#news GitHub раскрыла детали компрометации. Сотруднику на устройство залетела троянизированная версия Nx Console под VSC — она была опубликована в магазине расширений 18 мая.
Что интересно, окно компрометации составило всего 18 минут, но этого оказалось достаточно, чтобы улететь по пайплайнам к разрабам — в том числе и у GitHub. Так что видавшие виды исследователи могут морщиться на орудущую кувалдой по экосистеме TeamPCP и требовать атак поинтереснее, но кувалда-то работает. Между тем CEO Nx сообщил, что пошли дискуссии с ключевыми мейнтейнерами в опенсорсе, чтобы решить как адаптировать экосистему к новым реалиям. Зарисовочка “Токены под роспись” из мира инфобезной Панорамы рискует потихоньку начать воплощаться в реальность.
@tomhunter
Что интересно, окно компрометации составило всего 18 минут, но этого оказалось достаточно, чтобы улететь по пайплайнам к разрабам — в том числе и у GitHub. Так что видавшие виды исследователи могут морщиться на орудущую кувалдой по экосистеме TeamPCP и требовать атак поинтереснее, но кувалда-то работает. Между тем CEO Nx сообщил, что пошли дискуссии с ключевыми мейнтейнерами в опенсорсе, чтобы решить как адаптировать экосистему к новым реалиям. Зарисовочка “Токены под роспись” из мира инфобезной Панорамы рискует потихоньку начать воплощаться в реальность.
@tomhunter
🎉5😁2
#news Google вчера по ошибке опубликовала проверку концепции от ещё не исправленной уязвимости в Chromium. Она позволяет злоумышленнику получить ограниченный доступ к браузеру через Browser Fetch.
Доступа к почте или системе юзера CVE не даёт, здесь больше ограниченная функциональность под ботнет. При этом об уязвимости Google сообщили ещё в конце 2022-го, и всё это время она, судя по всему, болталась где-то на задворках бэклога. Когда исследователь увидел код эксплойта в системе отслеживания багов Chromium, он решил, что уязвимость наконец закрыли — проверил и изрядно удивился. Публикацию Google удалила, но осадочек-то остался — в виде проиндексированной страницы. Уязвимость в переписке разрабы называли серьёзной, оценили на S1 — второй уровень опасности. А дальше, так сказать, ошибочка вышла.
@tomhunter
Доступа к почте или системе юзера CVE не даёт, здесь больше ограниченная функциональность под ботнет. При этом об уязвимости Google сообщили ещё в конце 2022-го, и всё это время она, судя по всему, болталась где-то на задворках бэклога. Когда исследователь увидел код эксплойта в системе отслеживания багов Chromium, он решил, что уязвимость наконец закрыли — проверил и изрядно удивился. Публикацию Google удалила, но осадочек-то остался — в виде проиндексированной страницы. Уязвимость в переписке разрабы называли серьёзной, оценили на S1 — второй уровень опасности. А дальше, так сказать, ошибочка вышла.
@tomhunter
😁8❤2
#news HackerOne резко порезал выплаты по своей программе Internet Bug Bounty: в среднем в пять раз. Критические шли по $9,250, стали $2,257. Больше всего досталось уязвимостям с низким рейтингом: выплата просела с $597 до $68.
На прямые вопросы H1 не отвечает, но здесь и так всё понятно: ИИ-долгоносик поломал экономику багхантинга. LLM’ки привели к взрывному росту количества отчётов, желающих подзаработать на поиске уязвимостей привалило, а мейнтейнеры всё ещё разгребают репорты вручную. И как показывает практика, делать это уже не в состоянии. Так что H1, поставивший IBB на паузу, как бы намекает — что-то не так в багхантинговом королевстве. Мейнтейнеры хотят видеть ценные отчёты с серьёзными уязвимостями, а вот орду условных индусов с LLM’кой наперевес и амбициями на большие выплаты видеть не хотят. По итогам больше всех пострадают порядочные начинающие специалисты. Спасайте джунов, котаны.
@tomhunter
На прямые вопросы H1 не отвечает, но здесь и так всё понятно: ИИ-долгоносик поломал экономику багхантинга. LLM’ки привели к взрывному росту количества отчётов, желающих подзаработать на поиске уязвимостей привалило, а мейнтейнеры всё ещё разгребают репорты вручную. И как показывает практика, делать это уже не в состоянии. Так что H1, поставивший IBB на паузу, как бы намекает — что-то не так в багхантинговом королевстве. Мейнтейнеры хотят видеть ценные отчёты с серьёзными уязвимостями, а вот орду условных индусов с LLM’кой наперевес и амбициями на большие выплаты видеть не хотят. По итогам больше всех пострадают порядочные начинающие специалисты. Спасайте джунов, котаны.
@tomhunter
😁11🤡4😢1
#news Европол перехватил First VPN, bulletproof-провайдера нынче всем известных услуг, но для киберпреступников рангом повыше простого любителя ютубчика. Операция масштабная, с захватом серверов и арестом админа на Украине.
Расследование шло с 2021-го, 19 и 20 мая была его кульминация. Арестованы 33 сервера, домены, включая луковые, а также администратор — согласно анонсу, у него прошли маски-шоу и душещипательные беседы. Само собой, грозятся, что имели доступ к базе First VPN до перехвата, и данные 506 юзеров передали коллегам — привычный в таких операциях псиоп. А по мотивам выпустили мультик: качество моделек растёт, но эффект Зловещей Долины всё ещё с нами. Хотя бы ответственному за медиа стажёру весело. Оценить творчество LLM’ки Европола можно здесь — Дисней отдыхает.
@tomhunter
Расследование шло с 2021-го, 19 и 20 мая была его кульминация. Арестованы 33 сервера, домены, включая луковые, а также администратор — согласно анонсу, у него прошли маски-шоу и душещипательные беседы. Само собой, грозятся, что имели доступ к базе First VPN до перехвата, и данные 506 юзеров передали коллегам — привычный в таких операциях псиоп. А по мотивам выпустили мультик: качество моделек растёт, но эффект Зловещей Долины всё ещё с нами. Хотя бы ответственному за медиа стажёру весело. Оценить творчество LLM’ки Европола можно здесь — Дисней отдыхает.
@tomhunter
😁7👍4🤡2❤1👎1
#news На выходных не обошлось без, конечно же, ещё одной атаки на цепочку поставок. Инфостилер залетел в пакеты на npm, PyPi и Crates[.]io. Обнаружены 34 вредоносных пакета и 384 их версии.
Несмотря на сравнительно небольшое число пакетов, эффект может быть приличный: эта кампания под крипто- и ИИ-бро c прицелом на кошельки, DeFi с Solana и прочее блокчейновое. Из интересного, вредоносные .cursorrules и claude[.]md с инструкциями юникодом под слив кредов; метод, возможно, не самый эффективный, но как эксперимент интересно, особенно когда цель атаки — энтузиасты с LLM’кой в каждой щели. Список пакетов и теханализ здесь. Кто пристрастился к адреналину от ежедневных supply-chain атак, хорошие (?) новости, они всё ещё с нами — налетайте.
@tomhunter
Несмотря на сравнительно небольшое число пакетов, эффект может быть приличный: эта кампания под крипто- и ИИ-бро c прицелом на кошельки, DeFi с Solana и прочее блокчейновое. Из интересного, вредоносные .cursorrules и claude[.]md с инструкциями юникодом под слив кредов; метод, возможно, не самый эффективный, но как эксперимент интересно, особенно когда цель атаки — энтузиасты с LLM’кой в каждой щели. Список пакетов и теханализ здесь. Кто пристрастился к адреналину от ежедневных supply-chain атак, хорошие (?) новости, они всё ещё с нами — налетайте.
@tomhunter
😢2😁1🎉1
#news На прошлой неделе клиенты THE.Hosting и компании начали жаловаться на масштабный сбой. На деле же в Нидерландах связанные с ними серверы попросту изъяли и арестовали двух обслуживающих их человек.
Судя по всему, рейды идут по всей Европе и в США. А разгадка проста: THE.Hosting якобы связана со Stark Industries, попавшей под санкции в прошлом году и отправившейся по волнам ребрендинга. В ЕС компанию обвиняют в предоставлении инфраструктуры киберпреступникам и под разное гибридное — отсюда и рейды с перехватами, арестами и прочей романтикой. Забавнее всего на фоне этого читать свидетельства клиентов, внезапно обнаруживших пропажу своей инфры. Тот неловкий момент, когда покупаешь хостинг, не интересуясь политикой — а она, как водится, очень интересуется тобой. Точнее, твоим хостером.
@tomhunter
Судя по всему, рейды идут по всей Европе и в США. А разгадка проста: THE.Hosting якобы связана со Stark Industries, попавшей под санкции в прошлом году и отправившейся по волнам ребрендинга. В ЕС компанию обвиняют в предоставлении инфраструктуры киберпреступникам и под разное гибридное — отсюда и рейды с перехватами, арестами и прочей романтикой. Забавнее всего на фоне этого читать свидетельства клиентов, внезапно обнаруживших пропажу своей инфры. Тот неловкий момент, когда покупаешь хостинг, не интересуясь политикой — а она, как водится, очень интересуется тобой. Точнее, твоим хостером.
@tomhunter
😁4🔥1
#news Anthropic, судя по всему, планирует сделать открытым доступ к Mythos. Пункт с выбором модели появился в публичной версии Claude Security и Claude Code — видимо, по ошибке, и его быстро убрали.
На фоне этого эхо-камеры LLM-энтузиастов бурлят: неужто простым смертным дадут доступ к легендарной Mythos? Или к порезанной версии? А на каких уровнях подписки? И всё это спустя месяц после релиза "слишком опасной" модельки. Удивлённые юзеры приходят к выводу, что Mythos прикрутили крутые ограничения против абьюза, раз рискуют выпустить кремниевого вундеркинда на публику. На деле же окажется, что скептики были правы: никакого прорыва, ставившего под угрозу весь кибербез, не было, и так до следующей пиар-компании вокруг новой модели. Но что-то подсказывает, широкая публика подвох “Мальчик, который кричал ‘AGI’” так и не заметит.
@tomhunter
На фоне этого эхо-камеры LLM-энтузиастов бурлят: неужто простым смертным дадут доступ к легендарной Mythos? Или к порезанной версии? А на каких уровнях подписки? И всё это спустя месяц после релиза "слишком опасной" модельки. Удивлённые юзеры приходят к выводу, что Mythos прикрутили крутые ограничения против абьюза, раз рискуют выпустить кремниевого вундеркинда на публику. На деле же окажется, что скептики были правы: никакого прорыва, ставившего под угрозу весь кибербез, не было, и так до следующей пиар-компании вокруг новой модели. Но что-то подсказывает, широкая публика подвох “Мальчик, который кричал ‘AGI’” так и не заметит.
@tomhunter
😁4💯2❤1
#news Найджел Фараж, британский политик, обвинил Россию во взломе телефона. И непростом: коварные русские хакеры слили СМИ информацию о том, что Фараж получил £5 миллионов “в подарок” от криптомиллиардера. Увы в историю не верят и в самой UK.
Никаких подтверждений и официальных заявлений от Фаража нет, и на фоне этого местный ИБ-регулятор NCSC глубоко обеспокоен: потенциальный премьер-министр заявляет об иностранном вмешательстве,такое нельзя игнорировать. Так что давайте нам пруфы, будем заседать и думать, как ответить России за взлом. А пруфов пока нет — только какие-то неназванные эксперты по контршпионажу винят во всём Москву. В общем, типичный политический цирк, только в этот раз неясно, прокатит ли трюк “в любой непонятной ситуации во всём обвиняй русских хакеров”.
@tomhunter
Никаких подтверждений и официальных заявлений от Фаража нет, и на фоне этого местный ИБ-регулятор NCSC глубоко обеспокоен: потенциальный премьер-министр заявляет об иностранном вмешательстве,такое нельзя игнорировать. Так что давайте нам пруфы, будем заседать и думать, как ответить России за взлом. А пруфов пока нет — только какие-то неназванные эксперты по контршпионажу винят во всём Москву. В общем, типичный политический цирк, только в этот раз неясно, прокатит ли трюк “в любой непонятной ситуации во всём обвиняй русских хакеров”.
@tomhunter
😁7
#news GitLab удалил аккаунт исследователя под ником Nightmare-Eclipse. 23 мая ему заблокировали аккаунт на GitHub и вчера оперативно снесли с GitLab, куда он мигрировал после бана. Ещё неплохо продержался.
Борец с Microsoft успел опубликовать шесть эксплойтов и останавливаться не собирается. За это время он успел превратиться в героя для выгоревших багхантеров и прочих имевших сомнительное удовольствие взаимодействия с корпорациями. Дошло до сравнений с Мистером Роботом — народная любовь к Microsoft во всей красе. Некоторые спекулируют, что исследователь может быть уволенным из MS инсайдером — слишком уж хорошее знание архитектуры. Сам же Nightmare-Eclipse угрожает встряхнуть Microsoft в патчевый вторник 14 июля, так что поклонники ушедшего в отрыв исследователя могут помечать красный день в календаре.
@tomhunter
Борец с Microsoft успел опубликовать шесть эксплойтов и останавливаться не собирается. За это время он успел превратиться в героя для выгоревших багхантеров и прочих имевших сомнительное удовольствие взаимодействия с корпорациями. Дошло до сравнений с Мистером Роботом — народная любовь к Microsoft во всей красе. Некоторые спекулируют, что исследователь может быть уволенным из MS инсайдером — слишком уж хорошее знание архитектуры. Сам же Nightmare-Eclipse угрожает встряхнуть Microsoft в патчевый вторник 14 июля, так что поклонники ушедшего в отрыв исследователя могут помечать красный день в календаре.
@tomhunter
🔥8😁6❤2
#news CrowdStrike вместе с Google и друзьями нарушила работу С2-инфраструктуры Glassworm — источника атак на цепочку поставок по разрабам и связанного ботнета. Экосистема наносит ответный удар.
Glassworm — кодовое имя для операции по доставке червия на npm, PyPi, VS Code и других платформах, активной с начала 2025-го. Операторы залетели в заголовки в октябре, недавние атаки были в марте и конце апреля. Счастливчики получали на свои устройства инфостилер с RAT, и Glassworm прилично продержался за счёт устойчивой С2 c каналами связи на Solana, BitTorrent DHT, в календаре Google и обычными серверами. Crowdstrike утверждает, что ударили по всем четырём, С2 пала, и заражённые устройства теперь стучат по их безобидному айпишнику. В общем, от ежедневных атак на цепочку поставок устали и в Google и решили добавить в ленту немного позитива.
@tomhunter
Glassworm — кодовое имя для операции по доставке червия на npm, PyPi, VS Code и других платформах, активной с начала 2025-го. Операторы залетели в заголовки в октябре, недавние атаки были в марте и конце апреля. Счастливчики получали на свои устройства инфостилер с RAT, и Glassworm прилично продержался за счёт устойчивой С2 c каналами связи на Solana, BitTorrent DHT, в календаре Google и обычными серверами. Crowdstrike утверждает, что ударили по всем четырём, С2 пала, и заражённые устройства теперь стучат по их безобидному айпишнику. В общем, от ежедневных атак на цепочку поставок устали и в Google и решили добавить в ленту немного позитива.
@tomhunter
❤3👍2🔥2
#news На Gitea, опенсорсной платформе для хостинга ИТ-проектов, закрыли уязвимость, позволяющую злоумышленнику стянуть приватные образы. Без аккаунта, кредов или доступа в прошлом. Затронуты все версии до 1.26.2.
Детали не раскрывают, чтобы дать время накатить патчи — известно, что на эндпоинте реестра не было надлежащей аутентификации. Уязвимость присутствовала около четырёх лет, и форки Gitea советуют считать уязвимыми, пока мейнтейнеры не подтвердят обратное. Forgejo уже сообщила, что у них CVE в наличии. По консервативным оценкам затронуты 30+ тысяч инстансов, был ли эксплойт, неизвестно. У исследователей это всё завёрнуто в “посмотрите, какую уязвимость нашёл наш автономный ИИ-агент для пентеста”, и отчёт читать строго тем, у кого глаза ещё не вытекают от LLM-спика, но хотя бы уязвимость в этом кейсе реальная.
@tomhunter
Детали не раскрывают, чтобы дать время накатить патчи — известно, что на эндпоинте реестра не было надлежащей аутентификации. Уязвимость присутствовала около четырёх лет, и форки Gitea советуют считать уязвимыми, пока мейнтейнеры не подтвердят обратное. Forgejo уже сообщила, что у них CVE в наличии. По консервативным оценкам затронуты 30+ тысяч инстансов, был ли эксплойт, неизвестно. У исследователей это всё завёрнуто в “посмотрите, какую уязвимость нашёл наш автономный ИИ-агент для пентеста”, и отчёт читать строго тем, у кого глаза ещё не вытекают от LLM-спика, но хотя бы уязвимость в этом кейсе реальная.
@tomhunter
😁4🔥1
#news В сети новое исследование фингерпринтинга браузером через анализ работы SSD. В лучших традициях надругательства учёного над журналистом пошли заголовки “У сайтов появился новый способ следить за посетителями”. На деле же всё далеко не так просто.
Атака получила название FROST, fingerprinting remotely using OPFS-based SSD timing. Если кратко, это побочный канал утечки данных: браузер слушает большой OPFS-файл, нейронка анализирует задержку чтения и может определить, какие сайты посещает юзер и какие приложения у него открыты. Ключевой момент: нейронка, специально натасканная в лабораторных условиях на анализируемом массиве данных. А от лаборатории до реальных применений путь неблизкий; в контексте такой атаки — не факт, что проходимый. Зато заголовки гремят, юзеры поют панихиду приватности, и так до следующего кликбейта. Само исследование здесь (PDF).
@tomhunter
Атака получила название FROST, fingerprinting remotely using OPFS-based SSD timing. Если кратко, это побочный канал утечки данных: браузер слушает большой OPFS-файл, нейронка анализирует задержку чтения и может определить, какие сайты посещает юзер и какие приложения у него открыты. Ключевой момент: нейронка, специально натасканная в лабораторных условиях на анализируемом массиве данных. А от лаборатории до реальных применений путь неблизкий; в контексте такой атаки — не факт, что проходимый. Зато заголовки гремят, юзеры поют панихиду приватности, и так до следующего кликбейта. Само исследование здесь (PDF).
@tomhunter
💯5👍1
#news Пятничные новости инфобеза. Microsoft выпустила пост по следам пустившегося во все тяжкие Nightmare-Eclipse. Сам пост непримечательный: раскрывайте уязвимости нам, иначе это криминал, понятненько? Но в сообществе внезапно открылся портал в ад.
Багхантеры делятся историями взаимодействия с MSRC, которые проходили по удивительно схожему сценарию: найденную уязвимость помечали как out-of-scope или дубликат и фиксили задним числом — без CVE, признания и выплат. Угрозы тоже не оценили: наши исследования — это наши исследования, что хотим с ними, то и делаем. Не обошлось и без мемов про BB за три сотки на новый лад. В общем, коммьюнити бурлит, багхантеры взбунтовались. Подборка на скрине. Такими темпами обещанное Nightmare-Eclipse явление в июле пройдёт под дружное ликование — у угнетённых белошляпочников появился народный мститель проклятым корпорациям. С анимешной девочкой на аватарке. А как иначе?
@tomhunter
Багхантеры делятся историями взаимодействия с MSRC, которые проходили по удивительно схожему сценарию: найденную уязвимость помечали как out-of-scope или дубликат и фиксили задним числом — без CVE, признания и выплат. Угрозы тоже не оценили: наши исследования — это наши исследования, что хотим с ними, то и делаем. Не обошлось и без мемов про BB за три сотки на новый лад. В общем, коммьюнити бурлит, багхантеры взбунтовались. Подборка на скрине. Такими темпами обещанное Nightmare-Eclipse явление в июле пройдёт под дружное ликование — у угнетённых белошляпочников появился народный мститель проклятым корпорациям. С анимешной девочкой на аватарке. А как иначе?
@tomhunter
😁10❤4