. Иными словами, непрошенное запихивание LLM’ок в каждую щель во славу инфернальной ИИ-машины и инвестиций в неё идёт полным ходом. Хорошие новости, конкретно этот эксперимент временный. Плохие новости, шиттификацию интернета уже не остановить. Что, кстати, за кулисами признаёт и сама Google.
@tomhunter
😁5❤3🤯3👍2
#news Жаркий декабрь для React и Next.js: в React Server Components исправлена выбившая десяточку по CVSS критическая уязвимость. Под произвольный код без аутентификации, а как иначе? А название-то какое интересное: React2Shell…
CVE-2025-55182 раскрыли вчера вечером, и всё ожидаемо стоит на ушах. Cloudflare выкатывает костыли, Unit 42 насчитал под миллион уязвимых серверов, по данным Wiz уязвимы 40% облачной инфраструктуры — отметились все причастные. CVE затрагивает дефолтные конфигурации многих фреймворков, включая next, react-router, waku и другие; эксплойт возможен в библиотеках, которые просто поддерживают RSC. Небезопасная обработка сериализованной полезной нагрузки, вредоносный запрос ведёт к RCE. Массовая эксплуатация неизбежна, анализ патчей идёт полным ходом вот уже прямо сейчас, и на React и его фреймворках выстроена половина сети. Иными словами, возможно, пришло время накатывать патчи.Спасайте свои интернеты, глупцы!
@tomhunter
CVE-2025-55182 раскрыли вчера вечером, и всё ожидаемо стоит на ушах. Cloudflare выкатывает костыли, Unit 42 насчитал под миллион уязвимых серверов, по данным Wiz уязвимы 40% облачной инфраструктуры — отметились все причастные. CVE затрагивает дефолтные конфигурации многих фреймворков, включая next, react-router, waku и другие; эксплойт возможен в библиотеках, которые просто поддерживают RSC. Небезопасная обработка сериализованной полезной нагрузки, вредоносный запрос ведёт к RCE. Массовая эксплуатация неизбежна, анализ патчей идёт полным ходом вот уже прямо сейчас, и на React и его фреймворках выстроена половина сети. Иными словами, возможно, пришло время накатывать патчи.
@tomhunter
🔥7😱4❤3👍3
#сve Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом.
В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте на Хабре!
@tomhunter
В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте на Хабре!
@tomhunter
👍7
#news Исследователи заманили северокорейского рекрутера в ханипот. Товарищ из Лучшей Кореи отвечает за рекрутинг айтишников из западных стран, чтобы те сдавали свои идентичности в аренду, под которыми затем работают IT-солдаты. Подопытный, конечно, интересный.
По GitHub и другим ресурсам идёт спам с предложением заработать участием в собеседованиях, пример на скрине. За этим стоит рекрутинг в подставные лица Lazarus и компании: соучастники сдают в аренду свои ID, банковские счета и доступ к устройствам. Рекрутер попал на камеру, а затем и в ханипот, в котором за ним наблюдали в естественной среде обитания. Попутно крашили песочницы, отключали бедолаге интернет и закидывали его в часовые лупы по решению капчи — в общем, развлекались и оттягивали неизбежное как могли. Всё это записали и закинули в отчёт. По итогам у нас редкий инсайд в работу северокорейских IT-братушек. При этом никаких “Молодец, рядовой! В твоём лице я ясно читаю дух Чучхе!” Обычный корейский айтишник.
@tomhunter
По GitHub и другим ресурсам идёт спам с предложением заработать участием в собеседованиях, пример на скрине. За этим стоит рекрутинг в подставные лица Lazarus и компании: соучастники сдают в аренду свои ID, банковские счета и доступ к устройствам. Рекрутер попал на камеру, а затем и в ханипот, в котором за ним наблюдали в естественной среде обитания. Попутно крашили песочницы, отключали бедолаге интернет и закидывали его в часовые лупы по решению капчи — в общем, развлекались и оттягивали неизбежное как могли. Всё это записали и закинули в отчёт. По итогам у нас редкий инсайд в работу северокорейских IT-братушек. При этом никаких “Молодец, рядовой! В твоём лице я ясно читаю дух Чучхе!” Обычный корейский айтишник.
@tomhunter
🔥9😁3👍1
#news Ожидаемо пошёл эксплойт React2Shell. Уже в первые часы после раскрытия были зафиксированы атаки в исполнении китайских APT. Ну а сегодня начали появляться валидные PoC, которые уже не представляют собой бесполезный ИИ-слоп.
AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь), к эксплуатации сейчас присоединяются все желающие. Масштабы не такие дикие, как были у Log4Shell — нет древних легаси-систем и прочего встроенного на годы вперёд, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл. Здесь можно перехватить сканер под уязвимость.
@tomhunter
AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь), к эксплуатации сейчас присоединяются все желающие. Масштабы не такие дикие, как были у Log4Shell — нет древних легаси-систем и прочего встроенного на годы вперёд, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл. Здесь можно перехватить сканер под уязвимость.
@tomhunter
👍6🔥1