#news По системе сборки NX прошлась атака на цепочку поставок. Вредоносные пакеты опубликовали на npm 26 августа, в них был код под стягивание данных доступа от разных платформ.
В пакетах был скрипт, который после установки сканировал систему, собирал данные, кодировал пару раз в base64 и скидывал в публичный репозиторий под юзерским аккаунтом. GitHub начал их архивировать, но репы провисели 8 часов, так что стоит исходить из того, что стянутые секреты были скомпрометированы, и менять токены. Всего затронуты 2,349 секретов, большинство — GitHub OAuth. Ну а с учётом base64 данные в публичных репах оказались совсем-совсем публичные — токены свободные, берите, кто хотите. Между тем 90% гитхабных всё ещё активны, а также десятки облачных и npm’ных. Так что реакция, как всегда, запаздывает. Ладно хоть сейчас не вечер пятницы.
@tomhunter
В пакетах был скрипт, который после установки сканировал систему, собирал данные, кодировал пару раз в base64 и скидывал в публичный репозиторий под юзерским аккаунтом. GitHub начал их архивировать, но репы провисели 8 часов, так что стоит исходить из того, что стянутые секреты были скомпрометированы, и менять токены. Всего затронуты 2,349 секретов, большинство — GitHub OAuth. Ну а с учётом base64 данные в публичных репах оказались совсем-совсем публичные — токены свободные, берите, кто хотите. Между тем 90% гитхабных всё ещё активны, а также десятки облачных и npm’ных. Так что реакция, как всегда, запаздывает. Ладно хоть сейчас не вечер пятницы.
@tomhunter
👍4🔥3
#news Новости борьбы за свободу интернета, которые мы заслужили. 4chan и Kiwi Farms судятся с Великобританией из-за свежего закона о верификации возраста. Дело пошло в федеральный суд США.
Ответчик по делу — британский Ofcom, регулирующий теле- и радио-компании. Согласно заявлению, угрозы и штрафы, полученные от агентства, идут против свободы слова. Оба известных в узких и не очень кругах сайта базируются в Штатах, но британскийобком офком активно наезжает на них за отсутствие верификации: так, 4chan’у выписывают штраф в 20 тысяч фунтов в день, фермам грозят тем же. А американские граждане, как известно, свои конституционные права не сдают. В общем, Форчонг с Кивифермами борются за приватность против британских госцензоров. Такой вот проклятый таймлайн.
@tomhunter
Ответчик по делу — британский Ofcom, регулирующий теле- и радио-компании. Согласно заявлению, угрозы и штрафы, полученные от агентства, идут против свободы слова. Оба известных в узких и не очень кругах сайта базируются в Штатах, но британский
@tomhunter
😁8❤3👍1
#news Летом соцсети и прочие платформы начала затапливать реклама фейковых казино и онлайн-игр с криптоскамом. Сайтов сотни, кампания масштабная. А теперь нашёлся и источник. И он русскоязычный.
Панель висит в верхнем интернете, хвастается мгновенными выплатами на $500,000 ежемесячно и 20,000+ аффилиатов. Всё это с пачкой каналов в Telegram и всем сопутствующим. Что называется, совсем страх потеряли. Отдельно на Гитбуке лежит детальная документация на зависть джуну-техпису по работе с панелью и разгону сайтов от создания до ответов в техподдержке. Сам скам предельно простенький: закиньте депозит, чтобы вывести выигрыш. Но размах — моё почтение. Для рекламы также используют известных медиаперсон и промокоды. Так что время напомнить своим юным друзьям на каникулах и просто слабоумным в отпуске, что никакой мистер бист и прочие инфернальные сетевые сущности не хотят подарить им тысячу-другую баксов.
@tomhunter
Панель висит в верхнем интернете, хвастается мгновенными выплатами на $500,000 ежемесячно и 20,000+ аффилиатов. Всё это с пачкой каналов в Telegram и всем сопутствующим. Что называется, совсем страх потеряли. Отдельно на Гитбуке лежит детальная документация на зависть джуну-техпису по работе с панелью и разгону сайтов от создания до ответов в техподдержке. Сам скам предельно простенький: закиньте депозит, чтобы вывести выигрыш. Но размах — моё почтение. Для рекламы также используют известных медиаперсон и промокоды. Так что время напомнить своим юным друзьям на каникулах и просто слабоумным в отпуске, что никакой мистер бист и прочие инфернальные сетевые сущности не хотят подарить им тысячу-другую баксов.
@tomhunter
😁12👍1🔥1🤯1🤬1
#news Antropic выкатила расширение для Chrome со встроенным Claude. Пока только для избранных, и с нетерпением ждущих новую ИИ-игрушку в браузер стоит оценить уязвимость к инъекциям промптов. 123 кейса, 29 сценариев, 23,6% успешных атак.
Antropic добавилакостыли слои защиты в виде юзерского контроля за доступом к сайтам, подтверждением передачи данных и чёрного списка потенциально вредоносных сайтов. В итоге успешность атак в автономном режиме снизилась до 11,2%. Так что риски использования ИИ-новинок, мягко говоря, высоковаты. С Perplexity Comet та же история — сценарии атак элементарные. В сухом остатке в 2026-м можно ждать новую поверхность атаки формата LLM-in-Browser с оригинальными тулкитами от затейников вроде mr.d0x. И спешить оптимизировать всё подручное спущенными с поводка ИИ-агентами явно не стоит.
@tomhunter
Antropic добавила
@tomhunter
👍5💯2❤1
#news Microsoft сообщила, что связи между свежим обновлением и отваливающимися жёсткими дисками не нашли. Проблему воспроизвести не смогли, фидбэк от пользователей запросили, но пришли к выводу, что дело не в апдейте.
О том, что жёсткие диски начали отваливаться после обновления Windows 11, заявил пару недель назад юзер из Японии. Другие тоже якобы столкнулись с проблемой на многих моделях, но массовых репортов нет — только отдельные кейсы. Phison также утверждает, что воспроизвести проблему не удалось, и сослалась на возможный фейк для порчи репутации компании — корпоративная классика. В сухом остатке воспроизводимого бага вроде как нет, десятков тысяч дохлых SSD тоже. Так что можно немного расслабиться и оставить многомиллиардные корпорации в покое. Будут ли новые эпизоды в этой детективной истории, пока неясно.
@tomhunter
О том, что жёсткие диски начали отваливаться после обновления Windows 11, заявил пару недель назад юзер из Японии. Другие тоже якобы столкнулись с проблемой на многих моделях, но массовых репортов нет — только отдельные кейсы. Phison также утверждает, что воспроизвести проблему не удалось, и сослалась на возможный фейк для порчи репутации компании — корпоративная классика. В сухом остатке воспроизводимого бага вроде как нет, десятков тысяч дохлых SSD тоже. Так что можно немного расслабиться и оставить многомиллиардные корпорации в покое. Будут ли новые эпизоды в этой детективной истории, пока неясно.
@tomhunter
🔥5🤡3😁2🤔2👍1
#cve Время для нашей ежемесячной подборки ключевых CVE. В августе десяточкой по CVSS отметилась, конечно же, Cisco — в аутентификации через RADIUS в Secure FMC забыли санитизировать пользовательский ввод.
В NetScaler ADC и NetScaler Gateway критический нулевой день под RCE через переполнение памяти. Помимо этого, две критических CVE под произвольный код были исправлены в продуктах от Microsoft. В WinRAR закрыли уязвимость на обход пути, активно эксплуатируемую в атаках. Также критическими CVE отметились Trend Micro Apex One, Docker Desktop и FortiWeb. Об этом и других интересных уязвимостях последнего летнего месяца читайте на Хабре!
@tomhunter
В NetScaler ADC и NetScaler Gateway критический нулевой день под RCE через переполнение памяти. Помимо этого, две критических CVE под произвольный код были исправлены в продуктах от Microsoft. В WinRAR закрыли уязвимость на обход пути, активно эксплуатируемую в атаках. Также критическими CVE отметились Trend Micro Apex One, Docker Desktop и FortiWeb. Об этом и других интересных уязвимостях последнего летнего месяца читайте на Хабре!
@tomhunter
👍6❤1🎉1
#news В мире рансомвари наметилась децентрализация: за прошедший год появился 41 новый бренд, и на пике в феврале MalwareBytes отслеживала 60 активных группировок — своеобразный рекорд.
К этому привели операции против Hive, Alphv и LockBit — в отсутствии арестов злоумышленники просто разбегаются под новые бренды. Работать на известные стало опасно, слитых билдеров полно, у старичков ощутимая паранойя — идеальные условия для перехода на вольные хлеба. Иными словами, на рансомварь-сцене всё как у взрослых дядь: вынеси один крупный бренд — он рассыпется на десяток мелких. Устрой слив внутренней кухни, и в группировках будут годами трястись, подозревая в каждом новом члене федерала. Не хватает только спровоцированных гастролёрами из трёхбуквенных агентств войн группировок, и будет полноценная экосистема на самоподдуве аля мексиканские картели. Так что рансомварь в киберпространстве — суть то же, что и картели в наркоторговле. Так и живём.
@tomhunter
К этому привели операции против Hive, Alphv и LockBit — в отсутствии арестов злоумышленники просто разбегаются под новые бренды. Работать на известные стало опасно, слитых билдеров полно, у старичков ощутимая паранойя — идеальные условия для перехода на вольные хлеба. Иными словами, на рансомварь-сцене всё как у взрослых дядь: вынеси один крупный бренд — он рассыпется на десяток мелких. Устрой слив внутренней кухни, и в группировках будут годами трястись, подозревая в каждом новом члене федерала. Не хватает только спровоцированных гастролёрами из трёхбуквенных агентств войн группировок, и будет полноценная экосистема на самоподдуве аля мексиканские картели. Так что рансомварь в киберпространстве — суть то же, что и картели в наркоторговле. Так и живём.
@tomhunter
👍6💯3🤡2❤1
#news Августовская кража auth-токенов у Salesloft, разраба корпоративного чат-бота, растёт и ширится. Google предупредила, что вместе с данными c Salesforce стянули токены сотен других интегрированных сервисов.
Salesloft раскрыла взлом 20 августа — были скомпрометированы токены от их чат-бота Drift, затронуты больше 700 компаний. А теперь выяснилось, что утекло и интегрированное с Salesloft — токены от Slack, Azure, Amazon S3, Google Workspace и далее по списку. Ответственность за взлом на себя взяли ShinyHunters в коллабе с Scattered Spider и Lapsus$. За цирком в их TG-канале наблюдают уже 40к спецагентов, исследователей и прочих зевак, но кто видел одно малолетнее дарование от сайберкрайма, видел их всех. “Мы не кибертеррористы, мы кибербоги” — вот это вот всё. От угроз в адрес Google детишки перешли на угрозы ФБР и явно решили устроить спидран до списка особо разыскиваемых, экстрадиции и посадки. Быть неуязвимым богом хакинга в 19, конечно, весело. Но только пока в дверь не постучали.
@tomhunter
Salesloft раскрыла взлом 20 августа — были скомпрометированы токены от их чат-бота Drift, затронуты больше 700 компаний. А теперь выяснилось, что утекло и интегрированное с Salesloft — токены от Slack, Azure, Amazon S3, Google Workspace и далее по списку. Ответственность за взлом на себя взяли ShinyHunters в коллабе с Scattered Spider и Lapsus$. За цирком в их TG-канале наблюдают уже 40к спецагентов, исследователей и прочих зевак, но кто видел одно малолетнее дарование от сайберкрайма, видел их всех. “Мы не кибертеррористы, мы кибербоги” — вот это вот всё. От угроз в адрес Google детишки перешли на угрозы ФБР и явно решили устроить спидран до списка особо разыскиваемых, экстрадиции и посадки. Быть неуязвимым богом хакинга в 19, конечно, весело. Но только пока в дверь не постучали.
@tomhunter
😁6💯5🤡1
#news Команда Cisco Talos нашла в сети ~1100 уязвимых инстансов Ollama — фреймворка для локального развёртывания LLM’ок. Всё это, как водится, дело пяти минут сканом через Shodan.
Публично доступный сервер Ollama — вещь в киберпреступном быту полезная. Это и стук по API, и отправка запросов к модели, а также джейлбрейк, внедрение бэкдоров и вредоносных моделей — вплоть до маппинга инфры и бокового перемещения. Из найденных инстансов активны только 20%, но атаки по оставшимся 80% без запущенных моделей никто не отменял. В общем, интеграция LLM’ок во все доступные процессы есть, а базовой ИБ при их развёртывании так и нет. Осталось отравить уязвимую модельку чем-нибудь этаким и удовлетворённо наблюдать за паникой в бухгалтерии, заставшей внеочередное восстание машин.
@tomhunter
Публично доступный сервер Ollama — вещь в киберпреступном быту полезная. Это и стук по API, и отправка запросов к модели, а также джейлбрейк, внедрение бэкдоров и вредоносных моделей — вплоть до маппинга инфры и бокового перемещения. Из найденных инстансов активны только 20%, но атаки по оставшимся 80% без запущенных моделей никто не отменял. В общем, интеграция LLM’ок во все доступные процессы есть, а базовой ИБ при их развёртывании так и нет. Осталось отравить уязвимую модельку чем-нибудь этаким и удовлетворённо наблюдать за паникой в бухгалтерии, заставшей внеочередное восстание машин.
@tomhunter
😁13👍2🤡2💯1
#news Рансомварь-атака с сюжетным поворотом: злоумышленники взломали платформу Artists&Clients для художников. И вместе с привычными требованиями угрожают слить все работы с сайта ИИ-компаниям для датасетов.
Artists&Clients — не очень популярная платформа для фриланса в формате комишн-заказов за мелкий прайс. Её взломал очередной однодневный бренд, название которого можно не запоминать, и требует 50к долларов в крипте, чтобы не сливать данные. Здесь всё стандартно. Но угроза отправить базу арта ИИ-разработчикам для обучения моделей — это, конечно, в самое яблочко. Мало кто трясётся от одного упоминания LLM’ок так, как разного рода рисоваки, за которыми ИИ пришёл первым. Сайт Artists&Clients отключили, видимо, просто чтобы перепуганные клиенты не разорвали их на части требованиями немедленно выплатить выкуп. Так что у нас пример хорошей годной социнженерии на злобу дня.
@tomhunter
Artists&Clients — не очень популярная платформа для фриланса в формате комишн-заказов за мелкий прайс. Её взломал очередной однодневный бренд, название которого можно не запоминать, и требует 50к долларов в крипте, чтобы не сливать данные. Здесь всё стандартно. Но угроза отправить базу арта ИИ-разработчикам для обучения моделей — это, конечно, в самое яблочко. Мало кто трясётся от одного упоминания LLM’ок так, как разного рода рисоваки, за которыми ИИ пришёл первым. Сайт Artists&Clients отключили, видимо, просто чтобы перепуганные клиенты не разорвали их на части требованиями немедленно выплатить выкуп. Так что у нас пример хорошей годной социнженерии на злобу дня.
@tomhunter
😁18😱3🔥1
#news Среди пострадавших от кражи токенов чат-бота Salesloft Drift нашлась и ИБ-компания: утечку клиентских данных раскрыла Zscaler. Затронут только сам инстанс, остальная инфраструктура не пострадала.
По итогам утекла информация на клиентов из техподдержки: имена, рабочие почты, должности, телефоны, информация о продуктах, детали кейсов. Клиентам рекомендуют опасаться фишинговых звонков и писем от малолетних дарований и прочих причастных. Так как утекло из ИБ, спрос с них побольше: доступ с Drift отключили, все подручные токены сменили, протоколы укрепили, расследование ведут, аудит сторонних сервисов запросили — всё как полагается. Но осадочек всё равно останется. Не спрашивай у ИБ-фирмы, насколько защищены её продукты. Спрашивай, насколько защищены её SaaS. (Спойлер: не очень.)
@tomhunter
По итогам утекла информация на клиентов из техподдержки: имена, рабочие почты, должности, телефоны, информация о продуктах, детали кейсов. Клиентам рекомендуют опасаться фишинговых звонков и писем от малолетних дарований и прочих причастных. Так как утекло из ИБ, спрос с них побольше: доступ с Drift отключили, все подручные токены сменили, протоколы укрепили, расследование ведут, аудит сторонних сервисов запросили — всё как полагается. Но осадочек всё равно останется. Не спрашивай у ИБ-фирмы, насколько защищены её продукты. Спрашивай, насколько защищены её SaaS. (Спойлер: не очень.)
@tomhunter
😁5❤3👍2🔥1🫡1
#news В сетевых дебрях инфостилер с пикантным поворотом: малварь снабжена функциональностью под скриншоты экрана и фото с вебки. И делает их, если обнаруживает NSFW-контент на экране.
Вредонос собран на основе опенсорсного Stealerium — в последние месяцы вспыли несколько образцов из его исходников. Стягивают они всё подряд — от банковских данных и крипты до имейлов, буфера обмена, токенов от игровых платформ и далее по списку. И бонусом задел под сексторшн: простенький скрипт активируется на ключевые слова в адресной строке и делает фото и скрины. Серьёзные люди подобным заниматься не станут — за кампанией стоят что на исследовательском вежливо называется “примитивные” злоумышленники. Кретины, проще говоря. Потому как более неэффективную, рискованную и генерирующую внимание органов функциональность под свою первую детскую малварь сложно придумать.
@tomhunter
Вредонос собран на основе опенсорсного Stealerium — в последние месяцы вспыли несколько образцов из его исходников. Стягивают они всё подряд — от банковских данных и крипты до имейлов, буфера обмена, токенов от игровых платформ и далее по списку. И бонусом задел под сексторшн: простенький скрипт активируется на ключевые слова в адресной строке и делает фото и скрины. Серьёзные люди подобным заниматься не станут — за кампанией стоят что на исследовательском вежливо называется “примитивные” злоумышленники. Кретины, проще говоря. Потому как более неэффективную, рискованную и генерирующую внимание органов функциональность под свою первую детскую малварь сложно придумать.
@tomhunter
😁8👍2💯2🔥1
#news Новость “LLM’ка как поверхность атаки” номер 783. В запретном ex-Твиттере нашли способ обходить запрет на постинг ссылок. И бонусом используют Grok для их продвижения.
Вредоносную ссылку закидывают в поле “From” в метаданных, которую фильтры игнорируют. Затем под рекламным видео с сомнительным контентом достаточно спросить у Grok’a, откуда оно. Моделька вытаскивает ссылку из метаданных, а заодно и бустит ей надёжность, охват и SEO за счёт того, что аккаунт Grok’a на платформе доверенный. При этом охват солидный — миллионы просмотров на постах, ведущих на разный скам, инфостилеры и прочие радости. В сухом остатке санитизации нет ни в полях метаданных, ни на контексте в LLM’ке. Можно отмахнуться, сославшись на шиттификацию платформы, известную качеством своего кода. Но пример говорящий: если в экосистеме есть ИИ-ассистент, найдётся и способ его эксплойтнуть. И не один.
@tomhunter
Вредоносную ссылку закидывают в поле “From” в метаданных, которую фильтры игнорируют. Затем под рекламным видео с сомнительным контентом достаточно спросить у Grok’a, откуда оно. Моделька вытаскивает ссылку из метаданных, а заодно и бустит ей надёжность, охват и SEO за счёт того, что аккаунт Grok’a на платформе доверенный. При этом охват солидный — миллионы просмотров на постах, ведущих на разный скам, инфостилеры и прочие радости. В сухом остатке санитизации нет ни в полях метаданных, ни на контексте в LLM’ке. Можно отмахнуться, сославшись на шиттификацию платформы, известную качеством своего кода. Но пример говорящий: если в экосистеме есть ИИ-ассистент, найдётся и способ его эксплойтнуть. И не один.
@tomhunter
👍11🔥5💯2
#news “Лаборатория Касперского” опубликовала масштабный анализ группировок, атакующих российские организации. Больше 300 страниц, 14 группировок во всех технических подробностях.
Исследователи выделили три кластера атакующих: апэтэшечки, хактивисты и гибридные, они же апэтэшечки под прикрытием хактивизма. “После 2022-го года” число атак резко возросло, только за 2025-й появились семь новых групп, заявивших об атаках на компании в России. Плюс техническая подкованность атакующих растёт — ширится арсенал инструментов, собранные на коленке хактивистские подразделения осваивают краснокомандные утилиты и прочие удовольствия. Из всего этого в "Лаборатории" делают вывод, что Россия является самой атакуемой страной в киберпространстве. Очень сомнительно, но окей — новые контракты сами себя не подпишут. Отчёт доступен здесь (PDF).
@tomhunter
Исследователи выделили три кластера атакующих: апэтэшечки, хактивисты и гибридные, они же апэтэшечки под прикрытием хактивизма. “После 2022-го года” число атак резко возросло, только за 2025-й появились семь новых групп, заявивших об атаках на компании в России. Плюс техническая подкованность атакующих растёт — ширится арсенал инструментов, собранные на коленке хактивистские подразделения осваивают краснокомандные утилиты и прочие удовольствия. Из всего этого в "Лаборатории" делают вывод, что Россия является самой атакуемой страной в киберпространстве. Очень сомнительно, но окей — новые контракты сами себя не подпишут. Отчёт доступен здесь (PDF).
@tomhunter
😁9🤡5🔥4👍1
#digest Закрываем август дайджестом самых интересных ИБ-новостей месяца. Сегодня у нас фантомные краши жёстких дисков от Microsoft, сотни тысяч чатов с LLM’ками в открытом доступе и первая запитанная от ИИ рансомварь.
Август также отметился взломом чат-бота Drift от Salesloft и кражей всевозможных токенов — затронуты более 700 компаний. Ответственность за взлом на себя взяли Scattered Spider в коллабе с другими юными дарованиями на пути к посадке и экстрадиции. А наследница криптобиржи Garantex оперативно попала под санкции США. Обо всём этом и других интересных ИБ-событиях последнего летнего месяца читайте на Хабре!
@tomhunter
Август также отметился взломом чат-бота Drift от Salesloft и кражей всевозможных токенов — затронуты более 700 компаний. Ответственность за взлом на себя взяли Scattered Spider в коллабе с другими юными дарованиями на пути к посадке и экстрадиции. А наследница криптобиржи Garantex оперативно попала под санкции США. Обо всём этом и других интересных ИБ-событиях последнего летнего месяца читайте на Хабре!
@tomhunter
👍4❤1
#news Исследователи изучили накрутку звёзд на GitHub, и выводы неутешительные: масштабы у неё серьёзные. На пике до 16% репозиториев засветились в кампаниях по накрутке.
Рост сервисов по накрутке пошёл в 2022-м и застал резкий бум в 2024-м. В основном фейковыми звёздами бомбят репы с вредоносом, включая дрейнеры и инфостилеры, для придания им солидности. Эффективность, казалось бы, сомнительная: нормальный разраб смотрит не на звёзды, случайный юзер качает что попало. Но экосистема под это дело есть, так что есть и фейковые аккаунты — отслеживали пустые акки и те, которые участвовали в одновременной накрутке. Для решения проблемы предлагают оставить выдачу звёзд только проверенным, долгоживущим аккаунтам. Можно и градацию ввести: апвоут от джуна — одна звезда, от миддла — две, от сеньора — пять. В конце концов, не все разработчики созданы равными!
@tomhunter
Рост сервисов по накрутке пошёл в 2022-м и застал резкий бум в 2024-м. В основном фейковыми звёздами бомбят репы с вредоносом, включая дрейнеры и инфостилеры, для придания им солидности. Эффективность, казалось бы, сомнительная: нормальный разраб смотрит не на звёзды, случайный юзер качает что попало. Но экосистема под это дело есть, так что есть и фейковые аккаунты — отслеживали пустые акки и те, которые участвовали в одновременной накрутке. Для решения проблемы предлагают оставить выдачу звёзд только проверенным, долгоживущим аккаунтам. Можно и градацию ввести: апвоут от джуна — одна звезда, от миддла — две, от сеньора — пять. В конце концов, не все разработчики созданы равными!
@tomhunter
😁10👍2
#news Подоспел анализ недавней атаки на цепочку поставок по Nx. Как и следовало ожидать, сменить токены успели не только лишь все. Так что одной их утечкой дело не ограничилось.
В постинцидентном отчёте выделили три фазы. Первая — уже известные утёкшие ~2,000 секретов и 20,000 файлов у 1,700 юзеров. Следов токены использовали, чтобы сделать приватные репы публичными — это затронуло ещё 480 аккаунтов и вскрыло 6,700 репозиториев. И наконец, одна компания вытянула несчастливый лотерейный: по ней была таргетированная атака, со скомпрометированных аккаунтов опубликовали ещё 500 репозиториев. Из интересного, в атаке использовали промпты для LLM’ок на целевых машинах, но в целом эффективность экспериментов с модельками от традиционных методов пока отстаёт. Ключевое слово — пока. Через год-два в каждом утюге будет по LLM’ке, а там уже найдётся и поверхность атаки под любой каприз.
@tomhunter
В постинцидентном отчёте выделили три фазы. Первая — уже известные утёкшие ~2,000 секретов и 20,000 файлов у 1,700 юзеров. Следов токены использовали, чтобы сделать приватные репы публичными — это затронуло ещё 480 аккаунтов и вскрыло 6,700 репозиториев. И наконец, одна компания вытянула несчастливый лотерейный: по ней была таргетированная атака, со скомпрометированных аккаунтов опубликовали ещё 500 репозиториев. Из интересного, в атаке использовали промпты для LLM’ок на целевых машинах, но в целом эффективность экспериментов с модельками от традиционных методов пока отстаёт. Ключевое слово — пока. Через год-два в каждом утюге будет по LLM’ке, а там уже найдётся и поверхность атаки под любой каприз.
@tomhunter
🔥7💯1
#news В сетевых дебрях новый ботнет NightShadeC2 с занятной функциональностью под обход защиты. Он спамит пользователя UAC-запросами на добавление в список исключений Windows Defender. Метод получил название UAC Prompt Bombing.
Начинка у ботнета широкая — от загрузчика до полноценного трояна удалённого доступа. Но основная изюминка, конечно, в бомбардировке юзера запросами. Вредонос запускает PowerShell-скрипт, который гоняет луп из запросов, пока юзер не сдастся и не кликнет. Метод в теории эффективный — по аналогии с проверенным временем спамом сообщениями на MFA-аутентификацию. Мало-мальски обученный сотрудник может и настучать на странное поведение системы админу. Но обычный юзер, привыкший ко всегда своевременным обновлениям винды, скорее, примет назойливый спам за норму жизни в эпоху шиттификации богатой на интересные дизайнерские и интерфейсные решения Windows 11.
@tomhunter
Начинка у ботнета широкая — от загрузчика до полноценного трояна удалённого доступа. Но основная изюминка, конечно, в бомбардировке юзера запросами. Вредонос запускает PowerShell-скрипт, который гоняет луп из запросов, пока юзер не сдастся и не кликнет. Метод в теории эффективный — по аналогии с проверенным временем спамом сообщениями на MFA-аутентификацию. Мало-мальски обученный сотрудник может и настучать на странное поведение системы админу. Но обычный юзер, привыкший ко всегда своевременным обновлениям винды, скорее, примет назойливый спам за норму жизни в эпоху шиттификации богатой на интересные дизайнерские и интерфейсные решения Windows 11.
@tomhunter
😁7👍5❤1🔥1
#news На npm произошёл масштабный угон популярных JavaScript-библиотек. 18 пакетов с ~2 миллиардами скачиваний в неделю обзавелись кодом под стягивание крипты из браузера. И всё это одним фишинговым письмом по одному же мейнтейнеру.
Атаку быстро заметили и порешали вопрос за пару часов. Плюс злоумышленники были, так сказать, не очень амбициозные — угнать 18 пакетов с миллиардами скачиваний, на которых держится полсети, просто чтобы закинуть в них перехватчик крипты. Большая удача для мирового сообщества, в общем. И напоминание обо всём, что не так с современной сетевой инфраструктурой. Последние 15 лет каждый разраб подтягивает пару сотен связанных библиотек, которые мейтейнят пара десятков человек в избушке в глуши. Хочешь доступ к мировым компаниям? Отправь фишинговое письмо уставшему разрабу, на чьих библиотеках выстроена вся сеть. И закинь в них криптодрейнер. Вы, без сомнения, самый жалкий злоумышленник из всех, о которых я слышал. Но теперь благодаря пикрилейтеду мы все о нём слышали.
@tomhunter
Атаку быстро заметили и порешали вопрос за пару часов. Плюс злоумышленники были, так сказать, не очень амбициозные — угнать 18 пакетов с миллиардами скачиваний, на которых держится полсети, просто чтобы закинуть в них перехватчик крипты. Большая удача для мирового сообщества, в общем. И напоминание обо всём, что не так с современной сетевой инфраструктурой. Последние 15 лет каждый разраб подтягивает пару сотен связанных библиотек, которые мейтейнят пара десятков человек в избушке в глуши. Хочешь доступ к мировым компаниям? Отправь фишинговое письмо уставшему разрабу, на чьих библиотеках выстроена вся сеть. И закинь в них криптодрейнер. Вы, без сомнения, самый жалкий злоумышленник из всех, о которых я слышал. Но теперь благодаря пикрилейтеду мы все о нём слышали.
@tomhunter
😁13👍3💯2🤯1😢1
#news У известных экстремистов, ответственных за WhatsApp, наметился скандальчик. На компанию подал в суд бывший глава отдела безопасности Аттаулла Баиг — он обвиняет Meta в сокрытии масштабных проблем с безопасностью и нарушении конфиденциальности пользователей.
Список претензий внушительный. В их числе отсутствие мониторинга доступа к юзерским данным, неограниченный доступ к ним же у 1,500 инженеров, неспособность обнаруживать утечки данных и защитить аккаунты от перехвата, коих за день якобы по сто тысяч. По легенде, Баиг в 2021-м заметил, что с безопасностью WhatsApp что-то не так, и начал шуметь на совещаниях и писать жалобы, в связи с чем его и выдавили из компании. Та в ответ завела стандартную корпоративную пластинку про недовольного сотрудника, уволенного за плохую работу. Но что можно скормить прессе, суд во внимание вряд ли примет. Господин Баиг-то знает толк в жалобах — здесь задел под очередной штраф на сотни миллионов долларов.
@tomhunter
Список претензий внушительный. В их числе отсутствие мониторинга доступа к юзерским данным, неограниченный доступ к ним же у 1,500 инженеров, неспособность обнаруживать утечки данных и защитить аккаунты от перехвата, коих за день якобы по сто тысяч. По легенде, Баиг в 2021-м заметил, что с безопасностью WhatsApp что-то не так, и начал шуметь на совещаниях и писать жалобы, в связи с чем его и выдавили из компании. Та в ответ завела стандартную корпоративную пластинку про недовольного сотрудника, уволенного за плохую работу. Но что можно скормить прессе, суд во внимание вряд ли примет. Господин Баиг-то знает толк в жалобах — здесь задел под очередной штраф на сотни миллионов долларов.
@tomhunter
😁10🔥7🤡4👍2🤔1
#news США раскрыли обвинения в адрес админа рансомвари LockerGoga, MegaCortex и Nefilim. А это у нас украинец Владимир Викторович Тимощук, он же deadforz, Boba и farnetwork.
Тимощук на рансомварь-сцене персонаж известный и весьма активный. Под ником farnetwork он успел также засветиться также в связи с RaaS-операциям JSWORM, Karma и Nemty — товарищ с 2019-го занимался рекрутингом в них на русскоязычных форумах. А также разрабатывал рансомварь, админил её и ботнеты. Везде поспел, в общем. Тимощук уже давно в особо разыскиваемых ЕС и ФБР, а в апреле его коллегу по Nefilim Артема Стрижака экстрадировали в США из Испании. Так что очередной герой киберпреступного подполья выходит на финишную прямую с билетом в один конец за океан. Как показывают громкие аресты последних лет, время, чтобы быть украинским киберпреступником, не самое подходящее.
@tomhunter
Тимощук на рансомварь-сцене персонаж известный и весьма активный. Под ником farnetwork он успел также засветиться также в связи с RaaS-операциям JSWORM, Karma и Nemty — товарищ с 2019-го занимался рекрутингом в них на русскоязычных форумах. А также разрабатывал рансомварь, админил её и ботнеты. Везде поспел, в общем. Тимощук уже давно в особо разыскиваемых ЕС и ФБР, а в апреле его коллегу по Nefilim Артема Стрижака экстрадировали в США из Испании. Так что очередной герой киберпреступного подполья выходит на финишную прямую с билетом в один конец за океан. Как показывают громкие аресты последних лет, время, чтобы быть украинским киберпреступником, не самое подходящее.
@tomhunter
😁9🔥3❤2👍1