Агов, CTF-ери!
Зараз проходить кайфовий івент - фінали Першого Всеукраїнського Національного ЦТФ!
Мав радість підготувати коробку на перший день змагань 🥳
Оскільки ця коробка була "актуальною" тільки в перший день змагань, то вже можна ділитися.
Складність - середня (по hackthebox міркам, мабуть, ближче до легкої). Прапор отримується в 3-4 кроки, кожен з яких сам по собі не дуже складний.
Як завжди, вам знадобиться докер і вільний 5000 порт.
Радий що мої коробки приносять людям задоволення і баттхьорт. Вирішуйте, діліться враженнями, діліться коробкою з іншими, і оце от усе 🙂
https://github.com/Morronel/evilcorp_support
Зараз проходить кайфовий івент - фінали Першого Всеукраїнського Національного ЦТФ!
Мав радість підготувати коробку на перший день змагань 🥳
Оскільки ця коробка була "актуальною" тільки в перший день змагань, то вже можна ділитися.
Складність - середня (по hackthebox міркам, мабуть, ближче до легкої). Прапор отримується в 3-4 кроки, кожен з яких сам по собі не дуже складний.
Як завжди, вам знадобиться докер і вільний 5000 порт.
Радий що мої коробки приносять людям задоволення і баттхьорт. Вирішуйте, діліться враженнями, діліться коробкою з іншими, і оце от усе 🙂
https://github.com/Morronel/evilcorp_support
GitHub
GitHub - Morronel/evilcorp_support: Web based CTF, crafted for the finals of the first Ukrainian national CTF
Web based CTF, crafted for the finals of the first Ukrainian national CTF - Morronel/evilcorp_support
🔥19❤4👍1💯1
Forwarded from UAppSec
https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-weekly-downloads-in-supply-chain-attack/
Якщо коротко, то:
1. Хто відповідально вів DependecyTrack, той молодець
2. Хто мав комерційний SCA, той багатий молодець
3. Хто не займався SCA в 2025 - той на цей інцидент заслужив
Йдіть і перевіряйте наявність депенденсєй:
The packages hijacked so far collectively have over 2.6 billion downloads every week:
👉 backslash (0.26m downloads per week)
👉 chalk-template (3.9m downloads per week)
👉 supports-hyperlinks (19.2m downloads per week)
👉 has-ansi (12.1m downloads per week)
👉 simple-swizzle (26.26m downloads per week)
👉 color-string (27.48m downloads per week)
👉 error-ex (47.17m downloads per week)
👉 color-name (191.71m downloads per week)
👉 is-arrayish (73.8m downloads per week)
👉 slice-ansi (59.8m downloads per week)
👉 color-convert (193.5m downloads per week)
👉 wrap-ansi (197.99m downloads per week)
👉 ansi-regex (243.64m downloads per week)
👉 supports-color (287.1m downloads per week)
👉 strip-ansi (261.17m downloads per week)
👉 chalk (299.99m downloads per week)
👉 debug (357.6m downloads per week)
👉 ansi-styles (371.41m downloads per week)
Якщо коротко, то:
1. Хто відповідально вів DependecyTrack, той молодець
2. Хто мав комерційний SCA, той багатий молодець
3. Хто не займався SCA в 2025 - той на цей інцидент заслужив
Йдіть і перевіряйте наявність депенденсєй:
The packages hijacked so far collectively have over 2.6 billion downloads every week:
👉 backslash (0.26m downloads per week)
👉 chalk-template (3.9m downloads per week)
👉 supports-hyperlinks (19.2m downloads per week)
👉 has-ansi (12.1m downloads per week)
👉 simple-swizzle (26.26m downloads per week)
👉 color-string (27.48m downloads per week)
👉 error-ex (47.17m downloads per week)
👉 color-name (191.71m downloads per week)
👉 is-arrayish (73.8m downloads per week)
👉 slice-ansi (59.8m downloads per week)
👉 color-convert (193.5m downloads per week)
👉 wrap-ansi (197.99m downloads per week)
👉 ansi-regex (243.64m downloads per week)
👉 supports-color (287.1m downloads per week)
👉 strip-ansi (261.17m downloads per week)
👉 chalk (299.99m downloads per week)
👉 debug (357.6m downloads per week)
👉 ansi-styles (371.41m downloads per week)
BleepingComputer
Hackers hijack npm packages with 2 billion weekly downloads in supply chain attack
In a supply chain attack, attackers injected malware into NPM packages with over 2.6 billion weekly downloads after compromising a maintainer's account in a phishing attack.
Forwarded from UAppSec
Update: The author has been notified and is actively working with the NPM security team to resolve the issue. The malicious code has already been removed from most of the affected packages, and the situation is being remediated.
However, it is crucial to audit your projects, as compromised versions may still be present in your dependencies or lockfiles.
Summary:
What happened? A supply chain attack compromised the NPM account of developer
What was the impact? The combined weekly downloads of the affected packages exceed one billion, posing a significant threat to the JavaScript ecosystem.
What does the malware do? The payload is a crypto-clipper that steals funds by swapping wallet addresses in network requests and directly hijacking crypto transactions.
How to protect yourself: Immediately audit your project's dependencies. Pin all affected packages to their last known-safe versions using the
https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
However, it is crucial to audit your projects, as compromised versions may still be present in your dependencies or lockfiles.
Summary:
What happened? A supply chain attack compromised the NPM account of developer
qix, leading to malicious versions of dozens of high-impact packages being published.What was the impact? The combined weekly downloads of the affected packages exceed one billion, posing a significant threat to the JavaScript ecosystem.
What does the malware do? The payload is a crypto-clipper that steals funds by swapping wallet addresses in network requests and directly hijacking crypto transactions.
How to protect yourself: Immediately audit your project's dependencies. Pin all affected packages to their last known-safe versions using the
overrides feature in package.json.https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
Substack
Anatomy of a Billion-Download NPM Supply-Chain Attack
A massive NPM supply chain attack has compromised foundational packages like Chalk, affecting over 1 billion weekly downloads. We dissect the crypto-stealing malware and show you how to protect your projects immediately.
Forwarded from vx-underground
> do largest supply chain attack in history
> potentially infect millions of apps
> doesnt do the thing good
> makes $0 from compromise
I don't wanna support the villain here, but my guy, you gotta lock in. You could have infected hundreds of millions of apps and you FUMBLE IT
> potentially infect millions of apps
> doesnt do the thing good
> makes $0 from compromise
I don't wanna support the villain here, but my guy, you gotta lock in. You could have infected hundreds of millions of apps and you FUMBLE IT
😁4
Forwarded from vx-underground
vx-underground
> do largest supply chain attack in history > potentially infect millions of apps > doesnt do the thing good > makes $0 from compromise I don't wanna support the villain here, but my guy, you gotta lock in. You could have infected hundreds of millions of…
Look... If you had... one shot... or one opportunity...
To seize everything you ever wanted... one moment...
Would you capture it? Or just let it slip?
...
*slips*
To seize everything you ever wanted... one moment...
Would you capture it? Or just let it slip?
...
*slips*
😁9
Forwarded from vx-underground
BREAKING
LARGEST SUPPLY CHAIN ATTACK IN HISTORY PULLS OFF MASSIVE CRYPTO HEIST
ATTACKS STEAL $20.05 OF ETH. ENTIRE WORLD CRUMBLING
LARGEST SUPPLY CHAIN ATTACK IN HISTORY PULLS OFF MASSIVE CRYPTO HEIST
ATTACKS STEAL $20.05 OF ETH. ENTIRE WORLD CRUMBLING
❤8😁1
Щось відбувається з npm. Чи не відбувається. Так і не зрозумів, але пора йти вже спати 😁
👍9❤3
Forwarded from DC8044 F33d
Наші друзі із Molfar Intelligence Institute запрошують на конференцію та турнір з OSINT в рамках закритої конференції KITE.
Змагання відбудеться 23 вересня з 10:30 до 14:30 в офлайн-форматі.
Учасників поділять на команди та роздадуть завдання, які готує Molfar Intelligence Institute разом з НКЦК РНБО та СБУ.
Ментори зі спільнот Кіберборошно, OSINT Flow, OSINT Varta, а також Geoguessr-гравець CleyRey допомагатимуть учасникам, пояснюватимуть складні моменти й ділитимуться лайфхаками.
Турнір триватиме 4 години. Переможців оголосять наприкінці конференції та нагородять призами від спонсорів.
Кількість місць обмежена — максимум 100 учасників, які пройдуть відбір.
В цілому буде цікавий двіж де можна знайти нових друзів, набратись знань.
Без ноутів не приходити!!!
Реєструйтеся за посиланням: https://molf.ar/4p8rPWu
Змагання відбудеться 23 вересня з 10:30 до 14:30 в офлайн-форматі.
Учасників поділять на команди та роздадуть завдання, які готує Molfar Intelligence Institute разом з НКЦК РНБО та СБУ.
Ментори зі спільнот Кіберборошно, OSINT Flow, OSINT Varta, а також Geoguessr-гравець CleyRey допомагатимуть учасникам, пояснюватимуть складні моменти й ділитимуться лайфхаками.
Турнір триватиме 4 години. Переможців оголосять наприкінці конференції та нагородять призами від спонсорів.
Кількість місць обмежена — максимум 100 учасників, які пройдуть відбір.
В цілому буде цікавий двіж де можна знайти нових друзів, набратись знань.
Без ноутів не приходити!!!
Реєструйтеся за посиланням: https://molf.ar/4p8rPWu
🔥3❤1
Привіт-привіт!
Сьогодні святкую свій черговий день народження 🥳
Ще один рік. Ще більше сіньйоріті. Ще більше підписників, ще більше баунті. Ще більше нових знайомих.
Одне з моїх найбільших бажань в цей день - щоб війна як можна швидше закінчилась, на умовах справедливого миру. Як показує практика, найкраще в цьому плані допомагає не кібер-шмібер, а дрон в пику окупанта, чи товстий дрон в якийсь нпз.
Як добре, що мої колеги з київського дефкону якраз роблять такі літачки, і всякі приблуди для них 🙂
Якщо ви, раптом, не знали як мене привітати, але вам дуже хотілося, то пропоную разом зібрати в дружню банку літачкам трохи гривень 😉
Посилання на дружню банку:
https://send.monobank.ua/jar/Af2dTJmMAv
Подивимось, як сильно прокачалось наше маленьке суб-ком'юніті за цей рік. Хай щастить 🙂
Сьогодні святкую свій черговий день народження 🥳
Ще один рік. Ще більше сіньйоріті. Ще більше підписників, ще більше баунті. Ще більше нових знайомих.
Одне з моїх найбільших бажань в цей день - щоб війна як можна швидше закінчилась, на умовах справедливого миру. Як показує практика, найкраще в цьому плані допомагає не кібер-шмібер, а дрон в пику окупанта, чи товстий дрон в якийсь нпз.
Як добре, що мої колеги з київського дефкону якраз роблять такі літачки, і всякі приблуди для них 🙂
Якщо ви, раптом, не знали як мене привітати, але вам дуже хотілося, то пропоную разом зібрати в дружню банку літачкам трохи гривень 😉
Посилання на дружню банку:
https://send.monobank.ua/jar/Af2dTJmMAv
Подивимось, як сильно прокачалось наше маленьке суб-ком'юніті за цей рік. Хай щастить 🙂
🎉47🍾5❤4👻1
Forwarded from #bugbountytips
Nuclei AI Prompts enables security researchers to quickly generate Nuclei templates using AI. Instead of manually writing YAML templates for vulnerabilities, you simply provide a denoscription, and a fully structured template ready for use with Nuclei is generated automatically.
To get started with Nuclei AI Prompts, first obtain an API token from ProjectDiscovery. Then, run Nuclei with the
Example usage:
⚠️ Template generation is limited to 100 templates per day.
https://youtu.be/s7R8KAG8SeA
#bugbountytips
To get started with Nuclei AI Prompts, first obtain an API token from ProjectDiscovery. Then, run Nuclei with the
-auth flag and add your token. Example usage:
nuclei -auth
nuclei -list targets.txt -ai "Extract page noscript, detect tech and versions"
⚠️ Template generation is limited to 100 templates per day.
https://youtu.be/s7R8KAG8SeA
#bugbountytips
YouTube
Nuclei -ai is here!
We are introducing a new way to leverage AI within Nuclei—directly from the command line. With the new -ai flag in Nuclei CLI, users can execute quick, AI-powered detections on the fly without needing predefined templates.
Documentation:
https://docs.pr…
Documentation:
https://docs.pr…
🔥8👍2
Потицяв я цей ваш Caido. І в мене маса приємних вражень!
Для тих, хто ще не знає що це - Caido це прокся для веб пентесту. Конкурент burp suite, ще один "швейцарський ніж для веб пентесту", який дозволяє перехоплювати, модифікувати, і автоматизовувати HTTP реквести заточений під пошук вразливостей в вебі.
Почну з мінусів. Сканер послабше, плагінів поменше, деяких фіч немає.
Наприклад, не вистачає колаборатора. Відповідно без нього і сканер OOB не шукає, і рулів поменше, і немає деяких прикольних фіч типу "автогенератора CSRF пейлоада" чи "симуляції мануального тестування".
Але, якщо бути відвертим, то дуже багато плагінів до бурпа глючних, а сканер все одно ніколи не тягне на собі проект. Та і в будь-якому випадку, купою функціоналу в бурпі ми, реалістично, не користуємось. Я щось не пригадаю, щоб мені реально той самий burp sequencer реально приніс баг, чи сильно якось впливав на моє життя. А той самий колаборатор без проблем заміняється interact sh.
Тепер про плюси.
Весь ключовий функціонал на місці! Репітер, інтрудер, проксі хісторі, матч&реплейс, сканер, і так далі. Вплоть до того, що навіть парам майнер і авторайз місцевого розливу вже завезли.
Написано це щастя на раст, і воно сильно легше по оперативі ніж легасі бурп на джаві.
Працює, наче, стабільно, не крашиться (на відміну від овасп зап), і інтерфейс абсолютно людяний (на відміну від овасп зап).
Обіцяють що легко доводиться напильником за допомогою плагінів і воркфлоу, навіть кажуть що плагіни легко пишуться на html-css-js, і взагалі все що хочеш можна кастомізувати, але я не перевіряв.
І саме приємне в цьому всьому - цінова політика, і пейвол.
Ніякого більше повільного інтрудера, життя взагалі без сканера, і неможливості зберігати проекти! Безкоштовна версія, нарешті, дає весь реально необхідний функціонал щоб почати нормально щось там робити.
Для тих, хто не в курсі - безкоштовна версія бурпа НІЯК не підходить для реальних проектів, тому що у вас немає ніякої можливості зберегти стан проекту. При всьому бажанні, реальний проект це тижні, і обнуляти збережену проксі хісторі і вкладки репітера кожен раз, це неможливо сповільнює будь-яку реальну роботу.
Тут нам дають можливість нахаляву зберігати два різних проекта. Це не густо, але з цим вже якось можна працювати. Ще й нормальний інтрудер, і сканер в довісок.
Платна версія балує цінами - 20$ за місяць, 200$ на рік, що в два рази дешевше ніж бурп, який не дозволяє помісячно оплачувати взагалі. Можна дарувати гіфтом.
Моя думка наступна: якщо компанія оплачує вам бурп і сильний ноут, то мабуть все-таки краще бурп і сильний ноут. Але для новачків, для людей в яких веб пентест це хоббі (чи просто не так часто проекти по ньому), для людей зі слабкими компами, і для людей які рахують гроші і не хочуть обирати між 500$ і піраткою вдома, я думаю що це прям лютий топ.
Нарешті новачку можна дати посилання на офіційний софт, замість того щоб пояснювати що крякнуту версію краще ганяти в віртуалці (бо 500$ за бурп в них все одно зазвичай немає, а попрактикуватись хочеться).
Я ще не розібрався, як працює кастомізація, але якщо вона виявиться реально настільки крутою як в рекламному буклеті - можливо це навіть дійсно буде мати сенс незалежно від ціни і потужності залізяки.
В будь-якому випадку, раджу зацінити, штука сама по собі крута, і фрі тір там дуже класний.
https://caido.io/
Для тих, хто ще не знає що це - Caido це прокся для веб пентесту. Конкурент burp suite, ще один "швейцарський ніж для веб пентесту", який дозволяє перехоплювати, модифікувати, і автоматизовувати HTTP реквести заточений під пошук вразливостей в вебі.
Почну з мінусів. Сканер послабше, плагінів поменше, деяких фіч немає.
Наприклад, не вистачає колаборатора. Відповідно без нього і сканер OOB не шукає, і рулів поменше, і немає деяких прикольних фіч типу "автогенератора CSRF пейлоада" чи "симуляції мануального тестування".
Але, якщо бути відвертим, то дуже багато плагінів до бурпа глючних, а сканер все одно ніколи не тягне на собі проект. Та і в будь-якому випадку, купою функціоналу в бурпі ми, реалістично, не користуємось. Я щось не пригадаю, щоб мені реально той самий burp sequencer реально приніс баг, чи сильно якось впливав на моє життя. А той самий колаборатор без проблем заміняється interact sh.
Тепер про плюси.
Весь ключовий функціонал на місці! Репітер, інтрудер, проксі хісторі, матч&реплейс, сканер, і так далі. Вплоть до того, що навіть парам майнер і авторайз місцевого розливу вже завезли.
Написано це щастя на раст, і воно сильно легше по оперативі ніж легасі бурп на джаві.
Працює, наче, стабільно, не крашиться (на відміну від овасп зап), і інтерфейс абсолютно людяний (на відміну від овасп зап).
Обіцяють що легко доводиться напильником за допомогою плагінів і воркфлоу, навіть кажуть що плагіни легко пишуться на html-css-js, і взагалі все що хочеш можна кастомізувати, але я не перевіряв.
І саме приємне в цьому всьому - цінова політика, і пейвол.
Ніякого більше повільного інтрудера, життя взагалі без сканера, і неможливості зберігати проекти! Безкоштовна версія, нарешті, дає весь реально необхідний функціонал щоб почати нормально щось там робити.
Для тих, хто не в курсі - безкоштовна версія бурпа НІЯК не підходить для реальних проектів, тому що у вас немає ніякої можливості зберегти стан проекту. При всьому бажанні, реальний проект це тижні, і обнуляти збережену проксі хісторі і вкладки репітера кожен раз, це неможливо сповільнює будь-яку реальну роботу.
Тут нам дають можливість нахаляву зберігати два різних проекта. Це не густо, але з цим вже якось можна працювати. Ще й нормальний інтрудер, і сканер в довісок.
Платна версія балує цінами - 20$ за місяць, 200$ на рік, що в два рази дешевше ніж бурп, який не дозволяє помісячно оплачувати взагалі. Можна дарувати гіфтом.
Моя думка наступна: якщо компанія оплачує вам бурп і сильний ноут, то мабуть все-таки краще бурп і сильний ноут. Але для новачків, для людей в яких веб пентест це хоббі (чи просто не так часто проекти по ньому), для людей зі слабкими компами, і для людей які рахують гроші і не хочуть обирати між 500$ і піраткою вдома, я думаю що це прям лютий топ.
Нарешті новачку можна дати посилання на офіційний софт, замість того щоб пояснювати що крякнуту версію краще ганяти в віртуалці (бо 500$ за бурп в них все одно зазвичай немає, а попрактикуватись хочеться).
Я ще не розібрався, як працює кастомізація, але якщо вона виявиться реально настільки крутою як в рекламному буклеті - можливо це навіть дійсно буде мати сенс незалежно від ціни і потужності залізяки.
В будь-якому випадку, раджу зацінити, штука сама по собі крута, і фрі тір там дуже класний.
https://caido.io/
Caido
Caido aims to help security professionals and enthusiasts audit web applications with efficiency and ease.
❤27👍16
Forwarded from Cat Eyes OSINT
Російська «профілактика» як інструмент русифікації української молоді.
Після публікації від ГУР - дійшли руки, щоб дописати розбір "методички перепрошивки" дітей та молоді на ТОТ.
Тому переходьте на сайт за посиланням та читайте https://cateyesosint.com/post/62.
Репост та комент — "+" в карму :D
Автори: команда Cat Eyes OSINT (Євген та Vlad Derykit)
P.S.: ми не журналісти та писати красиво не вміємо, якщо шо - вибачайте, в нас лапки😺
Після публікації від ГУР - дійшли руки, щоб дописати розбір "методички перепрошивки" дітей та молоді на ТОТ.
Тому переходьте на сайт за посиланням та читайте https://cateyesosint.com/post/62.
Репост та комент — "+" в карму :D
Автори: команда Cat Eyes OSINT (Євген та Vlad Derykit)
P.S.: ми не журналісти та писати красиво не вміємо, якщо шо - вибачайте, в нас лапки😺
❤7🤡3😨3🤣1
Forwarded from RMRF Official Channel 🇺🇦
Ми рідко освітлюємо наші операції. Робота любить тишу. Але ця операція інша. Вона планувалася і починалася разом із нашим братом, ARES.
Він віддав цій задачі все. Він не встиг побачити її фінал. Тому цей звіт присвята йому. І це крапка в його останній справі.
Ми, RMRF, разом із нашими новими партнерами та друзями Аналітичним кіберцентром Fenix завершили те, що він почав.
Об'єкт: Стратегічне підприємство «ОКБМ» (Воронеж). Серце, що мало качати кров для нових Су-57, ПАК ДА та Ту-160. Вони робили компоненти для зброї, що вбиває українців. Робили. У минулому часі.
Ми не просто «зайшли в гості».
1. Ми витягли все. Повний дамп їхніх серверів, креслення, контракти, наукові розробки та все внутрішнє листування. Всі дані вже у Fenix та у відповідних структурах Сил Оборони.
2. Ми «оптимізували» їхні системи. Після нашого візиту вся їхня внутрішня інфраструктура, всі резервні копії та робочі станції отримали оновлення, яке гарантує: ці дані для них втрачені. Безповоротно.
Це не просто злам. Це - акт війни. Росіяни це - терористи. Кожен день вони вбивають наших воїнів та цивільних. Ми б'ємося за своє життя, і ми будемо використовувати для цього всі методи.
Тепер у ФСБ та керівництва «ОКБМ» почнеться дуже цікавий період. Їм доведеться пояснювати, як ціле стратегічне підприємство було стерте з цифрової карти. Їм доведеться шукати винних серед усього свого IT-департаменту та керівного складу. Їхня власна система пожере себе зсередини.
Ми завжди поруч.
Ares, брате. Ти почав. Ми закінчили. Rest in power.
Він віддав цій задачі все. Він не встиг побачити її фінал. Тому цей звіт присвята йому. І це крапка в його останній справі.
Ми, RMRF, разом із нашими новими партнерами та друзями Аналітичним кіберцентром Fenix завершили те, що він почав.
Об'єкт: Стратегічне підприємство «ОКБМ» (Воронеж). Серце, що мало качати кров для нових Су-57, ПАК ДА та Ту-160. Вони робили компоненти для зброї, що вбиває українців. Робили. У минулому часі.
Ми не просто «зайшли в гості».
1. Ми витягли все. Повний дамп їхніх серверів, креслення, контракти, наукові розробки та все внутрішнє листування. Всі дані вже у Fenix та у відповідних структурах Сил Оборони.
2. Ми «оптимізували» їхні системи. Після нашого візиту вся їхня внутрішня інфраструктура, всі резервні копії та робочі станції отримали оновлення, яке гарантує: ці дані для них втрачені. Безповоротно.
Це не просто злам. Це - акт війни. Росіяни це - терористи. Кожен день вони вбивають наших воїнів та цивільних. Ми б'ємося за своє життя, і ми будемо використовувати для цього всі методи.
Тепер у ФСБ та керівництва «ОКБМ» почнеться дуже цікавий період. Їм доведеться пояснювати, як ціле стратегічне підприємство було стерте з цифрової карти. Їм доведеться шукати винних серед усього свого IT-департаменту та керівного складу. Їхня власна система пожере себе зсередини.
Ми завжди поруч.
Ares, брате. Ти почав. Ми закінчили. Rest in power.
💔43❤19🫡4👏1