🐛Второе пришествие червя Shai Hulud и масштабная компрометация экосистемы npm
Как пишут исследователи Aikido, злоумышленники запустили вторую волну атаки самореплицирующегося червя Shai Hulud, заразив 492 npm-пакета, чья суммарная аудитория составляет 132 миллиона загрузок в месяц.
По данным исследователя Aikido Security Чарли Эриксена, атака классифицируется как supply-chain attack с использованием самореплицирующегося червя, который инфицирует среду разработчика через компрометацию популярных библиотек.
И это происходит за две недели до дедлайна NPM по отзыву классических токенов 9 декабря с той целью, чтобы нанести максимальный ущерб инфраструктуре таких гигантов как Zapier, ENS, AsyncAPI, PostHog и Postman.
Вредоносное ПО использует скрипт setup_bun.js для скрытой установки среды выполнения Bun и последующего запуска пейлоада bun_environment.js, который функционирует как самовоспроизводящийся червь. После инфильтрации в среду разработки код развертывает инструмент TruffleHog для автоматизированного поиска API-ключей и токенов с последующей их публикацией в открытых репозиториях GitHub.
В отличие от сентябрьского инцидента обновленная версия вредоноса способна заражать до 100 пакетов за одну итерацию и запрограммирована на полное удаление файлов в домашней директории пользователя в случае неудачной аутентификации в GitHub или NPM.
Анализ телеметрии показывает, что злоумышленники эксфильтруют украденные данные в репозитории со случайными именами и описанием «Sha1-Hulud: The Second Coming», что на текущий момент привело к компрометации более 26 300 репозиториев.
Основным признаком заражения является наличие репозиториев на GitHub со специфическим описанием атаки и присутствие скриптов установки Bun в зависимостях package.json.
Эксперты Aikido Security настаивают на немедленном аудите зависимостей и версий для всех проектов, использующих пакеты из скомпрометированных скоупов zapier, ensdomains, asyncapi, posthog и postman. Критически важно произвести полную ротацию всех секретов GitHub, NPM, облачных токенов и ключей доступа к CI/CD, которые были активны в момент установки пакетов, так как вредоносное ПО использует TruffleHog для их автоматического сбора и эксфильтрации.
✋ @Russian_OSINT
Как пишут исследователи Aikido, злоумышленники запустили вторую волну атаки самореплицирующегося червя Shai Hulud, заразив 492 npm-пакета, чья суммарная аудитория составляет 132 миллиона загрузок в месяц.
По данным исследователя Aikido Security Чарли Эриксена, атака классифицируется как supply-chain attack с использованием самореплицирующегося червя, который инфицирует среду разработчика через компрометацию популярных библиотек.
И это происходит за две недели до дедлайна NPM по отзыву классических токенов 9 декабря с той целью, чтобы нанести максимальный ущерб инфраструктуре таких гигантов как Zapier, ENS, AsyncAPI, PostHog и Postman.
Вредоносное ПО использует скрипт setup_bun.js для скрытой установки среды выполнения Bun и последующего запуска пейлоада bun_environment.js, который функционирует как самовоспроизводящийся червь. После инфильтрации в среду разработки код развертывает инструмент TruffleHog для автоматизированного поиска API-ключей и токенов с последующей их публикацией в открытых репозиториях GitHub.
В отличие от сентябрьского инцидента обновленная версия вредоноса способна заражать до 100 пакетов за одну итерацию и запрограммирована на полное удаление файлов в домашней директории пользователя в случае неудачной аутентификации в GitHub или NPM.
Анализ телеметрии показывает, что злоумышленники эксфильтруют украденные данные в репозитории со случайными именами и описанием «Sha1-Hulud: The Second Coming», что на текущий момент привело к компрометации более 26 300 репозиториев.
Основным признаком заражения является наличие репозиториев на GitHub со специфическим описанием атаки и присутствие скриптов установки Bun в зависимостях package.json.
Эксперты Aikido Security настаивают на немедленном аудите зависимостей и версий для всех проектов, использующих пакеты из скомпрометированных скоупов zapier, ensdomains, asyncapi, posthog и postman. Критически важно произвести полную ротацию всех секретов GitHub, NPM, облачных токенов и ключей доступа к CI/CD, которые были активны в момент установки пакетов, так как вредоносное ПО использует TruffleHog для их автоматического сбора и эксфильтрации.
Please open Telegram to view this post
VIEW IN TELEGRAM
Канал 🔨 SecAtor — @true_secator пишет интересное:
Американская CrowdStrike заявила о поимке крота в своих рядах, который, по их данным, делал скрины из внутренних систем и делился с участниками хакерской группы Scattered Lapsus$ Hunters, впоследствии публиковавшей их на своем ТГ-канале.
Ссылаясь на результаты собственного расследования, компания отметила, что в результате инцидента ее системы не были взломаны, а данные клиентов не были скомпрометированы.
На тот момент CrowdStrike не уточняла дополнительных деталей, в том числе кто из киберподполья был причастен к атаке и тем более какова роль инсайдера.
Однако позже все стало понятно, когда скриншоты систем CrowdStrike были опубликованы членами коллектива ShinyHunters, Scattered Spider и Lapsus$.
Сами хакеры отметили, что гонорар по итогам сотрудничества с бандой должен был составить 25 000 долларов и включал предоставление доступа к внутренней сети CrowdStrike.
При этом злоумышленники заявили, что в конечном итоге смогли получить файлы cookie аутентификации SSO от инсайдера, но к тому времени подозреваемый уже был под колпаком CrowdStrike, которая успела залочить ему доступ к сети.
Кроме того, банда вымогателей добавила, что они также пытались прикупить отчеты CrowdStrike по ShinyHunters и Scattered Spider, но не потерпели фиаско.
В общем, Scattered Lapsus$ Hunters можно сказать задрали планку вымогательства на достаточно высокий уровень и продолжают удивлять размахом своей хакерской активности. Чуть было не завалившийся на бок, Jaguar Land Rover (JLR), не даст соврать.
CrowdStrike повезло не угодить в их послужной список, в котором и без того именитые бренды: Google, Cisco, Toyota, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France и KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel и IKEA.
К настоящему времени продолжая масштабную кампанию со взломом Salesforce хакеры приступили к новой волне атак, жертвами которых уже стали: LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign и Malwarebytes.
Причем запустили также и новую платформу RaaS под названием ShinySp1d3r (при участии ShinyHunters и Scattered Spider).
Ранее они использовали в атаках шифровальщики своих коллег по цеху, включая ALPHV/BlackCat, RansomHub, Qilin и DragonForce, однако теперь реализуют собственный шифровальщик, разработанный с нуля (образец был обнаружен на VirusTotal).
Так что продолжаем следить.
Американская CrowdStrike заявила о поимке крота в своих рядах, который, по их данным, делал скрины из внутренних систем и делился с участниками хакерской группы Scattered Lapsus$ Hunters, впоследствии публиковавшей их на своем ТГ-канале.
Ссылаясь на результаты собственного расследования, компания отметила, что в результате инцидента ее системы не были взломаны, а данные клиентов не были скомпрометированы.
На тот момент CrowdStrike не уточняла дополнительных деталей, в том числе кто из киберподполья был причастен к атаке и тем более какова роль инсайдера.
Однако позже все стало понятно, когда скриншоты систем CrowdStrike были опубликованы членами коллектива ShinyHunters, Scattered Spider и Lapsus$.
Сами хакеры отметили, что гонорар по итогам сотрудничества с бандой должен был составить 25 000 долларов и включал предоставление доступа к внутренней сети CrowdStrike.
При этом злоумышленники заявили, что в конечном итоге смогли получить файлы cookie аутентификации SSO от инсайдера, но к тому времени подозреваемый уже был под колпаком CrowdStrike, которая успела залочить ему доступ к сети.
Кроме того, банда вымогателей добавила, что они также пытались прикупить отчеты CrowdStrike по ShinyHunters и Scattered Spider, но не потерпели фиаско.
В общем, Scattered Lapsus$ Hunters можно сказать задрали планку вымогательства на достаточно высокий уровень и продолжают удивлять размахом своей хакерской активности. Чуть было не завалившийся на бок, Jaguar Land Rover (JLR), не даст соврать.
CrowdStrike повезло не угодить в их послужной список, в котором и без того именитые бренды: Google, Cisco, Toyota, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France и KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel и IKEA.
К настоящему времени продолжая масштабную кампанию со взломом Salesforce хакеры приступили к новой волне атак, жертвами которых уже стали: LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign и Malwarebytes.
Причем запустили также и новую платформу RaaS под названием ShinySp1d3r (при участии ShinyHunters и Scattered Spider).
Ранее они использовали в атаках шифровальщики своих коллег по цеху, включая ALPHV/BlackCat, RansomHub, Qilin и DragonForce, однако теперь реализуют собственный шифровальщик, разработанный с нуля (образец был обнаружен на VirusTotal).
Так что продолжаем следить.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
SecAtor
Руки-ножницы российского инфосека.
Для связи - mschniperson@mailfence.com
Для связи - mschniperson@mailfence.com
Агентство связи и информации НАТО (NCIA) заключило стратегическое соглашение с Google Cloud на внедрение решения Google Distributed Cloud в конфигурации air-gapped для обеспечения цифрового суверенитета. Данное решение представляет собой программно-аппаратный комплекс, полностью отключенный от глобальной сети и функционирующий в изолированной безопасной среде.
Непосредственным эксплуатантом инфраструктуры станет JATEC (Joint Analysis, Training and Education Centre), что указывает на прямую связь проекта с анализом данных, касающихся российско-украинского конфликта, и необходимостью обработки массивов разведывательной информации.
Как утверждает технический директор NCIA Антонио Кальдерон, сотрудничество позволит создать масштабируемую среду, «отвечающую самым высоким стандартам, необходимым для защиты особо чувствительных данных».
Интеграция решения запланирована на ближайшие месяцы и призвана предоставить агентству расширенные аналитические возможности для повышения операционной эффективности союзников.
Контракт с Google не является эксклюзивным, так как NCIA параллельно использует мощности Oracle Cloud Infrastructure (суверенное облако) и AWS, пытаясь уйти от вендор-лока.
Please open Telegram to view this post
VIEW IN TELEGRAM
3
Please open Telegram to view this post
VIEW IN TELEGRAM
Эксперты Bitdefender Labs выявили масштабные вредоносные кампании, эксплуатирующие октябрьский релиз шутера Battlefield 6 от Electronic Arts через распространение фейковых пиратских копий и игровых трейнеров на торрент-трекерах.
Злоумышленники активно применяют социальную инженерию и маскируются под известные сцен-группы вроде InsaneRamZes или RUNE для доставки инфицированных установщиков со стилерами и агентами C2. Вредоносные файлы полностью лишены заявленной игровой функциональности и служат исключительно для скрытой компрометации систем пользователей сразу после запуска исполняемого файла.
Анализ образцов обнаружил разнообразный арсенал, включающий примитивный инфостилер с поддельного ресурса flingtrainer[.]io для хищения криптокошельков и токенов Discord с эксфильтрацией данных по открытому HTTP. Другой сэмпл под видом релиза InsaneRamZes применяет продвинутые техники уклонения в виде хеширования Windows API и проверки GetTickCount для детекции песочниц, при этом блокируя исполнение кода при обнаружении локалей стран СНГ. Третий вектор под маской RUNE развертывает персистентный C2-агент через ZLIB-сжатый объект внутри ISO-образа, который запускает вредоносную DLL посредством системной утилиты regsvr32.exe.
Исследование дампов памяти сэмпла InsaneRamZes указывает на целенаправленный интерес атакующих к учетным данным разработчиков от сервисов CockroachDB, Postman и BitBucket. Агент C2 пытается установить связь с доменом ei-in-f101[.]1e100[.]net, принадлежащим Google, для эффективной маскировки вредоносного трафика под легитимную сетевую активность. Исследователи Bitdefender настоятельно рекомендуют загружать ПО исключительно с официальных платформ вроде Steam или EA App во избежание заражения.
Please open Telegram to view this post
VIEW IN TELEGRAM
Acronis Threat Research Unit делятся подробностями новой атаки JackFix, которая использует изощренную комбинацию захвата экрана и техники ClickFix на поддельных ресурсах с контентом для взрослых.
Злоумышленники используют поддельные веб-сайты для взрослых и клоны 🍓платформ x****ter или P***b, которые при взаимодействии разворачивают для пользователя реалистичное полноэкранное окно с требованием установить
Атака полностью выполняется внутри
Вредоносный скрипт на втором этапе объемом свыше 13 мегабайт непрерывно бомбардирует пользователя запросами UAC до момента получения прав администратора. После повышения привилегий вредоносный код прописывает исключения для Microsoft Defender и загружает финальные пейлоады с командных серверов злоумышленников. Вредоносные URL-адреса настроены таким образом, что при прямом доступе они перенаправляют исследователей на легитимные ресурсы Google или Steam и отдают вредоносный код только в ответ на специфические запросы PowerShell.
Одна успешная инъекция приводит к загрузке и запуску сразу восьми различных семейств вредоносного ПО, включая новейшие версии стилеров и RAT (Remote Access Trojan). Среди доставляемых угроз идентифицированы актуальные версии инфостилеров Rhadamanthys и Vidar 2.0, а также трояны RedLine и Amadey.
👆Как пишут эксперты, если сайт перешел в полноэкранный режим и заблокировал интерфейс, используйте клавишу Esc или F11 для выхода. Если блокировка сохраняется, принудительно закройте браузер через Alt+F4 или Диспетчер задач (Ctrl+Shift+Esc).
Please open Telegram to view this post
VIEW IN TELEGRAM
ASUS выпустила экстренные обновления прошивки для маршрутизаторов серий RT-AX и ROG Rapture из-за критической уязвимости CVE-2025-59366 с оценкой 9.2 балла по шкале CVSS v4.0, которая позволяет удаленным атакующим обходить аутентификацию в облачном сервисе AiCloud.
Эксплойт базируется на архитектурных ошибках внутри службы Samba и позволяет злоумышленникам обходить аутентификацию в функции AiCloud для удаленного выполнения "чувствительных" команд без валидных учетных данных. Патчи закрывают эту дыру вместе с семью другими уязвимостями в ветках прошивки 3.0.0.4_386, 3.0.0.4_388 и 3.0.0.6_102, снижая риск неавторизованного доступа к данным и злоупотребления сетевыми сервисами маршрутизатора.
Также в предустановленном ПО MyASUS была исправлена уязвимость локального повышения привилегий CVE-2025-59373 с рейтингом 8.5, затрагивающая компонент ASUS System Control Interface. Уязвимость открывает возможность локальной эскалации привилегий через небезопасный механизм восстановления файлов в защищенных системных директориях. Требуется обновление ASUS System Control Interface минимум до версии 3.1.48.0 (для x64 систем) или 4.2.48.0 (для ARM архитектуры).
Ещё исправлены уязвимости CVE-2025-59370 и CVE-2025-59371 (CVSS 7.5), которые могут привести к компрометации данных или злоупотреблению сервисами.
Please open Telegram to view this post
VIEW IN TELEGRAM
WhatsApp принадлежит Meta — экстремистской организации, запрещённой в России. Она годами игнорирует требования российских регуляторов, отказалась работать по нашим законам, не пожелала локализовать данные граждан. Хотя времени у неё было более чем достаточно.
За последние месяцы мы видим тревожную динамику. Рост атак на пользователей WhatsApp — в 3,5 раза больше по сравнению с прошлым годом. Тысячи взломанных аккаунтов. Кража данных. «Клоны» аккаунтов, через которые мошенники выманивают деньги у людей. И всё это — на фоне регулярных сбоев и дыр в безопасности, которые компания даже не пытается исправлять.
Давайте честно: когда сервис системно игнорирует наши правила, угрожает безопасности людей и продолжает работать на территории страны без малейшего уважения к её законам, то его блокировка - лишь вопрос времени.
— пишет депутат ГД Антон Немкин, член комитета по информполитике, координатор партпроекта «Цифровая Россия», Вице-президент РАФ.
*Meta (соцсети Facebook, Instagram) запрещена в РФ как
Please open Telegram to view this post
VIEW IN TELEGRAM
11
Интересное из беседы с Ильей Суцкевером о тенденциях в 🤖 ИИ-индустрии с сооснователем OpenAI и Safe Superintelligence (SSI):
1️⃣ Возвращение к исследованиям: сейчас масштабирование становится общедоступным стандартом, и индустрия, вероятно, возвращается в фазу, где решающую роль снова будут играть фундаментальные исследовательские идеи, а не просто наращивание ресурсов.
2️⃣ «Крысиные бега»: коммерческая гонка заставляет компании фокусироваться на продуктовых фичах и краткосрочных улучшениях, что отвлекает ресурсы от решения фундаментальных проблем создания общего искусственного интеллекта (AGI).
3️⃣ Парадокс масштабирования: увеличение вычислительных мощностей дает предсказуемые результаты, но простое масштабирование текущих архитектур может не привести к созданию полноценного суперинтеллекта без новых качественных прорывов.
4️⃣ Безопасность через разумность: Илья Суцкевер предполагает, что суперинтеллект может быть безопаснее, так как он сам станет "разумным". Благодаря этому ему будет проще привить заботу о любой разумной жизни в целом (на основе эмпатии и самомоделирования), чем запрограммировать узкую заботу исключительно о людях.
5️⃣ Сотрудничество конкурентов: ведущие лаборатории, несмотря на жесткую конкуренцию, начинают сотрудничать в вопросах безопасности ИИ, осознавая риски технологий.
6️⃣ Невидимый прогресс: отсутствие громких публичных релизов от исследовательской компании не означает отсутствия прогресса. Настоящие прорывы часто требуют длительной скрытой работы перед демонстрацией.
7️⃣ Множественность "суперинтеллектов": Суцкевер прогнозирует появление разных очень мощных ИИ-систем примерно в одно время. Вместо доминирования одной универсальной модели во всех сферах будут доминировать разные ИИ-системы, которые займут различные экономические ниши и каждая по-своему будет лучше справляться с конкретными задачами.
8️⃣ Риск стагнации текущей парадигмы: также существует вероятность, что текущая парадигма развития LLM выйдет на плато. Когда увеличение параметров перестанет давать качественный прирост (это уже происходит), индустрии придется вернуться обратно к «чертежам» и искать принципиально новые архитектуры для развития ИИ.
✋ @Russian_OSINT
1️⃣ Возвращение к исследованиям: сейчас масштабирование становится общедоступным стандартом, и индустрия, вероятно, возвращается в фазу, где решающую роль снова будут играть фундаментальные исследовательские идеи, а не просто наращивание ресурсов.
2️⃣ «Крысиные бега»: коммерческая гонка заставляет компании фокусироваться на продуктовых фичах и краткосрочных улучшениях, что отвлекает ресурсы от решения фундаментальных проблем создания общего искусственного интеллекта (AGI).
3️⃣ Парадокс масштабирования: увеличение вычислительных мощностей дает предсказуемые результаты, но простое масштабирование текущих архитектур может не привести к созданию полноценного суперинтеллекта без новых качественных прорывов.
4️⃣ Безопасность через разумность: Илья Суцкевер предполагает, что суперинтеллект может быть безопаснее, так как он сам станет "разумным". Благодаря этому ему будет проще привить заботу о любой разумной жизни в целом (на основе эмпатии и самомоделирования), чем запрограммировать узкую заботу исключительно о людях.
5️⃣ Сотрудничество конкурентов: ведущие лаборатории, несмотря на жесткую конкуренцию, начинают сотрудничать в вопросах безопасности ИИ, осознавая риски технологий.
6️⃣ Невидимый прогресс: отсутствие громких публичных релизов от исследовательской компании не означает отсутствия прогресса. Настоящие прорывы часто требуют длительной скрытой работы перед демонстрацией.
7️⃣ Множественность "суперинтеллектов": Суцкевер прогнозирует появление разных очень мощных ИИ-систем примерно в одно время. Вместо доминирования одной универсальной модели во всех сферах будут доминировать разные ИИ-системы, которые займут различные экономические ниши и каждая по-своему будет лучше справляться с конкретными задачами.
8️⃣ Риск стагнации текущей парадигмы: также существует вероятность, что текущая парадигма развития LLM выйдет на плато. Когда увеличение параметров перестанет давать качественный прирост (это уже происходит), индустрии придется вернуться обратно к «чертежам» и искать принципиально новые архитектуры для развития ИИ.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇵🇱В Польше арестован россиянин, подозреваемый якобы во взломе систем польских компаний
Как пишет Reuters, подозреваемый якобы во взломе ИТ-систем польских компаний гражданин России был арестован в Кракове, об сообщил в четверг министр внутренних дел Польши Марчин Кервиньский.
— написал Кервиньский в социальной сети X.
— пишут Centralne Biuro Zwalczania Cyberprzestępczości.
По непроверенной информации местных СМИ (Onet), задержанному может быть 23 года.
✋ @Russian_OSINT
Как пишет Reuters, подозреваемый якобы во взломе ИТ-систем польских компаний гражданин России был арестован в Кракове, об сообщил в четверг министр внутренних дел Польши Марчин Кервиньский.
«Сотрудники полиции в Кракове задержали гражданина России, подозреваемого в совершении тяжких преступлений, связанных с несанкционированным вмешательством в ИТ-системы польских компаний»
— написал Кервиньский в социальной сети X.
«16 ноября текущего года сотрудники Центрального бюро по борьбе с киберпреступностью (управление в Кракове), действуя по поручению Окружной прокуратуры в Кракове (2 отдел по делам экономических преступлений, секция по делам киберпреступности), провели операцию, в результате которой был задержан гражданин Российской Федерации»
— пишут Centralne Biuro Zwalczania Cyberprzestępczości.
По непроверенной информации местных СМИ (Onet), задержанному может быть 23 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
Как пишет “Ъ”, средняя стоимость персональных данных на теневом рынке продолжает расти, за год этот показатель прибавил почти 5%. При этом каждое пятое объявление предлагает услуги по сбору полного досье на человека, а каждое четвертое является мошенническим, когда, получив деньги, его автор просто исчезает.
Цены «пробива» варьируются от нескольких сотен до десятков тысяч рублей, достигая 120 тыс. руб. за детализацию звонков с привязкой к геолокации.
Средняя стоимость услуг теневого «пробива», то есть сбора информации о человеке по запросу, выросла за год на 4,5%, оценили специалисты Bi.Zone Digital Risk Protection. Представить полное досье предлагают 21% от всех 3,5 тыс. проанализированных компанией публикаций на теневых ресурсах.
«Одновременно стало больше предложений по сбору комплексного досье с более высокими расценками»
— отмечает руководитель подразделения Дмитрий Кирюшкин.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇯🇵Asahi сообщила, что хакеры похитили данные 2 миллионов человек
Японский гигант Asahi Group раскрыл новые подробности компрометации своей внутренней инфраструктуры.
1️⃣ Кибератака привела к утечке персональных данных около 2 миллионов человек.
2️⃣ Масштабный сбой спровоцировал падение выручки от безалкогольных напитков на 40% и заставил руководство отложить публикацию финансовых результатов.
В ходе пресс-конференции глава холдинга заявил: «Я остро ощущаю ответственность руководства» в связи с этой кибератакой.
✋ @Russian_OSINT
Японский гигант Asahi Group раскрыл новые подробности компрометации своей внутренней инфраструктуры.
1️⃣ Кибератака привела к утечке персональных данных около 2 миллионов человек.
2️⃣ Масштабный сбой спровоцировал падение выручки от безалкогольных напитков на 40% и заставил руководство отложить публикацию финансовых результатов.
В ходе пресс-конференции глава холдинга заявил: «Я остро ощущаю ответственность руководства» в связи с этой кибератакой.
Please open Telegram to view this post
VIEW IN TELEGRAM
📲GrapheneOS уходит из 🇫🇷Франции на фоне ультиматума спецслужб
Разработчики GrapheneOS объявили об экстренном выводе всех мощностей из французской юрисдикции и отказе от услуг провайдера OVH. По словам разработчиков, такое срочное решение было принято на фоне агрессивной риторики🎩 местных силовиков, которые фактически ставят их open-source проект в один ряд с сервисами вроде EncroChat и ожидают внедрения бэкдоров.
Причем разработчики обращают внимание не на сами публикации в СМИ, а на содержащиеся в них прямые цитаты представителей 👮правоохранительных органов с «едва завуалированными угрозами».
Представители проекта заявили, что «французские правоохранительные органы неоднократно захватывали серверы компаний, продающих "защищенные телефоны", и сравнивают нас с этими компаниями», создавая прямую угрозу целостности экосистемы.
В GrapheneOS проведут ротацию ключей шифрования (TLS и, при необходимости, DNSSEC) и перенесут серверы в юрисдикции Канады, США и Великобритании.
— считают разработчики.
👆Текущая атака на проект GrapheneOS привела к срыву сроков разработки, включая задержку выпуска экспериментальной поддержки для Google Pixel 10.
Также разработчики GrapheneOS 🚜катком проехались по французскому национальному мессенджеру Olvid:
💬 По их мнению, правительство Франции активно продвигает использование национального мессенджера Olvid, позиционируя его как защищенное решение со сквозным шифрованием. Франция рекламирует «безопасный» Olvid, но одновременно является одним из самых ярых сторонников внедрения бэкдоров в шифрование на уровне Евросоюза (через инициативу Chat Control). Это наводит на мысли, что национальный продукт может быть "лоялен к требованиям спецслужб" с намёком на внедрение бэкдоров.
— комментирует общую ситуацию сегодня во Франции Павел Дуров.
✋ @Russian_OSINT
Разработчики GrapheneOS объявили об экстренном выводе всех мощностей из французской юрисдикции и отказе от услуг провайдера OVH. По словам разработчиков, такое срочное решение было принято на фоне агрессивной риторики
Причем разработчики обращают внимание не на сами публикации в СМИ, а на содержащиеся в них прямые цитаты представителей 👮правоохранительных органов с «едва завуалированными угрозами».
Представители проекта заявили, что «французские правоохранительные органы неоднократно захватывали серверы компаний, продающих "защищенные телефоны", и сравнивают нас с этими компаниями», создавая прямую угрозу целостности экосистемы.
В GrapheneOS проведут ротацию ключей шифрования (TLS и, при необходимости, DNSSEC) и перенесут серверы в юрисдикции Канады, США и Великобритании.
«Франция — небезопасная страна для проектов с открытым исходным кодом, занимающихся вопросами конфиденциальности»
— считают разработчики.
👆Текущая атака на проект GrapheneOS привела к срыву сроков разработки, включая задержку выпуска экспериментальной поддержки для Google Pixel 10.
Также разработчики GrapheneOS 🚜катком проехались по французскому национальному мессенджеру Olvid:
«Евросоюз превращает сильные эмоции граждан по поводу защиты детей в оружие для насаждения📸 массовой слежки и цензуры. Их законодательные инициативы в области слежки предусмотрительно освободили самих чиновников ЕС от сканирования личной переписки — и публикация Дэвида помогает объяснить причины этого»
— комментирует общую ситуацию сегодня во Франции Павел Дуров.
Please open Telegram to view this post
VIEW IN TELEGRAM
OpenAI официально подтвердила утечку данных вследствие компрометации систем своего вендора Mixpanel. Вектором атаки стала смишинговая кампания, обнаруженная 8 ноября 2025 года, а 9 ноября злоумышленники выгрузили наборы данных с метаданными пользователей платформы API. Mixpanel утверждает, что атака затронула лишь «ограниченное число клиентов» и все они проинформированы.
Это не было взломом систем OpenAI. Чаты, запросы к API, данные об использовании API, пароли, учетные данные, API-ключи, платежные реквизиты или государственные идентификаторы не были скомпрометированы и не подверглись утечке.
— пишет OpenAI.
Злоумышленники получили доступ к именам, адресам электронной почты и приблизительному местоположению клиентов, использующих ИИ-решения через интерфейс
platform.openai.comПредставители компании подчеркивают, что «чаты, запросы к API, данные об использовании API, пароли, учетные данные, API-ключи, платежные реквизиты или государственные идентификаторы (ID) не были скомпрометированы и не подверглись утечке».
OpenAI прекратила использование Mixpanel. Вендор аннулировал активные сессии, выполнил ротацию скомпрометированных учетных данных, заблокировал вредоносные IP-адреса и зарегистрировал IOC в своей SIEM-платформе.
Специалисты отмечают, что утекшие данные содержат ограниченную идентификационную информацию, но могут быть использованы злоумышленниками для целенаправленных
Please open Telegram to view this post
VIEW IN TELEGRAM
Команда исследователей из DEXAI, Римского университета Ла Сапиенца и Школы перспективных исследований имени Святой Анны нашла уязвимость в 25 современных больших языковых моделях, где использование ✍️поэтической формы запроса выступает эффективным методом джейлбрейка LLM.
🤔В ходе тестирования 20 специально подготовленных “вредоносных стихов” дали средний показатель успешности атаки (ASR) в 62% по выборке из 25 моделей, а Google
Метод атаки условно называется 📝Adversarial Poetry и успешно обходит фильтры безопасности в доменах CBRN (химические, биологические, радиологические и ядерные угрозы), создание
🛡 ТОП-10 самых защищенных LLM (по версии исследования DEXAI):
1️⃣ claude-haiku-4.5
📉 ASR: 0.60% (самая устойчивая модель, показала даже улучшение защиты относительно базовых промптов)
2️⃣ gpt-5-nano
📉 ASR: 1.47%
3️⃣ gpt-5-mini
📉 ASR: 3.73%
4️⃣ claude-opus-4.1
📉 ASR: 5.45%
5️⃣ gpt-5
📉 ASR: 6.14%
6️⃣ gpt-oss-120b
📉 ASR: 8.94%
7️⃣ claude-sonnet-4.5
📉 ASR: 9.69%
8️⃣ gpt-oss-20b
📉 ASR: 23.26%
9️⃣ grok-4
📉 ASR: 34.40%
🔟 grok-4-fast
📉 ASR: 35.58%
🚨 ТОП-10 самых уязвимых LLM (по версии DEXAI):
1️⃣ magistral-medium-2506 (Mistral AI)
🔓 ASR: 77.19% (абсолютный антирекорд)
2️⃣ deepseek-chat-v3.1
🔓 ASR: 76.71%
3️⃣ deepseek-v3.2-exp
🔓 ASR: 71.94%
4️⃣ mistral-large-2411
🔓 ASR: 69.42%
5️⃣ qwen3-32b
🔓 ASR: 69.05%
6️⃣ deepseek-r1
🔓 ASR: 67.57%
7️⃣ gemini-2.5-pro
🔓 ASR: 66.73%
8️⃣ gemini-2.5-flash
🔓 ASR: 65.79%
9️⃣ mistral-small-3.2-24b-instruct
🔓 ASR: 65.46%
🔟 gemini-2.5-flash-lite
🔓 ASR: 64.77%
Данные косвенно подтверждают гипотезу о том, что современные методы выравнивания моделей (включая RLHF и Constitutional AI) чрезмерно оптимизированы под прозаические тексты, но при этом не способны включать чувствительные защитные паттерны на альтернативные лингвистические структуры вроде поэтических или стилизованных форм.
Please open Telegram to view this post
VIEW IN TELEGRAM
16
Please open Telegram to view this post
VIEW IN TELEGRAM
*Meta (соцсети Facebook, Instagram) запрещена в РФ как
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Вестник Киберполиции России
Media is too big
VIEW IN TELEGRAM
Доступ к функционалу ClayRat предоставлялся по подписке: 90 долларов США в неделю, 300 долларов в месяц или 15 % от полученного дохода. Вся необходимая инфраструктура, размещалась на выделенных доменах. По имеющимся данным, злоумышленник зарегистрировал более 144 доменных имён, каждое из которых использовалось для администрирования вредоносной платформы.
Please open Telegram to view this post
VIEW IN TELEGRAM
По моей информации, дополнительным (но важным) триггером для ускорения крайних мер в отношении WhatsApp стал недавний факт утечки дипломатических переговоров. Был сделан вывод: владельцы мессенджера не только закрывают глаза на его использование в противоправных целях, но и сами в этом активно участвуют.
Публично компания никак не отреагировала на заявление Роскомнадзора. Впрочем, когда полная блокировка WhatsApp случится, думаю, будет выпущен какой-то душеспасительный пресс-релиз в духе «мы не понимаем, что власти России от нас хотят» – исключительно, чтобы оправдаться перед пользователями из других стран.
— сообщается в Telegram-канале Антона Горелкина, первого заместителя председателя ИТ-комитета Госдумы, председателя правления РОЦИТ.
*Meta (соцсети Facebook, Instagram) запрещена в РФ как
Please open Telegram to view this post
VIEW IN TELEGRAM
🇰🇷Южнокорейский гигант электронной коммерции Coupang допустил масштабную 🚰 утечку персональных данных 33,7 миллиона пользователей
Как пишут Reuters и Nikkei, крупный e-commerce гигант Coupang допустил утечку данных 33,7 млн пользователей. Злоумышленник «злоупотребил уязвимостями аутентификации» и использовал активный ключ уволенного сотрудника для утечки информации через зарубежные серверы. Инцидент с проникновением в инфраструктуру оставался незамеченным службами безопасности компании в период с 24 июня по 18 ноября текущего года.
В массиве скомпрометированных данных оказались имена, адреса электронной почты, телефоны, адреса доставки и история заказов, однако платежные реквизиты и учетные данные для входа не пострадали. На фоне инцидента юристы готовят коллективный иск с требованием компенсации в размере более 100 000 вон или около $68 каждому пострадавшему пользователю платформы. О намерении присоединиться к иску заявили более 10 000 человек, и первичный объем претензий оценивается минимум в $680 000. Итоговая сумма финансовых потерь будет зависеть от количества истцов и результатов расследования регуляторов, которые проверяют компанию на предмет нарушения правил обеспечения безопасности персональной информации.
Регуляторы Южной Кореи уже инициировали проверку соблюдения протоколов кибербезопасности и предупреждают граждан о высоком риске целевых фишинговых атак.
Генеральный директор Пак Дэ Чжун принес публичные извинения за компрометацию.
✋ @Russian_OSINT
Как пишут Reuters и Nikkei, крупный e-commerce гигант Coupang допустил утечку данных 33,7 млн пользователей. Злоумышленник «злоупотребил уязвимостями аутентификации» и использовал активный ключ уволенного сотрудника для утечки информации через зарубежные серверы. Инцидент с проникновением в инфраструктуру оставался незамеченным службами безопасности компании в период с 24 июня по 18 ноября текущего года.
В массиве скомпрометированных данных оказались имена, адреса электронной почты, телефоны, адреса доставки и история заказов, однако платежные реквизиты и учетные данные для входа не пострадали. На фоне инцидента юристы готовят коллективный иск с требованием компенсации в размере более 100 000 вон или около $68 каждому пострадавшему пользователю платформы. О намерении присоединиться к иску заявили более 10 000 человек, и первичный объем претензий оценивается минимум в $680 000. Итоговая сумма финансовых потерь будет зависеть от количества истцов и результатов расследования регуляторов, которые проверяют компанию на предмет нарушения правил обеспечения безопасности персональной информации.
Регуляторы Южной Кореи уже инициировали проверку соблюдения протоколов кибербезопасности и предупреждают граждан о высоком риске целевых фишинговых атак.
Генеральный директор Пак Дэ Чжун принес публичные извинения за компрометацию.
Please open Telegram to view this post
VIEW IN TELEGRAM
Председатель Военного комитета НАТО адмирал Джузеппе Каво Драгоне заявил FT, что НАТО рассматривает возможность действовать «более агрессивно» в ответ на российские кибератаки.
«Мы изучаем все варианты... В киберпространстве мы действуем, скажем так, реактивно. Переход к более агрессивным или упреждающим действиям вместо реагирования постфактум — это то, над чем мы сейчас размышляем»
— заявил Драгоне.
Драгоне отметил, что «превентивный удар» может рассматриваться как «оборонительное действие», однако добавил, что такой подход «выходит за рамки обычного способа мышления или поведения» альянса НАТО.
Отдельно стоит отметить, что в руководстве НАТО и военных ведомствах стран-членов альянса (преимущественно Восточной Европы) также обсуждаются изменения подхода к кибероперациям с акцентом на стратегию «совместных наступательных киберопераций» (joint offensive cyber operations). Например, в качестве конкретных мер обсуждается создание специализированных ударных формирований, в частности, киберподразделения численностью 1500 человек, и нанесение цифровых ударов по критически важной инфраструктуре российского ВПК и логистики.
В рамках представленного плана по противодействию гибридным угрозам министр обороны Италии Гвидо Крозетто предложил:
«...сформировать специализированное киберподразделение численностью 1500 человек [для усиления ответных мер]».
«Союзникам необходимо проявлять большую инициативу в вопросах наступательных действий в киберпространстве (cyber offensive), [а также] сосредоточиться на повышении ситуационной осведомленности — объединении усилий и координации служб безопасности и разведки»
— Байба Браже, министр иностранных дел Латвии.
Ранее уже сообщалось, что в рамках стратегического курса на усиление конфронтации руководство НАТО создаёт Интегрированный центр киберобороны (NICC) со штаб-квартирой в Монсе (Бельгия), выход которого на полную оперативную готовность запланирован к 2028 году. «Боевой штаб» NICC в Монсе может стать ключевым координационным узлом для реализации новой концепции «активного сдерживания».
Please open Telegram to view this post
VIEW IN TELEGRAM