#news В новую неделю с новыми… атаками на цепочку поставок! А вы как думали? У JDownloader, популярного менеджера загрузок, скомпрометировали сайт, 6 и 7 мая он доставлял малварь с .sh-установщиком под Linux и альтернативным под Windows. Остальные не затронуты.
Злоумышленники подменили ссылки на сайте на ведущие на вредонос — на сайте была уязвимость, позволяющая редактировать контент без аутентификации. В качестве нагрузки шёл RAT на питоне, но на него ругался Windows Defender, один удивлённый юзер отнёс это на Reddit, вести дошли до разраба, и малварь поймали. В общем, продолжающийся тренд на компрометацию сайтов с популярным софтом: как было недавно у CPU-Z и HWMonitor. У китайских братушек это всё получается гораздо изящнее и месяцами остаётся незамеченным, но на то они и апэтэшечки.
@tomhunter
Злоумышленники подменили ссылки на сайте на ведущие на вредонос — на сайте была уязвимость, позволяющая редактировать контент без аутентификации. В качестве нагрузки шёл RAT на питоне, но на него ругался Windows Defender, один удивлённый юзер отнёс это на Reddit, вести дошли до разраба, и малварь поймали. В общем, продолжающийся тренд на компрометацию сайтов с популярным софтом: как было недавно у CPU-Z и HWMonitor. У китайских братушек это всё получается гораздо изящнее и месяцами остаётся незамеченным, но на то они и апэтэшечки.
@tomhunter
😁6🔥4🤬2
#news Ещё один яркий пример доставки малвари через расшаренные чаты с LLM, на этот раз от Claude и под MacOS. Юзеры в поисках “Claude download mac” попадают на чат с вредоносными инструкциями.
Начинается всё в лучших традициях с проспонсированных Google результатов выдачи — никогда не спрашивайте у крупных платформ, сколько они зарабатывают на малвертайзинге. В чате с Клодом инструкция формата InstallFix, текст ироничный: вот как безопасно установить Claude Code на Mac, не затронув систему или персональные данные. На деле в комплекте инфостилер MacSync с пасхалкой в виде блока на локали СНГ. На скрине пример чата, глазами среднего юзера весьма убедительно: ищу установщик Claude под мак, нахожу чат с Клодом от Google, ещё и расшаренный Apple Support. Как уж здесь не купиться?
@tomhunter
Начинается всё в лучших традициях с проспонсированных Google результатов выдачи — никогда не спрашивайте у крупных платформ, сколько они зарабатывают на малвертайзинге. В чате с Клодом инструкция формата InstallFix, текст ироничный: вот как безопасно установить Claude Code на Mac, не затронув систему или персональные данные. На деле в комплекте инфостилер MacSync с пасхалкой в виде блока на локали СНГ. На скрине пример чата, глазами среднего юзера весьма убедительно: ищу установщик Claude под мак, нахожу чат с Клодом от Google, ещё и расшаренный Apple Support. Как уж здесь не купиться?
@tomhunter
😁6👍4😱3
#news Про атаки на цепочку поставок слышали? Новый хит сезона! Мини Шаи-Хулуд в исполнении TeamPCP продолжает терроризировать npm и PyPi — червие уже в 400+ пакетов.
Среди затронутых TanStack, UiPath, Mistral AI, OpenSearch, и Guardrails AI. Отдельно можно выделить пакеты TanStack — больше 12 миллионов загрузок в неделю и широкий охват по всей экосистеме npm. Даром что сканер от Socket засёк компрометацию через 5 минут после публикации. Чтобы было не так скучно, подвезли сюжетный поворот: на иранских и израильских локалях в малвари прописан шанс 1 к 6 выполнить rm -rf /. Такая вот русская рулетка для девелоперов. В комментариях TanStack юзер и вовсе утверждает, что нагрузка слушает стянутый токен и пускает rm -rf /, если его отзовут. А вы думали, supply chain атаки только вам надоели? Вот и TeamPCP развлекается как может.
@tomhunter
Среди затронутых TanStack, UiPath, Mistral AI, OpenSearch, и Guardrails AI. Отдельно можно выделить пакеты TanStack — больше 12 миллионов загрузок в неделю и широкий охват по всей экосистеме npm. Даром что сканер от Socket засёк компрометацию через 5 минут после публикации. Чтобы было не так скучно, подвезли сюжетный поворот: на иранских и израильских локалях в малвари прописан шанс 1 к 6 выполнить rm -rf /. Такая вот русская рулетка для девелоперов. В комментариях TanStack юзер и вовсе утверждает, что нагрузка слушает стянутый токен и пускает rm -rf /, если его отзовут. А вы думали, supply chain атаки только вам надоели? Вот и TeamPCP развлекается как может.
@tomhunter
🔥3😁3🤯2❤1
#news Mythos нашёл уязвимость в cURL! Да, одну. Так начинается статья Стенберга по результатам взаимодействия с распиаренной моделью от Anthropic. Если кратко, вы не сумели впечатлить деда.
Базу кода сURL пропустили через Mythos, тот заявил, что нашёл 5 уязвимостей, после ревью осталась одна. С низким рейтингом. Плюс три ложно положительных и один баг. По итогам Стенберг сочится сарказмом и приходит к выводу, что Mythos — это просто удачный пиар-проект, от которого весь мир совершенно зря сходит с ума. Очевидное-невероятное. Злые языки парируют, что Стенберга попробуй ещё впечатли, но в отличие от той же Mozilla в посте есть сухие факты: размеры их базы кода, прежние аудиты с фаззингом и мейнтейнерами и далее по тексту. С оговорками, что ИИ-анализ кода очень даже неплох, но для энтузиастов он всё равно на святое покусился, считай.
@tomhunter
Базу кода сURL пропустили через Mythos, тот заявил, что нашёл 5 уязвимостей, после ревью осталась одна. С низким рейтингом. Плюс три ложно положительных и один баг. По итогам Стенберг сочится сарказмом и приходит к выводу, что Mythos — это просто удачный пиар-проект, от которого весь мир совершенно зря сходит с ума. Очевидное-невероятное. Злые языки парируют, что Стенберга попробуй ещё впечатли, но в отличие от той же Mozilla в посте есть сухие факты: размеры их базы кода, прежние аудиты с фаззингом и мейнтейнерами и далее по тексту. С оговорками, что ИИ-анализ кода очень даже неплох, но для энтузиастов он всё равно на святое покусился, считай.
@tomhunter
😁7💯2❤1👍1
#news TeamPCP, видимо, приняла близко к сердцу шутеечки про мини Шаи-Хулуда и неповторимый оригинал. И выложила свою малварь в открытый доступ на GitHub.
Червие вчера приметили в паре репозиториев, он провисел несколько часов, обзавёлся форками и PR под поддержку FreeBSD. Малварь шла в комплекте c комментарием “Опенсорсим кровавую бойню, с любовью,TeamPCP” — некоторые, как известно, просто хотят видят мир в огне. GitHub начал репы сносить, но кому надо, конечно, скачали — ссылочки давать не будем, желающие найдут сами. Теханализ можно почитать здесь. Как выяснилось, нагрузка действительно нюкает систему — скрипт пускает rm -rf /, если токен вернёт 40x. Так что стягивание кредов идёт с огоньком.
@tomhunter
Червие вчера приметили в паре репозиториев, он провисел несколько часов, обзавёлся форками и PR под поддержку FreeBSD. Малварь шла в комплекте c комментарием “Опенсорсим кровавую бойню, с любовью,TeamPCP” — некоторые, как известно, просто хотят видят мир в огне. GitHub начал репы сносить, но кому надо, конечно, скачали — ссылочки давать не будем, желающие найдут сами. Теханализ можно почитать здесь. Как выяснилось, нагрузка действительно нюкает систему — скрипт пускает rm -rf /, если токен вернёт 40x. Так что стягивание кредов идёт с огоньком.
@tomhunter
😁4🔥3❤2
#news Помните исследователя с нервным срывом, недавно выложившего PoC под уязвимость в Windows? Он продолжает свой крестовый поход против корпорации зла и опубликовал ещё две уязвимости. Всё это прямо в патчевый вторник.
Первая на повышение привилегий, вторая интереснее: на обход BitLocker в Win11 и Win Server 2022/2025. Для этого нужна флешка и доступ к устройству, так что эксплойт ограничен, но выглядит он достаточно необычно, чтобы наш выгоревший мститель решил, что это бэкдор. На деле Microsoft, похоже, забыла в проде инструмент для дебага — бритва Хэнлона вновь спешит на выручку. Тем временем товарищ Nightmare Eclipse грозит новыми карами в следующий Patch Tuesday, пишет, что принял меры на случай, если его устранят — человеку явно не хорошо. Нормисов ломают роковые женщины, багхантеров — BB от корпораций. Об этом не расскажут на парах по кибербезу в вузе!
@tomhunter
Первая на повышение привилегий, вторая интереснее: на обход BitLocker в Win11 и Win Server 2022/2025. Для этого нужна флешка и доступ к устройству, так что эксплойт ограничен, но выглядит он достаточно необычно, чтобы наш выгоревший мститель решил, что это бэкдор. На деле Microsoft, похоже, забыла в проде инструмент для дебага — бритва Хэнлона вновь спешит на выручку. Тем временем товарищ Nightmare Eclipse грозит новыми карами в следующий Patch Tuesday, пишет, что принял меры на случай, если его устранят — человеку явно не хорошо. Нормисов ломают роковые женщины, багхантеров — BB от корпораций. Об этом не расскажут на парах по кибербезу в вузе!
@tomhunter
😁10🔥3❤2🤡1
#news Ещё одну LPE в Linux хотите? Потому как их есть у нас! Точнее, у ядра: встречайте CVE-2026-46300, 7,8 по CVSS, Fragnasia — ещё одна универсальная уязвимость на локальное повышение привилегий.
Fragnasia относится к тому же классу уязвимостей, что и Dirty Frag, раскрытая на прошлой неделе. Та же поверхность атаки, но в другом компоненте — XFRM ESP-in-TCP. Из плюсов, те, кто уже порешал вопрос с Dirty Frag, могут не переживать — митигация в случае с Fragnasia та же. Из минусов, проверка концепции в наличии, озаботятся патчами и костылями далеко не все, а шуму вокруг Copy Fail и компании поднялось достаточно, чтобы PoC не добавил в свой арсенал только ленивый. В общем, весна 2026-го запомнится пачкой LPE в ядре и ежедневными атаками на цепочку поставок. Как говорится, чтоб ты жил в эпоху интересных CVE!
@tomhunter
Fragnasia относится к тому же классу уязвимостей, что и Dirty Frag, раскрытая на прошлой неделе. Та же поверхность атаки, но в другом компоненте — XFRM ESP-in-TCP. Из плюсов, те, кто уже порешал вопрос с Dirty Frag, могут не переживать — митигация в случае с Fragnasia та же. Из минусов, проверка концепции в наличии, озаботятся патчами и костылями далеко не все, а шуму вокруг Copy Fail и компании поднялось достаточно, чтобы PoC не добавил в свой арсенал только ленивый. В общем, весна 2026-го запомнится пачкой LPE в ядре и ежедневными атаками на цепочку поставок. Как говорится, чтоб ты жил в эпоху интересных CVE!
@tomhunter
😁5❤2👍2🔥2
#news В Германии арестовали предполагаемого главадмина Dream Market — одной из крупнейших в своё время даркнет-площадок. Что примечательно, закрылся он ещё в 2019-м, но про оператора органы не забыли.
Dream Market появился в конце 2013-го и был один из ключевых наркомаркетов, а также форумом по продаже украденных данных, поддельных документов и прочего сопутствующего. В 2019-м деятельность свернули после громких арестов и перехватов, но крипта админа осталась. И лежала без движения до конца 2022-го, после чего он начал отмывать её, покупая в Штатах золотые слитки с доставкой в Германию, и вывел ~$2 миллиона за эти годы. На чём, собственно и погорел. На днях оператор Kingdom Market получил 16 лет, админ Incognito — 30 лет в феврале. Так что перспективы у 49-летнего Ове Андресена не радужные.
@tomhunter
Dream Market появился в конце 2013-го и был один из ключевых наркомаркетов, а также форумом по продаже украденных данных, поддельных документов и прочего сопутствующего. В 2019-м деятельность свернули после громких арестов и перехватов, но крипта админа осталась. И лежала без движения до конца 2022-го, после чего он начал отмывать её, покупая в Штатах золотые слитки с доставкой в Германию, и вывел ~$2 миллиона за эти годы. На чём, собственно и погорел. На днях оператор Kingdom Market получил 16 лет, админ Incognito — 30 лет в феврале. Так что перспективы у 49-летнего Ове Андресена не радужные.
@tomhunter
😁6🔥3🤯2
#news Неделю закрывает Cisco с ещё одной десяточкой по CVSS. CVE-2026-20182, обход аутентификации SD-WAN Controller и Manager. Со следами “ограниченной” эксплуатации.
Лёгкое чувство дежавю здесь неспроста: уязвимость в том же компоненте, что и февральская десятка на обход аутентификации — службе “vdaemon” по протоколу DTLS. Но это не обход, а новая уязвимость в той же части стека. В этом месяце Cisco узнала, что уязвимость эксплуатируют, других подробностей нет. Но с учётом того, что это аналог CVE, которую с 2023-го использовали китайские апэтэшечки, источник ограниченной эксплуатации предположить нетрудно. И далеко не факт, что она ограничивается маем 2026-го.
@tomhunter
Лёгкое чувство дежавю здесь неспроста: уязвимость в том же компоненте, что и февральская десятка на обход аутентификации — службе “vdaemon” по протоколу DTLS. Но это не обход, а новая уязвимость в той же части стека. В этом месяце Cisco узнала, что уязвимость эксплуатируют, других подробностей нет. Но с учётом того, что это аналог CVE, которую с 2023-го использовали китайские апэтэшечки, источник ограниченной эксплуатации предположить нетрудно. И далеко не факт, что она ограничивается маем 2026-го.
@tomhunter
👍1🔥1
#news Пятничные новости уязвимостей в Linux. По сети разлетаются заголовки про RCE в nginx 18-летней выдержки, NGINX Rift, 9.2 по CVSS. Как здесь не напрячься? Заглядываем внутрь. Для эксплойта должна быть отключена ASLR.
Уязвимость нашли при помощи очередного багхантингового LLM-продукта, идентичного натуральному, и на фоне этого исследователи бурчат про ИИ-слоп и неэтичный маркетинг на найденных им CVE, раздутых до сенсационности. У дистров реакция примерно аналогичная. На деле NGINX Rift требует специфического конфига, злоумышленник должен этот конфиг ещё найти, и RCE в проверке концепции получили с отключённой ASLR — удачи в поисках дистра, на котором nginx крутится без неё. В сухом остатке NGINX Rift всё ещё годится под DoS, а вот RCE-апокалипсис отменяется, так что пока можно расслабиться.
@tomhunter
Уязвимость нашли при помощи очередного багхантингового LLM-продукта, идентичного натуральному, и на фоне этого исследователи бурчат про ИИ-слоп и неэтичный маркетинг на найденных им CVE, раздутых до сенсационности. У дистров реакция примерно аналогичная. На деле NGINX Rift требует специфического конфига, злоумышленник должен этот конфиг ещё найти, и RCE в проверке концепции получили с отключённой ASLR — удачи в поисках дистра, на котором nginx крутится без неё. В сухом остатке NGINX Rift всё ещё годится под DoS, а вот RCE-апокалипсис отменяется, так что пока можно расслабиться.
@tomhunter
❤4😁4
#news В новую неделю с новыми главами противостояния человека и машины. К вопросу LLM-багхантинга подключилась тяжёлая артиллерия — Линус Торвальдс. Вердикт суровый: из-за ИИ-репортов рассылкой безопасности стало практически невозможно пользоваться.
Основная проблема — огромное количество дубликатов: разные люди находят одни и те же баги с помощью тех же инструментов. В итоге мейнтейнеры тратят львиную долю времени на их пересылку и ответы вида “это пофиксили неделю/месяц назад”. Торвальдс называет это пустой тратой времени и советует обслуге при LLM’ке почитать документацию, сделать патчи и добавить к ИИ-выдаче хоть какой-то реальной ценности. А закидывать случайные репорты в рассылку не надо — она для серьёзных вещей, понятненько? В принципе, Торвальд здесь ещё сдержан — в своей привычной манере по такой горячей теме мог бы накинуть и ядренее.
@tomhunter
Основная проблема — огромное количество дубликатов: разные люди находят одни и те же баги с помощью тех же инструментов. В итоге мейнтейнеры тратят львиную долю времени на их пересылку и ответы вида “это пофиксили неделю/месяц назад”. Торвальдс называет это пустой тратой времени и советует обслуге при LLM’ке почитать документацию, сделать патчи и добавить к ИИ-выдаче хоть какой-то реальной ценности. А закидывать случайные репорты в рассылку не надо — она для серьёзных вещей, понятненько? В принципе, Торвальд здесь ещё сдержан — в своей привычной манере по такой горячей теме мог бы накинуть и ядренее.
@tomhunter
😁7👍5
#news Исследователи продолжают ковыряться в Fast16, предшественнике Stuxnet. Новый анализ подтвердил, что вредонос был заточен в том числе под саботаж симуляций для производства ядерного оружия.
В Fast16 хуки под софт для симуляции взрывчатых веществ LS-DYNA и AUTODYN. И действовал он избирательно: вредонос проверял плотность материала и срабатывал только на пороговых значениях для производства ядерного оружия. Всё это с комплекте с заражением других устройств в сети, чтобы скармливать инженерам ложные данные по всем симуляциям. В общем, высший пилотаж от мира цифрового саботажа. Главный вопрос, которым сейчас задаются разного рода борцы с западным империализмом, остались ли у США и компании 20 лет спустя компетенции для создания малвари, которая держит планку. Ведь скорее да, чем нет. Отчёт по Fast16 здесь.
@tomhunter
В Fast16 хуки под софт для симуляции взрывчатых веществ LS-DYNA и AUTODYN. И действовал он избирательно: вредонос проверял плотность материала и срабатывал только на пороговых значениях для производства ядерного оружия. Всё это с комплекте с заражением других устройств в сети, чтобы скармливать инженерам ложные данные по всем симуляциям. В общем, высший пилотаж от мира цифрового саботажа. Главный вопрос, которым сейчас задаются разного рода борцы с западным империализмом, остались ли у США и компании 20 лет спустя компетенции для создания малвари, которая держит планку. Ведь скорее да, чем нет. Отчёт по Fast16 здесь.
@tomhunter
🔥5👍1🫡1
#news CISA продолжает переживать не самые лучшие времена. Его подрядчик Nightwing оставил в открытом репозитории на GitHub данные доступа от гос. аккаунтов и внутренних систем агентства. Потенциально это всё было открыто с ноября.
Публичная репа с говорящим названием “Private-CISA” была забита токенами, ключами, паролями простым текстом и прочим чувствительным, включая файлы по билдам, тестам и деплою систем агентства. В сущности это одна из худших утечек американской госухи в недавней истории — вопрос лишь в том, успели ли её заметить, скажем, китайские апэтэшечки. Судя по учётке, сотрудник Nightwing использовал репозиторий для синхрона файлов между рабочим и домашними устройствами. Таким стыдно заниматься любой компании, а это как бы торгующий нацбезопасностью подрядчик CISA. Комментариев никто не даёт, но это и комментировать — конечно, только портить.
@tomhunter
Публичная репа с говорящим названием “Private-CISA” была забита токенами, ключами, паролями простым текстом и прочим чувствительным, включая файлы по билдам, тестам и деплою систем агентства. В сущности это одна из худших утечек американской госухи в недавней истории — вопрос лишь в том, успели ли её заметить, скажем, китайские апэтэшечки. Судя по учётке, сотрудник Nightwing использовал репозиторий для синхрона файлов между рабочим и домашними устройствами. Таким стыдно заниматься любой компании, а это как бы торгующий нацбезопасностью подрядчик CISA. Комментариев никто не даёт, но это и комментировать — конечно, только портить.
@tomhunter
😁11👍1🔥1🎉1
#news Хроники цепочно-поставочных компрометаций на npm: на этот раз пострадала экосистема вокруг antv — инструментов для визуализации. Скомпрометирован в том числе echarts-for-react — 1,1 миллиона недельных загрузок.
Компрометацию заметили сегодня; всё это, как водится, мини Шаи-Хулуд. Но с таким охватом это уже целый Шаи-Хулудище: затронуты более 300 пакетов, и охват по установкам достаточный, чтобы внизу их успели словить сотни организаций, даже если мейнтейнер сразу же подорвался на стук по каналам связи вида “Дорогой, просыпайся, время устранять очередную атаку на цепочку поставок”. Тем временем слив червия в открытый доступ тоже даёт свои плоды — к веселью подключились все желающие. А в GitHub и Python Software Foundation задумчиво смотрят на это и решают, что делать с этими вашими репозиториями и CI/CD пайплайнами, чтобы остановить этот цирк. Хорошего не ждите.
@tomhunter
Компрометацию заметили сегодня; всё это, как водится, мини Шаи-Хулуд. Но с таким охватом это уже целый Шаи-Хулудище: затронуты более 300 пакетов, и охват по установкам достаточный, чтобы внизу их успели словить сотни организаций, даже если мейнтейнер сразу же подорвался на стук по каналам связи вида “Дорогой, просыпайся, время устранять очередную атаку на цепочку поставок”. Тем временем слив червия в открытый доступ тоже даёт свои плоды — к веселью подключились все желающие. А в GitHub и Python Software Foundation задумчиво смотрят на это и решают, что делать с этими вашими репозиториями и CI/CD пайплайнами, чтобы остановить этот цирк. Хорошего не ждите.
@tomhunter
😁5💯3
#news GitHub расследует утечку: взлом устройства сотрудника троянизированным расширением под VSC потенциально привёл к сливу 3,800+ внутренних репозиториев. Источник взлома известен: дотянулась проклятая TeamPCP.
Группировка выставила репы на продажу за скромные 50к долларов и заявила, что в дампе ~4к репозиториев. Как ни странно, GitHub это предварительно подтвердил: утверждения злоумышленника “в целом соответствуют результатам расследования”. Единственное утешение — пока нет следов, что были затронуты данные клиентов. Тем временем TeamPCP грозится скорым уходом на покой и сливом реп в открытый доступ. Может, вернёмся в те дни, когда девелоперы ночью просыпались от счастливого доброго смеха, и утром все на автомате подтягивали обновления с npm и PyPi, а не судорожно проверяли ленту на предмет очередной компрометации. Но это не точно.
@tomhunter
Группировка выставила репы на продажу за скромные 50к долларов и заявила, что в дампе ~4к репозиториев. Как ни странно, GitHub это предварительно подтвердил: утверждения злоумышленника “в целом соответствуют результатам расследования”. Единственное утешение — пока нет следов, что были затронуты данные клиентов. Тем временем TeamPCP грозится скорым уходом на покой и сливом реп в открытый доступ. Может, вернёмся в те дни, когда девелоперы ночью просыпались от счастливого доброго смеха, и утром все на автомате подтягивали обновления с npm и PyPi, а не судорожно проверяли ленту на предмет очередной компрометации. Но это не точно.
@tomhunter
😁5❤2😢1
#news В ChromaDB, опесорсной векторной базе данных для LLM’ок, версии на Python FastAPI десяточка по CVSS — pre-auth под удалённое выполнение кода. И это один из тех случаев, когда чем дальше читаешь, тем хуже становится.
Начинается всё с чудесного параметра trust_remote_code — и на этом уже можно и остановиться. Механизм легитимный, так как нужен некоторым моделям, но при работе с чужим репозиторием в сущности превращается в RCE. И при стуке по API сервер сначала подгружает модель, а права доступа проверяет после — запрос отклоняется, но код уже выполнен. 14 миллионов скачиваний в месяц, 73% инстансов в сети уязвимы. CVE в версиях с 1.0.0 по 1.5.8, недавно вышла 1.5.9, но исправлений, видимо, так и нет. Почему? Об уязвимости разрабу сообщили ещё 17 февраля, но он до сих пор не выходит на связь ни по одному каналу. Это опенсорс, детка!
@tomhunter
Начинается всё с чудесного параметра trust_remote_code — и на этом уже можно и остановиться. Механизм легитимный, так как нужен некоторым моделям, но при работе с чужим репозиторием в сущности превращается в RCE. И при стуке по API сервер сначала подгружает модель, а права доступа проверяет после — запрос отклоняется, но код уже выполнен. 14 миллионов скачиваний в месяц, 73% инстансов в сети уязвимы. CVE в версиях с 1.0.0 по 1.5.8, недавно вышла 1.5.9, но исправлений, видимо, так и нет. Почему? Об уязвимости разрабу сообщили ещё 17 февраля, но он до сих пор не выходит на связь ни по одному каналу. Это опенсорс, детка!
@tomhunter
😁6❤2🔥1🤯1😢1
#news GitHub раскрыла детали компрометации. Сотруднику на устройство залетела троянизированная версия Nx Console под VSC — она была опубликована в магазине расширений 18 мая.
Что интересно, окно компрометации составило всего 18 минут, но этого оказалось достаточно, чтобы улететь по пайплайнам к разрабам — в том числе и у GitHub. Так что видавшие виды исследователи могут морщиться на орудущую кувалдой по экосистеме TeamPCP и требовать атак поинтереснее, но кувалда-то работает. Между тем CEO Nx сообщил, что пошли дискуссии с ключевыми мейнтейнерами в опенсорсе, чтобы решить как адаптировать экосистему к новым реалиям. Зарисовочка “Токены под роспись” из мира инфобезной Панорамы рискует потихоньку начать воплощаться в реальность.
@tomhunter
Что интересно, окно компрометации составило всего 18 минут, но этого оказалось достаточно, чтобы улететь по пайплайнам к разрабам — в том числе и у GitHub. Так что видавшие виды исследователи могут морщиться на орудущую кувалдой по экосистеме TeamPCP и требовать атак поинтереснее, но кувалда-то работает. Между тем CEO Nx сообщил, что пошли дискуссии с ключевыми мейнтейнерами в опенсорсе, чтобы решить как адаптировать экосистему к новым реалиям. Зарисовочка “Токены под роспись” из мира инфобезной Панорамы рискует потихоньку начать воплощаться в реальность.
@tomhunter
🎉5😁2
#news Google вчера по ошибке опубликовала проверку концепции от ещё не исправленной уязвимости в Chromium. Она позволяет злоумышленнику получить ограниченный доступ к браузеру через Browser Fetch.
Доступа к почте или системе юзера CVE не даёт, здесь больше ограниченная функциональность под ботнет. При этом об уязвимости Google сообщили ещё в конце 2022-го, и всё это время она, судя по всему, болталась где-то на задворках бэклога. Когда исследователь увидел код эксплойта в системе отслеживания багов Chromium, он решил, что уязвимость наконец закрыли — проверил и изрядно удивился. Публикацию Google удалила, но осадочек-то остался — в виде проиндексированной страницы. Уязвимость в переписке разрабы называли серьёзной, оценили на S1 — второй уровень опасности. А дальше, так сказать, ошибочка вышла.
@tomhunter
Доступа к почте или системе юзера CVE не даёт, здесь больше ограниченная функциональность под ботнет. При этом об уязвимости Google сообщили ещё в конце 2022-го, и всё это время она, судя по всему, болталась где-то на задворках бэклога. Когда исследователь увидел код эксплойта в системе отслеживания багов Chromium, он решил, что уязвимость наконец закрыли — проверил и изрядно удивился. Публикацию Google удалила, но осадочек-то остался — в виде проиндексированной страницы. Уязвимость в переписке разрабы называли серьёзной, оценили на S1 — второй уровень опасности. А дальше, так сказать, ошибочка вышла.
@tomhunter
😁8❤2
#news HackerOne резко порезал выплаты по своей программе Internet Bug Bounty: в среднем в пять раз. Критические шли по $9,250, стали $2,257. Больше всего досталось уязвимостям с низким рейтингом: выплата просела с $597 до $68.
На прямые вопросы H1 не отвечает, но здесь и так всё понятно: ИИ-долгоносик поломал экономику багхантинга. LLM’ки привели к взрывному росту количества отчётов, желающих подзаработать на поиске уязвимостей привалило, а мейнтейнеры всё ещё разгребают репорты вручную. И как показывает практика, делать это уже не в состоянии. Так что H1, поставивший IBB на паузу, как бы намекает — что-то не так в багхантинговом королевстве. Мейнтейнеры хотят видеть ценные отчёты с серьёзными уязвимостями, а вот орду условных индусов с LLM’кой наперевес и амбициями на большие выплаты видеть не хотят. По итогам больше всех пострадают порядочные начинающие специалисты. Спасайте джунов, котаны.
@tomhunter
На прямые вопросы H1 не отвечает, но здесь и так всё понятно: ИИ-долгоносик поломал экономику багхантинга. LLM’ки привели к взрывному росту количества отчётов, желающих подзаработать на поиске уязвимостей привалило, а мейнтейнеры всё ещё разгребают репорты вручную. И как показывает практика, делать это уже не в состоянии. Так что H1, поставивший IBB на паузу, как бы намекает — что-то не так в багхантинговом королевстве. Мейнтейнеры хотят видеть ценные отчёты с серьёзными уязвимостями, а вот орду условных индусов с LLM’кой наперевес и амбициями на большие выплаты видеть не хотят. По итогам больше всех пострадают порядочные начинающие специалисты. Спасайте джунов, котаны.
@tomhunter
😁11🤡4😢1
#news Европол перехватил First VPN, bulletproof-провайдера нынче всем известных услуг, но для киберпреступников рангом повыше простого любителя ютубчика. Операция масштабная, с захватом серверов и арестом админа на Украине.
Расследование шло с 2021-го, 19 и 20 мая была его кульминация. Арестованы 33 сервера, домены, включая луковые, а также администратор — согласно анонсу, у него прошли маски-шоу и душещипательные беседы. Само собой, грозятся, что имели доступ к базе First VPN до перехвата, и данные 506 юзеров передали коллегам — привычный в таких операциях псиоп. А по мотивам выпустили мультик: качество моделек растёт, но эффект Зловещей Долины всё ещё с нами. Хотя бы ответственному за медиа стажёру весело. Оценить творчество LLM’ки Европола можно здесь — Дисней отдыхает.
@tomhunter
Расследование шло с 2021-го, 19 и 20 мая была его кульминация. Арестованы 33 сервера, домены, включая луковые, а также администратор — согласно анонсу, у него прошли маски-шоу и душещипательные беседы. Само собой, грозятся, что имели доступ к базе First VPN до перехвата, и данные 506 юзеров передали коллегам — привычный в таких операциях псиоп. А по мотивам выпустили мультик: качество моделек растёт, но эффект Зловещей Долины всё ещё с нами. Хотя бы ответственному за медиа стажёру весело. Оценить творчество LLM’ки Европола можно здесь — Дисней отдыхает.
@tomhunter
😁7👍4🤡2❤1👎1
#news На выходных не обошлось без, конечно же, ещё одной атаки на цепочку поставок. Инфостилер залетел в пакеты на npm, PyPi и Crates[.]io. Обнаружены 34 вредоносных пакета и 384 их версии.
Несмотря на сравнительно небольшое число пакетов, эффект может быть приличный: эта кампания под крипто- и ИИ-бро c прицелом на кошельки, DeFi с Solana и прочее блокчейновое. Из интересного, вредоносные .cursorrules и claude[.]md с инструкциями юникодом под слив кредов; метод, возможно, не самый эффективный, но как эксперимент интересно, особенно когда цель атаки — энтузиасты с LLM’кой в каждой щели. Список пакетов и теханализ здесь. Кто пристрастился к адреналину от ежедневных supply-chain атак, хорошие (?) новости, они всё ещё с нами — налетайте.
@tomhunter
Несмотря на сравнительно небольшое число пакетов, эффект может быть приличный: эта кампания под крипто- и ИИ-бро c прицелом на кошельки, DeFi с Solana и прочее блокчейновое. Из интересного, вредоносные .cursorrules и claude[.]md с инструкциями юникодом под слив кредов; метод, возможно, не самый эффективный, но как эксперимент интересно, особенно когда цель атаки — энтузиасты с LLM’кой в каждой щели. Список пакетов и теханализ здесь. Кто пристрастился к адреналину от ежедневных supply-chain атак, хорошие (?) новости, они всё ещё с нами — налетайте.
@tomhunter
😢2😁1🎉1