#news На npm произошёл масштабный угон популярных JavaScript-библиотек. 18 пакетов с ~2 миллиардами скачиваний в неделю обзавелись кодом под стягивание крипты из браузера. И всё это одним фишинговым письмом по одному же мейнтейнеру.
Атаку быстро заметили и порешали вопрос за пару часов. Плюс злоумышленники были, так сказать, не очень амбициозные — угнать 18 пакетов с миллиардами скачиваний, на которых держится полсети, просто чтобы закинуть в них перехватчик крипты. Большая удача для мирового сообщества, в общем. И напоминание обо всём, что не так с современной сетевой инфраструктурой. Последние 15 лет каждый разраб подтягивает пару сотен связанных библиотек, которые мейтейнят пара десятков человек в избушке в глуши. Хочешь доступ к мировым компаниям? Отправь фишинговое письмо уставшему разрабу, на чьих библиотеках выстроена вся сеть. И закинь в них криптодрейнер. Вы, без сомнения, самый жалкий злоумышленник из всех, о которых я слышал. Но теперь благодаря пикрилейтеду мы все о нём слышали.
@tomhunter
Атаку быстро заметили и порешали вопрос за пару часов. Плюс злоумышленники были, так сказать, не очень амбициозные — угнать 18 пакетов с миллиардами скачиваний, на которых держится полсети, просто чтобы закинуть в них перехватчик крипты. Большая удача для мирового сообщества, в общем. И напоминание обо всём, что не так с современной сетевой инфраструктурой. Последние 15 лет каждый разраб подтягивает пару сотен связанных библиотек, которые мейтейнят пара десятков человек в избушке в глуши. Хочешь доступ к мировым компаниям? Отправь фишинговое письмо уставшему разрабу, на чьих библиотеках выстроена вся сеть. И закинь в них криптодрейнер. Вы, без сомнения, самый жалкий злоумышленник из всех, о которых я слышал. Но теперь благодаря пикрилейтеду мы все о нём слышали.
@tomhunter
😁13👍3💯2🤯1😢1
#news У известных экстремистов, ответственных за WhatsApp, наметился скандальчик. На компанию подал в суд бывший глава отдела безопасности Аттаулла Баиг — он обвиняет Meta в сокрытии масштабных проблем с безопасностью и нарушении конфиденциальности пользователей.
Список претензий внушительный. В их числе отсутствие мониторинга доступа к юзерским данным, неограниченный доступ к ним же у 1,500 инженеров, неспособность обнаруживать утечки данных и защитить аккаунты от перехвата, коих за день якобы по сто тысяч. По легенде, Баиг в 2021-м заметил, что с безопасностью WhatsApp что-то не так, и начал шуметь на совещаниях и писать жалобы, в связи с чем его и выдавили из компании. Та в ответ завела стандартную корпоративную пластинку про недовольного сотрудника, уволенного за плохую работу. Но что можно скормить прессе, суд во внимание вряд ли примет. Господин Баиг-то знает толк в жалобах — здесь задел под очередной штраф на сотни миллионов долларов.
@tomhunter
Список претензий внушительный. В их числе отсутствие мониторинга доступа к юзерским данным, неограниченный доступ к ним же у 1,500 инженеров, неспособность обнаруживать утечки данных и защитить аккаунты от перехвата, коих за день якобы по сто тысяч. По легенде, Баиг в 2021-м заметил, что с безопасностью WhatsApp что-то не так, и начал шуметь на совещаниях и писать жалобы, в связи с чем его и выдавили из компании. Та в ответ завела стандартную корпоративную пластинку про недовольного сотрудника, уволенного за плохую работу. Но что можно скормить прессе, суд во внимание вряд ли примет. Господин Баиг-то знает толк в жалобах — здесь задел под очередной штраф на сотни миллионов долларов.
@tomhunter
😁10🔥7🤡4👍2🤔1
#news США раскрыли обвинения в адрес админа рансомвари LockerGoga, MegaCortex и Nefilim. А это у нас украинец Владимир Викторович Тимощук, он же deadforz, Boba и farnetwork.
Тимощук на рансомварь-сцене персонаж известный и весьма активный. Под ником farnetwork он успел также засветиться также в связи с RaaS-операциям JSWORM, Karma и Nemty — товарищ с 2019-го занимался рекрутингом в них на русскоязычных форумах. А также разрабатывал рансомварь, админил её и ботнеты. Везде поспел, в общем. Тимощук уже давно в особо разыскиваемых ЕС и ФБР, а в апреле его коллегу по Nefilim Артема Стрижака экстрадировали в США из Испании. Так что очередной герой киберпреступного подполья выходит на финишную прямую с билетом в один конец за океан. Как показывают громкие аресты последних лет, время, чтобы быть украинским киберпреступником, не самое подходящее.
@tomhunter
Тимощук на рансомварь-сцене персонаж известный и весьма активный. Под ником farnetwork он успел также засветиться также в связи с RaaS-операциям JSWORM, Karma и Nemty — товарищ с 2019-го занимался рекрутингом в них на русскоязычных форумах. А также разрабатывал рансомварь, админил её и ботнеты. Везде поспел, в общем. Тимощук уже давно в особо разыскиваемых ЕС и ФБР, а в апреле его коллегу по Nefilim Артема Стрижака экстрадировали в США из Испании. Так что очередной герой киберпреступного подполья выходит на финишную прямую с билетом в один конец за океан. Как показывают громкие аресты последних лет, время, чтобы быть украинским киберпреступником, не самое подходящее.
@tomhunter
😁9🔥3❤2👍1
#news Взломы охватом на всю страну — всегда интересное событие. На этот раз попал Вьетнам. ShinyHunters заявили о взломе национального кредитного бюро и краже базы на 160 миллионов записей.
Во Вьетнаме при этом проживает всего ~100 миллионов человек, так что предположительно охвачено всё население страны с хвостиком плюс юрлица. Бюро работает под Центробанком и обрабатывает кредитную информацию со всего Вьетнама. Отдельно, конечно, сказывается специфика региона. Так, группировка заявила, что выкуп даже не запрашивала — реакция от бюро всё равно вряд ли будет. Плюс системы были вскрыты мимоходом через нулевой день, но есть нюанс. Утверждают, что крутились они на ПО, давно снятом с поддержки. Уровень инфобеза в госухе условного и не очень Вьетнама представить нетрудно. Снятым с поддержки ПО вполне могут оказаться и непатченные пиратские копии Windows Server 2003 и XP.
@tomhunter
Во Вьетнаме при этом проживает всего ~100 миллионов человек, так что предположительно охвачено всё население страны с хвостиком плюс юрлица. Бюро работает под Центробанком и обрабатывает кредитную информацию со всего Вьетнама. Отдельно, конечно, сказывается специфика региона. Так, группировка заявила, что выкуп даже не запрашивала — реакция от бюро всё равно вряд ли будет. Плюс системы были вскрыты мимоходом через нулевой день, но есть нюанс. Утверждают, что крутились они на ПО, давно снятом с поддержки. Уровень инфобеза в госухе условного и не очень Вьетнама представить нетрудно. Снятым с поддержки ПО вполне могут оказаться и непатченные пиратские копии Windows Server 2003 и XP.
@tomhunter
😁8❤2💯2👍1🔥1
#news Apple вместе с очередной погремушкой для любителей яблочной продукции посвежее представила и кое-что поинтереснее. А именно Memory Integrity Enforcement — механизм защиты памяти, который должен порезать часть популярных уязвимостей.
MIE заявлена как улучшенная версия MTE, с полным тегированием памяти, включая те области, на которых в MTE нет тегов. Утверждают, что это полностью режет переполнение буфера и Use-After-Free — попытки выйти за пределы буфера или использовать освобождённый участок блокируются. По легенде, рэдтимеры Apple пять лет долбили старые и новые эксплойты через MIE, и они больше не работают — где-то по цепочке эксплойт неизбежно ломается. 25 лет коррапта памяти на свалку истории, спайварь в пролёте, спешите купить свежий айфон! Или нет. Осталось дождаться пентеста от NSO Group и компании — стоимость разработки спайвари, может, и вырастет, но и деньги им за неё платят более чем солидные.
@tomhunter
MIE заявлена как улучшенная версия MTE, с полным тегированием памяти, включая те области, на которых в MTE нет тегов. Утверждают, что это полностью режет переполнение буфера и Use-After-Free — попытки выйти за пределы буфера или использовать освобождённый участок блокируются. По легенде, рэдтимеры Apple пять лет долбили старые и новые эксплойты через MIE, и они больше не работают — где-то по цепочке эксплойт неизбежно ломается. 25 лет коррапта памяти на свалку истории, спайварь в пролёте, спешите купить свежий айфон! Или нет. Осталось дождаться пентеста от NSO Group и компании — стоимость разработки спайвари, может, и вырастет, но и деньги им за неё платят более чем солидные.
@tomhunter
😁7👍2❤1
#news По следам атаки на цепочку поставок по библиотекам товарища Qix обнаружили, что попутно ещё один мейнтейнер попался на аналогичное фишинговое письмо. Duckdb_admin, на котором висят связанные с DuckDB пакеты.
“Обновите 2FA или через пару дней залочим ваш аккаунт”. Казалось бы, очевидный фишинг, но нет — мейнтейнер счёл его “правдоподобным”. В пакетах тот же криптокрад, а охват сильно скромнее основной атаки — вместо миллиардов скачиваний несколько сотен тысяч. Но корень проблемы тот же: опенсорс и человеческий фактор единичных человеков, его обслуживающих. Между тем оцените прибыльность от атак: суммарно стянули около тысячи баксов. Суммы, которые компании по миру потратят на аудит и проверку инфраструктуры, будут на порядки выше. Вот тебе и шальные киберпреступные денежки: в мечтах у тебя яхты и красотки, а в реальности несколько центов в эфире и 20 баксов какого-то щиткоина. Се ля ви!
@tomhunter
“Обновите 2FA или через пару дней залочим ваш аккаунт”. Казалось бы, очевидный фишинг, но нет — мейнтейнер счёл его “правдоподобным”. В пакетах тот же криптокрад, а охват сильно скромнее основной атаки — вместо миллиардов скачиваний несколько сотен тысяч. Но корень проблемы тот же: опенсорс и человеческий фактор единичных человеков, его обслуживающих. Между тем оцените прибыльность от атак: суммарно стянули около тысячи баксов. Суммы, которые компании по миру потратят на аудит и проверку инфраструктуры, будут на порядки выше. Вот тебе и шальные киберпреступные денежки: в мечтах у тебя яхты и красотки, а в реальности несколько центов в эфире и 20 баксов какого-то щиткоина. Се ля ви!
@tomhunter
😁7👍4
#news Увлекательная история из мира EDR-решений. Неизвестный злоумышленник накатил на свою машину демо EDR от Huntress с неясной целью, но не учёл, какой доступ даёт разрабу. Получился нечаянный инсайд в жизнь среднестатистического киберпреступника.
Команда Huntress засекла подозрительную активность на хосте, устройство было флагнуто в предыдущих инцидентах. И промониторила его за 3 месяца в формате весёлой муравьиной фермы со злоумышленником в главной роли. Фишинговые киты, эксплойты, малварь, автоматизация через LLM’ки, стянутые куки. Красноглазие по 8-14 часов неделями напролёт. В общем, киберпреступные будни в прямом эфире. По итогам опубликован анализ, но мнения в сообществе разделились. Одни жалуются на грубое нарушение приватности, впервые узнав, как работают EDR. Другие недовольны, что злоумышленника сразу не сдали властям. А у нас в сухом остатке “Шоу Трумана” с окном в киберпреступную повседневность. Подробнее читайте в их отчёте.
@tomhunter
Команда Huntress засекла подозрительную активность на хосте, устройство было флагнуто в предыдущих инцидентах. И промониторила его за 3 месяца в формате весёлой муравьиной фермы со злоумышленником в главной роли. Фишинговые киты, эксплойты, малварь, автоматизация через LLM’ки, стянутые куки. Красноглазие по 8-14 часов неделями напролёт. В общем, киберпреступные будни в прямом эфире. По итогам опубликован анализ, но мнения в сообществе разделились. Одни жалуются на грубое нарушение приватности, впервые узнав, как работают EDR. Другие недовольны, что злоумышленника сразу не сдали властям. А у нас в сухом остатке “Шоу Трумана” с окном в киберпреступную повседневность. Подробнее читайте в их отчёте.
@tomhunter
😁10🔥2👍1
#article В нашей сегодняшней статье мы рассмотрим, как использовать архивные копии сайтов в OSINT. В этом нам поможет мощный, но часто недооцененный CDX API Wayback Machine.
С его помощью можно получить доступ к индексу всех сохраненных копий сайта в архиве, что даёт возможность изучить его гораздо более полно, чем через веб-интерфейс. А Google-таблицы становятся удобным инструментом для анализа выгруженной с Wayback Machine информации. За подробностями добро пожаловать на Хабр!
@tomhunter
С его помощью можно получить доступ к индексу всех сохраненных копий сайта в архиве, что даёт возможность изучить его гораздо более полно, чем через веб-интерфейс. А Google-таблицы становятся удобным инструментом для анализа выгруженной с Wayback Machine информации. За подробностями добро пожаловать на Хабр!
@tomhunter
👍8❤3🔥1🤡1
#news Пятничные новости инфобеза. Британский ИБ-регулятор на фоне ловли малолетних хакеров озаботился подрастающим поколением. И обнаружил, что больше половины кибератак в школах — дело учеников.
Из 215 изученных случаев взлома школ за два года 57% были делом рук юных дарований. Причём треть вызвана крадеными данными доступа, и лишь в 5% случаев в ход шли взрослые методы с обходом защиты и прочим. В общем, всё как в реальном кибербезе — здесь школа готовит к жизни на отлично. Пойманные подростки признаются в интересе к ИБ и посещении хакерских форумов, каждый пятый совершает незаконные действия в сети (а с законом о верификации возраста это будет каждый второй). Регулятор из этого делает вывод, что молодёжь надо спасать, иначе она пополнит ряды Scattered Spider и компании. А агитматериалы по теме на скрине. Ребёнок с Дискордом и Кали на пека — горе в семье!
@tomhunter
Из 215 изученных случаев взлома школ за два года 57% были делом рук юных дарований. Причём треть вызвана крадеными данными доступа, и лишь в 5% случаев в ход шли взрослые методы с обходом защиты и прочим. В общем, всё как в реальном кибербезе — здесь школа готовит к жизни на отлично. Пойманные подростки признаются в интересе к ИБ и посещении хакерских форумов, каждый пятый совершает незаконные действия в сети (а с законом о верификации возраста это будет каждый второй). Регулятор из этого делает вывод, что молодёжь надо спасать, иначе она пополнит ряды Scattered Spider и компании. А агитматериалы по теме на скрине. Ребёнок с Дискордом и Кали на пека — горе в семье!
@tomhunter
😁16💯2🤬1🤡1
#news В сетевых дебрях замечена рансомварь, вдохновлённая Петей. И неПетей. У вредоноса характеристики обоих, так что получился гибрид. Так его и назвали. Гибридный Петя.
При этом HybridPetya — редкий зверь. А именно буткит. Он пишет себя в системный раздел EFI, а после деплоя отображает фейковый BSOD, как Петя. После перезагрузки же юзер видит фейковый CHKDSK, как у неПети, пока идёт шифрование. И в финале требует $1,000 в битках. Из хороших новостей, в атаках он не светился и лежит на VT c февраля — сэмпл либо чей-то исследовательский проект, либо PoC, в худшем случае тестовый образец. Кроме того, CVE, которую один из вариантов эксплойтил для обхода Secure Boot, закрыли ещё в январе. Так что мутировавший Петя пока опасности не представляет, если только не найдутся желающие пустить эту PoC в ход. Подробнее про оригинальную находку здесь.
@tomhunter
При этом HybridPetya — редкий зверь. А именно буткит. Он пишет себя в системный раздел EFI, а после деплоя отображает фейковый BSOD, как Петя. После перезагрузки же юзер видит фейковый CHKDSK, как у неПети, пока идёт шифрование. И в финале требует $1,000 в битках. Из хороших новостей, в атаках он не светился и лежит на VT c февраля — сэмпл либо чей-то исследовательский проект, либо PoC, в худшем случае тестовый образец. Кроме того, CVE, которую один из вариантов эксплойтил для обхода Secure Boot, закрыли ещё в январе. Так что мутировавший Петя пока опасности не представляет, если только не найдутся желающие пустить эту PoC в ход. Подробнее про оригинальную находку здесь.
@tomhunter
❤5👍2🔥2😁2
#news Из-за Великого Китайского Файрвола произошла утечка. Точнее, из него. Её уже успели окрестить крупнейшим из сливов, связанных с главным инструментом Китая по борьбе с так называемой недружественной паутиной.
В утечке ~600 GB данных. Исходники, рабочие логи, внутренняя переписка, логи разработки, документация, датасеты с JIRA и прочее за многие годы. Утекло всё это из двух ключевых организаций, ответственных за разработку инфраструктуры файрвола. В общем, золотая жила для желающих прикоснуться к прекрасному цифровому будущему. Ковыряющиеся в данных энтузиасты заявляют, что они перевернут представление о системах, ответственных за сетевое благополучие большого китайского брата и не только. Всё это уже доступно для всех желающих, только лезть в утекшее стоит за дюжиной изолированных от сети виртуалок. Иначе малварь, малварь, слежка, лаовай, -1000 социальный кредит и никакой кошкожены. Вас предупредили.
@tomhunter
В утечке ~600 GB данных. Исходники, рабочие логи, внутренняя переписка, логи разработки, документация, датасеты с JIRA и прочее за многие годы. Утекло всё это из двух ключевых организаций, ответственных за разработку инфраструктуры файрвола. В общем, золотая жила для желающих прикоснуться к прекрасному цифровому будущему. Ковыряющиеся в данных энтузиасты заявляют, что они перевернут представление о системах, ответственных за сетевое благополучие большого китайского брата и не только. Всё это уже доступно для всех желающих, только лезть в утекшее стоит за дюжиной изолированных от сети виртуалок. Иначе малварь, малварь, слежка, лаовай, -1000 социальный кредит и никакой кошкожены. Вас предупредили.
@tomhunter
😁21🔥3👍1
#news Китай впереди планеты всей по срокам уведомления о взломах: с 1 ноября о киберинцидентах нужно уведомлять в течение часа. А в случае крупных происшествий — за 30 минут.
В регламенте обозначены 4 уровня серьёзности, под последний — 30-минутный — подпадают кражи данных, угрожающих нацбезопасности, утечки личных данных на больше 100 миллионов граждан и отключения ключевых правительственных и новостных сайтов. Плюс финансовые потери больше ~$13 миллионов. За отведённые минуты нужно накидать полноценный отчёт для регулятора — вплоть до уязвимостей, потенциального ущерба и планов по восстановлению. В общем, без DeepSeek не обойтись, да и с ним попробуй уложиться. Для сравнения, GDPR на всё отводит 72 часа. Пока в ЕС согласуют созвон с юристами и пиар-отделом, в Китае CISO уже откачивают от постинцидентного инфаркта. Э — эффективность. Кто победит в грядущих кибервойнах — вопрос риторический.
@tomhunter
В регламенте обозначены 4 уровня серьёзности, под последний — 30-минутный — подпадают кражи данных, угрожающих нацбезопасности, утечки личных данных на больше 100 миллионов граждан и отключения ключевых правительственных и новостных сайтов. Плюс финансовые потери больше ~$13 миллионов. За отведённые минуты нужно накидать полноценный отчёт для регулятора — вплоть до уязвимостей, потенциального ущерба и планов по восстановлению. В общем, без DeepSeek не обойтись, да и с ним попробуй уложиться. Для сравнения, GDPR на всё отводит 72 часа. Пока в ЕС согласуют созвон с юристами и пиар-отделом, в Китае CISO уже откачивают от постинцидентного инфаркта. Э — эффективность. Кто победит в грядущих кибервойнах — вопрос риторический.
@tomhunter
😁11👍4🔥2
#news Занятный кейс компрометации рансомварщиком EDR-кабинета Huntress атакуемой компании. Чтобы попасть в него достаточно простого проверенного… файла с резервными кодами на рабочем столе. Классика.
В сети компании проникли через скомпрометированный SonicWall VPN, и обнаружили текстовый файл с кодами. Для удобства он был назван Huntress_recovery_codes_[имя компании].txt и лежал на доступной в сети машине. Соответственно, с помощью кодов обошли MFA, залогинились в личный кабинет от поставщика, а там простор широкий: злоумышленники закрывали отчёты по инцидентам, отключали изоляцию на устройствах и удаляли с них EDR. По итогам в Huntress вовремя заметили шорох в сети, и зашифровать удалось лишь одну машину. Пикантности же истории добавляет тот факт, что коды лежали не у случайного сотрудника, а у безопасника компании. Понаберут по объявлению, что называется. В этом квартале явно без премии.
@tomhunter
В сети компании проникли через скомпрометированный SonicWall VPN, и обнаружили текстовый файл с кодами. Для удобства он был назван Huntress_recovery_codes_[имя компании].txt и лежал на доступной в сети машине. Соответственно, с помощью кодов обошли MFA, залогинились в личный кабинет от поставщика, а там простор широкий: злоумышленники закрывали отчёты по инцидентам, отключали изоляцию на устройствах и удаляли с них EDR. По итогам в Huntress вовремя заметили шорох в сети, и зашифровать удалось лишь одну машину. Пикантности же истории добавляет тот факт, что коды лежали не у случайного сотрудника, а у безопасника компании. Понаберут по объявлению, что называется. В этом квартале явно без премии.
@tomhunter
😁10🔥4🤯1
#news Новый-старый поворот в цирке от малолетних дарований из ShinyHunters / Scattered Spider. В свежем послании самопровозглашённых кибербогов народу заявлено, что группировки прекращают деятельность. Опять.
В пространном манифесте перечислены громкие взломы последних месяцев, реальные и заявленные. А также выпады в адрес многочисленных компаний, трёхбуквенных агенств и правительств. “Мы бы взломали больше, но с нас хватит, ФБР нас не поймать, под суд пошли случайные жертвы нашей социнженерии” и далее по тексту. Иными словами, горделивая поза юного киберпреступника с бредовыми идеями величия. Содержательная часть сводится к прощанию и уходу в закат, но и это можно не воспринимать всерьёз — адреналин от сайберкрайма и славы онлайн у подростков обычно перебивает только требовательный стук в дверь. Так что многие причастные, скорее всего, ещё не раз всплывут — если не под новым брендом, так хотя бы в громком судебном деле.
@tomhunter
В пространном манифесте перечислены громкие взломы последних месяцев, реальные и заявленные. А также выпады в адрес многочисленных компаний, трёхбуквенных агенств и правительств. “Мы бы взломали больше, но с нас хватит, ФБР нас не поймать, под суд пошли случайные жертвы нашей социнженерии” и далее по тексту. Иными словами, горделивая поза юного киберпреступника с бредовыми идеями величия. Содержательная часть сводится к прощанию и уходу в закат, но и это можно не воспринимать всерьёз — адреналин от сайберкрайма и славы онлайн у подростков обычно перебивает только требовательный стук в дверь. Так что многие причастные, скорее всего, ещё не раз всплывут — если не под новым брендом, так хотя бы в громком судебном деле.
@tomhunter
😁8💯3👍2
#news К другим неуловимым богам хакинга. Pompompurin, в быту известный как Конор Фицпатрик, дождался пересмотра приговора. И несмотря на 15 лет, запрошенных прокураторой, по всем трём пунктам обвинения получил всего три года лишения свободы. Чудеса.
Напомню, Pompompurin и в первый раз невероятно удачно съехал с двузначного срока и отделался отбытым в СИЗО и двадцатилетним надзором. И тут же нарушил условия освобождения и соглашения о сотрудничестве, взявшись за старое и попутно попавшись с коллекцией ЦП для прохождения капчи “Я не фед” на киберпреступных серверах. Ничто так не бодрит следователя, как поднадзорный хакер, обсуждающий с друзьями по Дискорду продажу госданных России и Китаю. Каким образом Фицпатрик выбил крошечный срок с оглядкой на обвинения — вопрос интересный. Ещё интереснее содержимое очередной сделки со следствием, оставшейся за кадром.
@tomhunter
Напомню, Pompompurin и в первый раз невероятно удачно съехал с двузначного срока и отделался отбытым в СИЗО и двадцатилетним надзором. И тут же нарушил условия освобождения и соглашения о сотрудничестве, взявшись за старое и попутно попавшись с коллекцией ЦП для прохождения капчи “Я не фед” на киберпреступных серверах. Ничто так не бодрит следователя, как поднадзорный хакер, обсуждающий с друзьями по Дискорду продажу госданных России и Китаю. Каким образом Фицпатрик выбил крошечный срок с оглядкой на обвинения — вопрос интересный. Ещё интереснее содержимое очередной сделки со следствием, оставшейся за кадром.
@tomhunter
🔥9👍4😁4
#news На npm новинка от мира малвари — и хорошего, как обычно, с такими заголовками мало. А именно первый самореплицирующийся червь, по цепочке заражающий всё новые пакеты в экосистеме.
Принцип довольно простой: червь обновляет пакеты на скомпрометированных аккаунтах через postinstall вредоносным bundle[.]js. Пакеты качают, малварь тянет токены, и заражение идёт дальше. С учётом того, сколько там зависимостей, охват у атаки масштабный. Затронуты уже больше 500 пакетов, и число растёт. Скомпрометирован оказался даже аккаунт CrowdStrike. В черве инфостилер TruffleHog на 800 секретов, плюс приватные репы на скомпрометированных аккаунтах залетают в публичные. В общем, если вы думали, что компрометация Nx — это плохо, подвезли Nx 2.0, гораздо хуже прежней. И ведь кроме нулевого пациента интеракции ноль — всё на самоподдуве через CI/CD. Автоматизация, которую мы заслужили.
@tomhunter
Принцип довольно простой: червь обновляет пакеты на скомпрометированных аккаунтах через postinstall вредоносным bundle[.]js. Пакеты качают, малварь тянет токены, и заражение идёт дальше. С учётом того, сколько там зависимостей, охват у атаки масштабный. Затронуты уже больше 500 пакетов, и число растёт. Скомпрометирован оказался даже аккаунт CrowdStrike. В черве инфостилер TruffleHog на 800 секретов, плюс приватные репы на скомпрометированных аккаунтах залетают в публичные. В общем, если вы думали, что компрометация Nx — это плохо, подвезли Nx 2.0, гораздо хуже прежней. И ведь кроме нулевого пациента интеракции ноль — всё на самоподдуве через CI/CD. Автоматизация, которую мы заслужили.
@tomhunter
🔥8😁4👍2🤯2
#news В ChatGPT добавят новую функциональность, рады которой будут немногие. Моделька станет предугадывать возраст юзера и в отдельных случаях может запросить документы, чтобы подтвердить его причастность к категории 18+. Плюс за подростками будет надзор по чувствительным темам с возможностью стука родителям или властям.
Сомнительное нововведение появилось в результате жалоб и судебных процессов против OpenAI. В частности, виноват нашумевший случай с подростком, совершившим роскомнадзор и обсуждавшим его с ChatGPT. Число нестабильных людей с накрученным через LLM’ки психозом множится, растёт и желание спихнуть вину на разрабов — не себя же винить за беды с башкой или недосмотр за ребёнком, в конце концов. А страдать по итогам будут все юзеры. Нашей публике встреча с запросом ID, конечно, вряд ли грозит. Но на всякий случай лучше не спрашивать у модельки, как поставить Kali Linux. Иначе она мигом распознает в юзере скрипт-кидди и попросит предъявить документы.
@tomhunter
Сомнительное нововведение появилось в результате жалоб и судебных процессов против OpenAI. В частности, виноват нашумевший случай с подростком, совершившим роскомнадзор и обсуждавшим его с ChatGPT. Число нестабильных людей с накрученным через LLM’ки психозом множится, растёт и желание спихнуть вину на разрабов — не себя же винить за беды с башкой или недосмотр за ребёнком, в конце концов. А страдать по итогам будут все юзеры. Нашей публике встреча с запросом ID, конечно, вряд ли грозит. Но на всякий случай лучше не спрашивать у модельки, как поставить Kali Linux. Иначе она мигом распознает в юзере скрипт-кидди и попросит предъявить документы.
@tomhunter
😁8❤3👍3👎1💯1
#news К вопросу о заявлении о самороспуске Scattered Spider и компании. Ларчик-то просто открывался: в Великобритании арестовали двух подростков из группировки. Тот самый отрезвляющий момент, когда в дверь постучали.
Двоих кибербогов 18 и 19 лет взяли во вторник, обоим предъявлены обвинения во взломе транспортной службы Лондона в 2024-м. Один оказался посмелее и пароли к устройствам не сдал, за что получит дополнительный пункт обвинения — в UK это серьёзная статья до 2 лет. У другого нашли доказательства участия в атаках по двум клиникам в США — за них тоже добавят обвинения. Иллюзия выбора по-британски. На фоне этого молчание малолетних дарований с последующим уходом в тень понятно: что-то скомпрометировали, кого-то отследили — началась паника. Попутно часть уже засветилась в новых атаках. Так что залечь на дно и сменить бренд для них — непосильная задача. Мгновенная гратификация и внимание онлайн киберпреступному зумеру дороже любого опсека.
@tomhunter
Двоих кибербогов 18 и 19 лет взяли во вторник, обоим предъявлены обвинения во взломе транспортной службы Лондона в 2024-м. Один оказался посмелее и пароли к устройствам не сдал, за что получит дополнительный пункт обвинения — в UK это серьёзная статья до 2 лет. У другого нашли доказательства участия в атаках по двум клиникам в США — за них тоже добавят обвинения. Иллюзия выбора по-британски. На фоне этого молчание малолетних дарований с последующим уходом в тень понятно: что-то скомпрометировали, кого-то отследили — началась паника. Попутно часть уже засветилась в новых атаках. Так что залечь на дно и сменить бренд для них — непосильная задача. Мгновенная гратификация и внимание онлайн киберпреступному зумеру дороже любого опсека.
@tomhunter
😁7❤3👍3
#news В Microsoft Entra ID были уязвимости, позволявшие получить доступ к любому завязанному на неё инстансу. А разгадка проста: легаси-системы, про которые все забыли, а их разраб всё в этой жизни понял и давно пропал с радаров.
Цепочка из двух уязвимостей сводилась к токенам в бэкенде и критическому багу в легаси Azure AD Graph API — отсутствии валидации этих самых токенов. В результате они давали доступ к любому инстансу с правами глобального админа. В 2023-м китайская апэтэшечка стянула ключ для подписи, позволявший генерировать токены — здесь суть примерно та же с компрометацией всего и вся. Но уязвимость нашёл исследователь, её закрыли за пару дней в июле, happy end. Забивать на легаси-системы — это, конечно, добрая традиция, которую ни один уважающий себя разраб не нарушит, пытаясь понять сумрачный гений предшественников. Но когда это системы управления учётками, последствия могут быть интересными. Подробнее об уязвимостях здесь.
@tomhunter
Цепочка из двух уязвимостей сводилась к токенам в бэкенде и критическому багу в легаси Azure AD Graph API — отсутствии валидации этих самых токенов. В результате они давали доступ к любому инстансу с правами глобального админа. В 2023-м китайская апэтэшечка стянула ключ для подписи, позволявший генерировать токены — здесь суть примерно та же с компрометацией всего и вся. Но уязвимость нашёл исследователь, её закрыли за пару дней в июле, happy end. Забивать на легаси-системы — это, конечно, добрая традиция, которую ни один уважающий себя разраб не нарушит, пытаясь понять сумрачный гений предшественников. Но когда это системы управления учётками, последствия могут быть интересными. Подробнее об уязвимостях здесь.
@tomhunter
🔥5❤3👍3😁1
#news Вышла свежая версия Tails 7.0. В крупном апдейте ОС обзавелась новым ядром, свежим интерфейсом и обновлёнными приложениями. Это первый релиз на основе Debian 13 Trixie.
В нём сменили алгоритм сжатия, так что скорость запуска выросла на 10-15 секунд на радость любителям бенчмарков. Ядро обновили до версии 6.12.43 — это расширило поддержку оборудования и решит извечный вопрос отвалившегося беспроводного модуля, по крайней мере, на части устройств. При этом минимальные требования выросли с 2 ГБ оперативки до трёх. Разрабы считают, что это затронет меньше 2% юзеров, но большие оригиналы в их числе из любителей запустить Tails на хлебопечке, заставшей VHS, конечно, будут недовольны. В общем, время накатывать апдейт, апдейт сам себя не накатит. Буквально — автоматического апгрейда с ранних версий-то нет. Так что не пропустите.
@tomhunter
В нём сменили алгоритм сжатия, так что скорость запуска выросла на 10-15 секунд на радость любителям бенчмарков. Ядро обновили до версии 6.12.43 — это расширило поддержку оборудования и решит извечный вопрос отвалившегося беспроводного модуля, по крайней мере, на части устройств. При этом минимальные требования выросли с 2 ГБ оперативки до трёх. Разрабы считают, что это затронет меньше 2% юзеров, но большие оригиналы в их числе из любителей запустить Tails на хлебопечке, заставшей VHS, конечно, будут недовольны. В общем, время накатывать апдейт, апдейт сам себя не накатит. Буквально — автоматического апгрейда с ранних версий-то нет. Так что не пропустите.
@tomhunter
👍6🔥2🎉1
#news Добрая ИБ-история со счастливым концом. В субботу у паренька с 4 стадией рака, собиравшего деньги на лечение стримингом игр, целевой атакой стянули $32 тысячи криптодрейнером в прямом эфире. Никому в коммьюнити это не понравилось. Вы разозлили нердов.
Как только история всплыла, к расследованию подключились десятки людей. Вектором атаки была игра в Steam в формате “Протестируй наше демо за плату”. Дрейнер оказался навайбкожен, так что его вскрыли в тот же день: вместе с игрой шёл .bat-ник с захардкоженными данными акка в Telegram и токенами от бота, через него вытянули всю инфраструктуру. По итогам на утро понедельника инфру положили, игру снесли из Steam, пострадавших уведомят, всех причастных сдеанонили, оператор оказался из Аргентины по визе в США — его репортнули миграционке, а жертве дрейнера задонатили потерянную им сумму и больше. Мораль проста: не зли кибербез-нердов, вайбкодя малварь у себя в Майами. Форензика по дрейнеру здесь, а история в прямом эфире на vx-underground.
@tomhunter
Как только история всплыла, к расследованию подключились десятки людей. Вектором атаки была игра в Steam в формате “Протестируй наше демо за плату”. Дрейнер оказался навайбкожен, так что его вскрыли в тот же день: вместе с игрой шёл .bat-ник с захардкоженными данными акка в Telegram и токенами от бота, через него вытянули всю инфраструктуру. По итогам на утро понедельника инфру положили, игру снесли из Steam, пострадавших уведомят, всех причастных сдеанонили, оператор оказался из Аргентины по визе в США — его репортнули миграционке, а жертве дрейнера задонатили потерянную им сумму и больше. Мораль проста: не зли кибербез-нердов, вайбкодя малварь у себя в Майами. Форензика по дрейнеру здесь, а история в прямом эфире на vx-underground.
@tomhunter
🔥33❤9👍6🤝2