Все ж вірно зроблено, хіба ні?😁

Після перерви зі зрозуміло яких ОКБМ-них причин, ми відновлюємо пости на тему Hackademy Day

🕸 Repo-supervisor: GitHub детектив

Третій інструмент серії - Repo-supervisor! Цей хлопець спеціалізується на масовому сканінгу GitHub 🔍

Чому він особливий?
На відміну від попередніх, він не потребує клонування репо. Працює через GitHub API та сканує код онлайн!

Встановлення:

pip install repo-supervisor

# або

git clone https://github.com/auth0/repo-supervisor
pip install -r requirements.txt

Базові команди:

# Сканування одного репо

repo-supervisor --url https://github.com/user/repo

# Всі репо користувача/організації

repo-supervisor --organization auth0

# З GitHub токеном (більше лімітів)

repo-supervisor --token YOUR_TOKEN --organization target

Конфігурація пошуку:

json

{
  "rules": [
    {
      "name": "AWS Keys",
      "pattern": "AKIA[0-9A-Z]{16}",
      "denoscription": "AWS Access Key"
    }
  ]
}

Корисні опції:

--include-forks // Включити форки
--include-members // Включити особисті репо членів
--output json // JSON формат виводу
--threads 10 // Кількість потоків

Що шукає:

- API ключі всіх популярних сервісів
- Database connection strings
- Private keys та certificates
- Hardcoded passwords
- Cloud credentials

Фішки для розвідки:

- Масовий скан конкурентів
- Моніторинг нових репо організації
- Automated security assessment

Обмеження:

- Залежить від GitHub API limits
- Не сканує private репо (без доступу)
- Потребує stable інтернет

#GitLeaks #SpeedScanning #DevSecOps #кібербезпека

Сьогодні знову середа, тому ми продовжуємо серію постів на тему Hackademy Day, і наступна тема:

🌐 SecretFinder: JavaScript мисливець

Четвертий боєць - SecretFinder! Цей спеціаліст полює на секрети у веб-додатках через JavaScript файли 🎯

В чому його сила?
Розробники часто забувають API-ключі та токени прямо у фронтенд коді. SecretFinder їх знаходить!

Встановлення:

git clone https://github.com/m4ll0k/SecretFinder
cd SecretFinder
pip3 install -r requirements.txt

Основне використання:

# Сканування одного сайту

python3 secretfinder.py -u https://target.com

# Множинні домени з файлу

python3 secretfinder.py -l domains.txt

# Конкретний JS файл

python3 secretfinder.py -u https://site.com/app.js

Просунуті опції:

# Зберегти результат

python3 secretfinder.py -u target.com -o results.html

# Використати proxy

python3 secretfinder.py -u target.com --proxy http://127.0.0.1:8080

# Custom User-Agent

python3 secretfinder.py -u target.com --user-agent "Mozilla/5.0..."

Що знаходить у JS:

- AWS S3 bucket URLs
- API endpoints та ключі
- Google Maps API keys
- Firebase configs
- JWT токени
- Database connections
- Internal URLs та paths

Патерни пошуку:

- api_key, apikey, secret
- Base64 encoded strings
- URLs з credentials
- Configuration objects
- Hardcoded passwords

Практичний workflow:

- Знаходимо JS файли: subfinder + httpx
- Аналізуємо їх: SecretFinder
- Валідуємо знайдені секрети
- Документуємо для звіту

#GitLeaks #SpeedScanning #DevSecOps #кібербезпека

Поки в інфопросторі несеться зрада за зрадою, а люди в черговий раз біжуть з лопатами копати помиральні ями⚰, команда RM RF вирішила порадувать вас смачненьким, знижечки на корисні курси на чорну п'ятницю🤑:
https://github.com/wwwiesel/InfoSec-Black-Friday?tab=readme-ov-file

І свого не чурайтесь і чужому навчайтесь, зробимо разом кожну п'ятницю в рашці чорною!

Завжди так роблю😁

Очєрєдной удар в псину - китайські хакери рік атакували ІТ-сектор рашки

Мова йде про групу APT31, вектор атаки якої був спрямований на компанії інтеграторів рішень для держустав та їх підрядників. Зрозуміло, що це було, є і, вірогідніше за все буде, замовленням уряду китая. Як то кажуть "тримай друзів близько, а корисне навантаження до них ще ближче"

Серед способів атак немає нічого нового: використання хмарних сервісів (типу Yandex Cloud), command-and-control (C2),  фішінгові листи з архівами з відповідним вмістом, ну і звісно що власні інструменти

🗑 DumpsterDiver: Копання у цифровому смітті (Hackademy Day)

П'ятий інструмент серії - DumpsterDiver! Якщо інші шукають секрети у коді, то цей копається у дампах і backup'ах 💾

Що робить цей звір?

Аналізує дампи пам'яті, backup файли, архіви та інший "цифровий мусор" на пошук credentials та sensitive даних.

Встановлення:

git clone https://github.com/securing/DumpsterDiver
cd DumpsterDiver
pip3 install -r requirements.txt

Базове використання:

# Сканування директорії

python3 DumpsterDiver.py -p /path/to/dumps

# Конкретні типи файлів

python3 DumpsterDiver.py -p /target --grep-words passwords, api, secret

# Поглиблений аналіз

python3 DumpsterDiver.py -p /dumps --advance

Типи файлів для аналізу:

- Memory dumps (.dmp, .mem)
- Database backups (.sql, .db)
- Log files (.log, .txt)
- Archive files (.zip, .tar, .gz)
- Config files (.conf, .ini, .xml)
- Office documents (.doc, .xls, .pdf)

Корисні параметри:

--remove-empty # Пропустити пусті файли
--max-file-size 50 # Максимум 50MB на файл
--grep-words list # Власні ключові слова
--pdf-parser # Парсинг PDF файлів

Що шукає:

- Passwords та usernames
- API keys та tokens
- Credit card numbers
- Social Security Numbers
- Email addresses
- IP addresses та URLs
- Криптографічні ключі

Реальні сценарії:

- Forensic analysis дампів
- Аналіз витоків даних
- Incident response
- Compliance аудит

Для pentest'ерів:

Часто адміни лишають backup'и у відкритому доступі. FTP, SMB shares, відкриті S3 buckets - DumpsterDiver знайде там золото!

#GitLeaks #SpeedScanning #DevSecOps #кібербезпека

Користувачі Blender, будьте на сторожі

Впродовж останніх 6 місяців на різноманітних сайтах з ассетами розповсюджували шкідливі файли з розширенням blend, які містили безплатні 3D-моделі. Ці файли крадуть дані запускаючи скрипти на Python, ну і звісно що не обійшлось без русні -  StealC V2

На зображенні ви можете бачити чейн атаки від спеціалістів з Morphisec

А це вже цікаво: застосунок Apple Podcasts відкриває... подкасти про релігію, освіту й духовність

Це триває вже декілька місяців, при чому судячи з усього, воно відбувається саме по собі. Також, на сторінці одного з подкастів із назвою “5../XEWE2′””&#x22″onclic…”, є посилання на шкідливий сайт, який намагається виконати XSS-атаку. Ну і вишенькою на цьому торті є ігнор проблеми компанією Apple

Коли вже там у них введуть чєбурнет?🙄

Спочатку на рашці охолоджують сімки, ще до цього впродовж довгого часу намагаються заблочити телеграм, а тепер черга дійшла і до WhatsApp, бо бачте "мєсенджєри продолжают нарушать расійскоє законодательство", а як альтернативу пропонують перейти на "національниє сєрвіси"

Gemini 3 Pro зламали всього за... 5 хвилин😅

Члени стартапу Aim Intelligence, який займається перевіркою ШІ на вразливості, обійшли його обмеження і попросили інструкції, наприклад, для вірусу віспи. І ці інструкції виявились доволі "життєздатними"

До наступного запиту дослідники підійшли з гумором і попросили ШІ створити сатиричну презентацію про власну помилку. Він погодився, а презентація отримала назву "Excused Stupid Gemini 3"

Наступним на черзі було створення сайту з інструкціями для газу зарин і виготовлення вибухівки у домашніх умовах, з чим ШІ теж успішно впорався. Цікаво, чи допоміг би Gemini 3 створити бомбу із зарином, який би розповсюджував віспу?😀

Коли зламали не застосунок, а ПК його творця

Альтернатива YouTube для Android TV і Fire TV (SmartTube 100К+ завантажень на Google Play),  розповсюджувала ШПЗ, але зламали не сам застосунок, а один з комп'ютерів розробників

Самі творці застосунку не знають, які саме версії SmartTube інфіковані, але заражену машину вже почистили, а не заражена версія SmartTube доступна для завантаження. Однак, я б все ж таки поберігся від його завантаження, що зараз, що у майбутньому

Відновлюємо втрачені контакти. Коса працює, ціни гарні. Якщо є цікава інфа або документи, запропонуємо гарну ціну. Команда тримає марку. По всім питанням @fairytelles

Китай шукає способи... заглушити супутниковий інтернет

Мова зараз йде здебільшого про Starlink, який став надзвичайно корисним для нашої армії, і китай не міг не помітити це. Стабільний та надійний зв'язок - критично важливий на війні, і враховуючи їх неодноразові заяви у бік Тайваню, ця новина є цілком очікуваною

Минулого місяця дослідники двох найбільших університетів китаю опублікували документ, в якому йдеться про можливість заглушити супутниковий інтернет. В дослідженні сказано, що для того, щоб регіон розміром з Тайвань залишився без зв'язку, треба від 1000 до 2000 дронів 

Втім, країни вже шукають і знаходять способи убезпечити себе від цього. Той же Тайвань підписав угоду з Eutelsat OneWeb, яка має понад 600 супутників. Для прикладу, Starlink має близько 9000. Ну і звісно, що китай розробляє свою технологію супутникового зв'язку, схожу на Starlink. Те саме можна сказати про Францію та Індію

Примерно четверть посещений у нас с ru сегмента. Хотите подзаработать, передать документы, может есть возможность ввести пару команд или поделится чем то интересным, а може вы знаете как взаимодействует бензин с релейным шкафом? Готовы к любому сотрудничеству. Гарантируем анонимность, оплата криптой но можно договорится и валютой в вашем городе. Коса работает, цены хорошие✓
Для связи:
@fairytelles
или
rmrfofficial@pm.me

Вже подр*чити спокійно не дають🙄

Група хакерів ShinyHunters стверджують, що зламали Pornhub й отримали доступ до даних преміум акаунтів, і вимагають викуп у біткоїнах.

Для підтвердження злому вони передали Reuters записи про 14  таких користувачів. Після розмови, журналісти підтвердили достовірність трьох, хоча вони й були кількарічної давності