Белый хакер

Public

Просмотреть канал

394

74.4K

385.1K

Не можете присоединиться? @bezopasno_soft

29.7k Участники

Обновлено: May 13, 2026 at 12:18 AM

Белый хакер

Один из ведущих каналов по информационной безопасности. Реклама - @bashmak_media Мы на бирже: https://telega.in/c/bezopasno_soft РКН: https://vk.cc/cHYq3i

@bezopasno_soft is a growing community focused on httpsvkccchyq3i and bashmak_media and related topics

Рейтинг

Глобальный рейтинг

#456

Рейтинг по языку

#45

Рейтинг по категории

#23

-1

Рост участников (Последние 10 дней)

Всего: 29.7K

Рост за 24ч: +0 0%

Последние посты

Белый хакер

11 мая 2026 г., 07:34

📷 Photo

📱Фейковая капча списывала деньги через SMS

Infoblox раскрыли схему, которая работает с 2020 года. Пользователь заходит на сайт, видит капчу с просьбой «подтвердить что ты человек» через SMS, и незаметно для себя отправляет десятки сообщений на международные номера с высокими тарифами.

👨‍💻 Механика простая. Капча состоит из нескольких шагов, каждый триггерит новое SMS. Телефонные приложения открываются автоматически с уже заполненным номером и текстом - пользователь просто жмёт отправить. За четыре шага уходит до 60 сообщений на 15 разных номеров в 17 странах. Итого около $30 с одного человека. Немного, но при масштабе сходится.

⚙️ Деньги идут через схему IRSF - мошенники регистрируют номера в странах с высокими тарифами на входящий трафик, например в Азербайджане или Казахстане, и получают долю от межоператорских платежей. Жертва видит списание в счёте через несколько недель, когда уже не помнит про капчу.

🔎 Чтобы пользователь не ушёл, страница перехватывает кнопку «назад» через JavaScript и возвращает обратно на фейковую капчу. Единственный выход - полностью закрыть браузер.

P. S. Параллельно та же инфраструктура через Keitaro TDS гоняла крипто-скамы с фейковыми ИИ-трейдерами и дипфейками знаменитостей. 96% трафика вело на дренеры криптокошельков.

#attack #Infosec #socialengeering
👍 https://max.ru/bezopasno_soft

3,140

Белый хакер

11 мая 2026 г., 07:34

📷 Photo

🔥Бэкдор в Cisco ASA пережил все патчи

CISA и британский NCSC раскрыли детали атаки на федеральное агентство США. В сентябре 2025 года на Cisco Firepower устройстве нашли бэкдор FIRESTARTER, и он до сих пор там сидел, несмотря на все обновления прошивки.

👨‍💻Заходили через две уязвимости в ASA. Первая - CVE-2025-20333 с оценкой 9.9, позволяла выполнить произвольный код от имени root через crafted HTTP-запросы. Вторая - CVE-2025-20362, давала доступ к закрытым эндпоинтам без аутентификации. Обе уже закрыты патчами, но устройства, скомпрометированные до патчинга, продолжают оставаться под контролем атакующих.

⚙️ Перед установкой FIRESTARTER на устройство закинули тулкит LINE VIPER. Он умеет выполнять CLI-команды, перехватывать трафик, обходить VPN-аутентификацию и подавлять syslog чтобы скрыть активность. Уже через LINE VIPER установили сам бэкдор.

🔎 FIRESTARTER живёт в загрузочной последовательности устройства - прописывается в startup mount list и поднимается при каждой перезагрузке. Обновление прошивки его не убивает. Единственный способ вычистить - физически выдернуть питание, обычный reboot через CLI не помогает. После этого переустановить прошивку с нуля.

P. S. Cisco отслеживает эту активность под именем UAT4356, первые следы ведут к кампании ArcaneDoor 2024 года. Предположительно китайское происхождение, но официально не подтверждено.

#attack #Infosec #socialengeering
👍 https://max.ru/bezopasno_soft

Белый хакер

11 мая 2026 г., 07:34

📷 Photo

🔉Вебинар-практикум «Безопасность КИИ: от требований регулятора до реальной защиты»

Программа:

➤ Разбор ошибок на реальных примерах
Ситуации из проектов ОПК, ракетно-космической отрасли, ИБ-интегратора. Если у вас есть кейс, в котором нужна экспертная оценка или практический совет — заполните https://forms.yandex.ru/u/69eb2221f47e7303ada7e250.

➤ Регуляторика и контекст
Постепенное усиление требований к мониторингу ИБ, анализу защищенности и импортонезависимости. Что уже работает, а что еще движется.

➤ Новые угрозы и технологии
Атаки на цепочку поставок, IoT, open source, ИИ. Архитектура нулевого доверия, SOAR. Что это значит для защиты КИИ в 2026.

🕔 Вебинар пройдет 29 апреля в 12:00 (МСК)

🎤 Эксперт: Олег Графеев, практикующий специалист в области обеспечения безопасности объектов КИИ. Более 10 лет в ИБ.

🔗 Вебинар бесплатный, но для участия необходима https://my.mts-link.ru/j/18342227/18474239156?erid=2W5zFJeFSV7

3,080

Белый хакер

11 мая 2026 г., 07:34

📷 Photo

🔍Взлом Vercel через OAuth и утечка внутренних данных

Платформа облачной разработки Vercel подтвердила инцидент безопасности: злоумышленники получили доступ к части внутренних систем и попытались продать украденные данные на форумах. Vercel - инфраструктура для деплоя веб-приложений (Next.js, serverless, CI/CD, edge), через которую проходят сборки и релизы тысяч сервисов.

👨‍💻Вход произошёл через компрометацию Google Workspace аккаунта сотрудника через стороннее OAuth-приложение, связанное с AI-сервисом Context.ai. После этого атакующий получил доступ к внутренним системам и начал перемещение внутри инфраструктуры. Дальше цепочка: доступ к переменным окружения → просмотр значений → извлечение данных, которые не были помечены как секретные и не шифровались в состоянии покоя.

🗂Утекли API-ключи (GitHub, NPM токены), фрагменты внутренних развёртываний и данные сотрудников (около 580 записей: имена, почты, статусы аккаунтов и активность), а также части внутренних интерфейсов Vercel Enterprise.

🔎 Компания заявляет, что клиентские сервисы не пострадали, Next.js и open-source проекты остаются в безопасности, идёт расследование с привлечением внешних IR-специалистов и аудитом доступов.

⚙️После инцидента обновили панель управления: добавили проверку чувствительных переменных окружения и контроль их маркировки и использования.

💵В сети появился пост от аккаунта, связанного с ShinyHunters: заявлена продажа доступа и данных, включая ключи и токены, а также обсуждение возможного выкупа около $2 млн.

P. S. Сценарий про цепочку доверия: OAuth-интеграции, корпоративные аккаунты и слабую классификацию секретов в окружениях.

#attack #Infosec #socialengeering
👍 https://max.ru/bezopasno_soft

Белый хакер

11 мая 2026 г., 07:34

📷 Photo

🔐 ФБР читало удалённые сообщения Signal на IOS

Всем привет! ФБР смогло восстановить переписку в Signal с удалённого iPhone через базу данных push-уведомлений. Apple подтвердила баг и закрыла его в iOS 18.7.8 и iOS 26.4.2.

👨‍💻 Проблема в том, что уведомления, которые пользователь удалял, продолжали храниться на устройстве. Signal шифрует сообщения, но содержимое входящих уведомлений оседало в системной базе iOS в открытом виде. При физическом доступе к телефону это можно было извлечь форензик-тулами - даже после удаления самого приложения.

❕ После установки патча все случайно сохранённые уведомления удаляются автоматически. Signal отдельно уточнил, что никаких дополнительных действий со стороны пользователя не нужно, достаточно обновить iOS.

🔎 Это напоминание о том, что даже надёжное шифрование не спасает при физическом доступе к устройству. Уязвимость была не в Signal, а в том, как iOS обрабатывала уведомления на системном уровне. Когда именно баг появился и были ли похожие случаи раньше - Apple не уточняет.

P. S. Если используешь Signal для чувствительной переписки — зайди в настройки профиля, Notifications > Show, и выбери «No name or message». Тогда содержимое вообще не попадёт в уведомления.

#attack #Infosec #Apple
👍 https://max.ru/bezopasno_soft

Белый хакер

11 мая 2026 г., 07:34

[poll]

3,740

Белый хакер

11 мая 2026 г., 07:34

📷 Photo

🔴Утечка из суперкомпьютерного центра Китая

Хакер под псевдонимом FlamingChina заявил о взломе Национального суперкомпьютерного центра в Тяньцзине. За ~6 месяцев он якобы вытащил около 10 ПБ данных. Внутри целые AI-датасеты и материалы лабораторий, связанных с военными разработками.

👨‍💻Вход максимально приземлённый: скомпрометированный VPN-домен. Дальше аккуратная работа в фоне: доступ к нескольким серверам, развёрнутый ботнет и медленная выгрузка маленькими кусками. Никаких пиков или шума, система защиты тупо не видит угрозу.

🗂Утащили обучающие выборки для AI-моделей, аэрокосмические симуляции, данные по гиперзвуковым системам, а еще схемы ракетных разработок
проекты оборонных университетов и подрядчиков.

🔎 Сам центр работает как общий вычислительный хаб: тысячи организаций арендуют мощности. В итоге в одной инфраструктуре крутятся и коммерческие задачи, и чувствительные исследования. Если границы размыты, достаточно одной точки входа.

⚙️И кстати, после появления первых сливов начали пропадать профили учёных с сайта Китайской инженерной академии. Без объяснений и комментариев.

💵Весь массив уже выставлен на продажу за криптовалюту. По оценкам ИБ, реальную ценность из такого объёма смогут извлечь только крупные игроки с ресурсами на обработку.

P. S. Это не история про «невозможный взлом». Скорее про обходы блокировок и отсутствие контроля: полгода тихого доступа к критической инфраструктуре без единого алерта.

#attack #Infosec #socialengeering
👍 https://max.ru/bezopasno_soft

Белый хакер

11 мая 2026 г., 07:34

📷 Photo

💸Взлом биржи на $13 млн

Биржа Grinex из Кыргызстана остановила работу после того, как 15 апреля со счетов утекло $13.74 млн пользовательских средств.

👨‍💻 Биржа так то не новая. Это фактически перезапуск Garantex, которую санкционировали в 2022 за связи с Conti, Hydra и отмыванием через даркнет-маркеты. Когда санкции не остановили работу, в 2025 добавили новые, за $100 млн нелегальных транзакций. Ответом стал ребренд и переезд клиентской базы на Grinex.

⚙️Сразу после взлома украденные USDT конвертировали в ETH и TRX. Делается это быстро и по одной причине - стейблкоины можно заморозить на уровне эмитента, а децентрализованные токены нет. Chainalysis называет это «паническим свопом» и отмечает, что такая схема типична для отмывания. Одновременно пострадал связанный с Grinex TokenSpot, тот в тот же день написал в Telegram про «технические работы».

🔑 Что именно произошло - вопрос открытый. Chainalysis не исключает false flag: атака использует техники самого Garantex, а удар пришёлся точно по инфраструктуре обхода санкций. Реальный взлом или что-то другое - пока непонятно.

P. S Блокчейн прозрачен, но интерпретации расходятся по поводу того, что произошло.

#crypto #Infosec #socialengeering
👍 https://max.ru/bezopasno_soft

Белый хакер

11 мая 2026 г., 07:34

📷 Photo

👍 https://max.ru/bezopasno_soft

3,860

Белый хакер

11 мая 2026 г., 07:34

📷 Photo

📡 Забытые DVR и роутеры собирают в ботнет

Fortinet и Palo Alto зафиксировали новую волну атак на TBK DVR и старые роутеры TP-Link. Устройства захватывают и добавляют в ботнет для DDoS-атак.

👨‍💻Заходят через уязвимость в DVR-регистраторах TBK - тех самых, которые висят в офисах и на складах и про которые все давно забыли. После взлома устройство скачивает малварь Nexcorium, та определяет архитектуру системы, запускается и удаляет сама себя с диска чтобы не нашли.

🗣Дальше Nexcorium начинает расползаться по сети. Пробует соседние устройства через Telnet со списком стандартных логинов и паролей. Если зашла - закрепляется через crontab и systemd и ждёт команды на DDoS. Внутри также зашит отдельный эксплойт под роутеры Huawei HG532.

🔎 Параллельно атакуют старые роутеры TP-Link - TL-WR940N, TL-WR740N, TL-WR841N. Все давно сняты с поддержки, обновлений не будет. Взломы пока не успешные, но сканирование идёт активно.

P. S. Большинство таких заражений происходит через дефолтные пароли на забытом железе. Если в сети есть что-то старое - либо меняй, либо хотя бы смени стандартные креды.

#attack #Infosec #socialengeering
👍 https://max.ru/bezopasno_soft

Белый хакер

24 апр. 2026 г., 11:39

[poll]

2,940

Белый хакер

24 апр. 2026 г., 11:39

Совет на 2026 год — переходите в ML.

Пока обычные разрабы конкурируют с ИИ-копилотами, ML-инженеры эти самые нейронки создают.

В эпоху нейростей это самые востребованые люди в мире программирования. Зарплаты мидлов начинаются от 250 000 ₽, а у сеньоров в BigTech доходят до 700 000 ₽.

А чтобы освоить его всего за 4 месяца без лишней суеты — изучите канал Артема Алехина.

Его бэкграунд: Руководитель команды в Сбере, валютная удаленка. К 22 годам вышел на доход 1 000 000+ ₽ в месяц.

На канале вы найдёте:

— Всё про самые востребованные стеки(Python, ИИ-агенты, NLP) и почему математика — это не страшно, если учить только нужное.

— Как оформить резюме, чтобы оно пролетало через любые LLM-фильтры и ATS-системы прямо к тимлидам.

— Скрипты переговоров, которые помогли его ученикам прыгнуть с 0 до 360к всего за 8 месяцев.

Во времена острой нехватки ML-разработчиков, это лучшее время, чтобы перекатиться. Переходи и изучай: https://t.me/+UoZATNDBrYs3NDcy

2,570

Белый хакер

24 апр. 2026 г., 11:39

📷 Photo

⌨️Реальное фишинговое письмо от «Microsoft».

Сколько красных флагов найдёте?

ОТВЕТ:

1. [FIRSTNAME. LASTNAME] - шаблон не заменили на имя. Массовая рассылка, никто не проверил
2. QR вместо ссылки - антифишинговые фильтры не сканируют QR-коды, поэтому ссылка проходит незамеченной
3. Дедлайн «3 дня» - классическое давление чтобы отключить критическое мышление
4. Дата 05/09/2023 - письмо гуляет уже почти три года
5. Microsoft никогда не просит сканировать QR для подтверждения аккаунта - это не их механика аутентификации​​​​​​​​​​​​​​​​

👍 https://max.ru/bezopasno_soft

3,050

Белый хакер

24 апр. 2026 г., 11:39

📷 Photo

🔐 Google привязал сессии к железу

Привет! Chrome 146 на Windows получил DBSC - Device Bound Session Credentials. Если коротко: украсть куки теперь недостаточно, чтобы зайти в аккаунт.

👨‍💻Схема работает через TPM. При входе Chrome генерирует пару ключей прямо в чипе, они физически не покидают устройство. Сервер выдаёт короткоживущие куки только после того, как браузер докажет владение приватным ключом. Инфостилер утащил куку - она уже протухла, пока он её слал на сервер.

⚙️ Это напрямую бьёт по схеме, которую юзают Lumma, Vidar, Atomic и подобные. Они умеют красть сессионные токены с длинным TTL и продавать их на маркетах. После DBSC такой токен просто не работает без оригинального железа.

🔑 Приватность тоже учли тут. Ключи уникальны для каждой сессии, сайты не могут использовать их для трекинга между разными сессиями. На macOS придёт в следующих релизах через Secure Enclave.

P. S. Google говорит, что уже видит снижение session theft с момента бета-теста. Стандарт разрабатывали вместе с Microsoft, цель сделать его открытым веб-стандартом.

#Google #Infosec #sessionsecurity
👍 https://max.ru/bezopasno_soft

Белый хакер

24 апр. 2026 г., 11:39

📷 Photo

⌨️ Команда недели

Привет! Запускаю новую рубрику, где каждую неделю буду рассказывать об одной команде для вашего пентеста и разбирать её.

nmap -sV -sC -p- --open -T4 

Первое, что запускаю на новом таргете когда нужна реальная картина. По умолчанию nmap сканирует только топ 1000 портов, если сервис висит на 8443 или 2222, ты его просто не увидишь.

👨‍💻Эта сборка гонит все порты, сразу смотрит версии и прогоняет скрипты.

-p- - все 65535 портов
-sV - версии сервисов
-sC - дефолтные NSE-скрипты
--open - только открытые
-T4 - быстро, но в продакшне лучше -T3

P. S. Какой флаг добавляете следующим? 👇

#команда #Nmap #pentest
👍 https://max.ru/bezopasno_soft

3,220

Белый хакер

24 апр. 2026 г., 11:39

📷 Photo

🔔 Claude Mythos уже пишет эксплойты лучше людей

Всем привет! Anthropic выкатили модель Claude Mythos и дали доступ ограниченному кругу компаний, включая Linux Foundation и крупных игроков типа Microsoft и Google. Цель вроде правильная, искать уязвимости и усиливать безопасность. Но по факту мы получили инструмент, который умеет не только находить баги, но и сразу писать рабочие эксплойты.

🎁 Разница с прошлым поколением огромная. Claude Opus 4.6 почти не умел в эксплуатацию уязвимостей, а Mythos уже выдаёт около 72% успешных эксплойтов. Это уже не игрушка для ресёрча, а почти готовый offensive-инструмент. И да, речь не про синтетические кейсы, а про реальные баги в браузерах, ядрах и сетевых сервисах.

⏺ За несколько недель модель нашла тысячи 0-day. Там и древние баги, которым по 20+ лет, и свежие уязвимости в Linux, FFmpeg, браузерах. Плюс показали цепочки атак, где из обычного пользователя можно дойти до root. Фактически, если раньше на это уходили недели ресёрча, теперь это можно собрать за часы.

👨‍💻 Эксплойты становятся доступными не только топовым специалистам. Любой, у кого есть доступ к такой модели, может сильно ускорить атаку. Поэтому Anthropic и ограничили доступ, сначала прогоняют через безопасников. Но понятно, что это временно, дальше такие возможности будут появляться у всех.

P. S Я думаю, скоро навык писать эксплойты вручную станет менее критичным, чем умение правильно задавать задачу модели. Но базу всё равно надо понимать, иначе ты даже не поймёшь, что она делает.

#AI #Anthropic #Эксплойты
👍 https://max.ru/bezopasno_soft

Белый хакер

24 апр. 2026 г., 11:39

📷 Photo

💻 StrongSwan падал от двух пакетов, багу 15 лет

Всем привет! В парсере EAP-TTLS нашли integer underflow, из-за которого можно удалённо уронить VPN без авторизации. Причём достаточно отправить пару специально собранных пакетов. И да, баг жил в коде около 15 лет, затрагивает версии с 4.5.0 по 6.0.4.

👨‍💻 Суть проблемы простая, но неприятная. Парсер AVP не проверял длину перед вычитанием. В диапазоне значений от 0 до 7 происходил underflow, и дальше либо выделяется огромный кусок памяти, либо получаешь null pointer и segfault. В итоге падает демон charon, который держит весь IKE. Для VPN это фактически DoS с минимальными усилиями.

⚙️ Эксплуатация тоже максимально лёгкая. Первый пакет портит хип, второй триггерит падение. Причём поведение зависит от аллокатора, иногда процесс падает сразу, иногда чуть позже, когда используются битые структуры. Но для атакующего это не важно, сервис всё равно ложится.

🔐 Фикс уже есть в версии 6.0.5, добавили нормальную валидацию длины. Если у тебя StrongSwan в проде, я бы не тянул с обновлением. Такие баги любят всплывать в самый неподходящий момент, особенно если VPN критичен для доступа в инфраструктуру.

P. S Я бы ещё посмотрел логи и метрики на предмет странных падений charon, вдруг кто-то уже тестировал это у тебя. И в целом, любые парсеры это всегда зона риска, особенно старый код.

#VPN #StrongSwan #DoS
👍 https://max.ru/bezopasno_soft

Белый хакер

24 апр. 2026 г., 11:39

📷 Photo

⌨️ GPUBreach ломает систему через GPU даже с включённым IOMMU

Я думал, после GDDRHammer уже всё понятно с GPU, но нет. Появилась атака GPUBreach, которая идёт дальше и реально даёт root-доступ через обычное CUDA-ядро. Причём без отключения IOMMU, а это уже серьёзно. Раньше это считалось базовой защитой от DMA-атак, а теперь её обходят через драйвер.

👨‍💻 Суть такая же, Rowhammer по видеопамяти GDDR. Битфлипы в таблицах страниц GPU, дальше получаешь контроль над адресацией и можешь читать и писать память. Но дальше интереснее. Через DMA атака лезет в память CPU, но не напрямую, а через уязвимости в драйвере NVIDIA. По сути, ты портишь внутренние структуры драйвера, и он сам начинает писать куда не надо.

⚙️ В итоге цепочка выглядит так: сначала захват памяти GPU, потом выход в память CPU, потом уже эскалация до root через баги драйвера. И всё это работает даже когда IOMMU включён. Раньше защита строилась именно на нём. Здесь атакующий просто играет внутри доверенной зоны драйвера.

🔑 Бонусом показали, что можно вытаскивать ключи из GPU-памяти, например из cuPQC. То есть если у тебя крипта гоняется на GPU, это уже не такая безопасная история. Плюс можно тихо портить ML-модели или вытаскивать веса. В облаках с shared GPU это выглядит особенно неприятно.

P. S Я бы сейчас очень внимательно относился к запуску любого CUDA-кода, особенно если он не твой. GPU уже не просто ускоритель, а полноценная точка атаки.

#GPU #NVIDIA #RCE
👍 https://max.ru/bezopasno_soft

Белый хакер

24 апр. 2026 г., 11:39

📷 Photo

⌨️ DRBD 9 идёт в ядро Linux, нормальный сетевой RAID

Привет, я тут увидел апдейт по DRBD, и это прям давно назревало. В ядро Linux хотят затащить DRBD 9, потому что текущий вариант в ядре это древний DRBD 8, которому уже лет 15+. Всё это время актуальная версия жила как внешний модуль и нормально не синкалась с ядром. Теперь решили это пофиксить и привести всё к нормальному состоянию.

🖌 Если коротко, DRBD это сетевой RAID-1. Ты объединяешь диски с разных серверов, и система видит это как одно блочное устройство. Все записи на диск сразу улетают на другие ноды. Если один сервер падает, всё продолжает работать. Потом он поднимается и автоматически догоняет состояние. Для кластеров и отказоустойчивых систем это прям база.

👨‍💻 В DRBD 9 добавили нормальные вещи. Можно работать не только через TCP/IP, но и через RDMA или Infiniband. Это даёт сильный буст, меньше нагрузка на CPU и быстрее репликация. Плюс до 32 узлов в кластере, mesh-синхронизация, гибкая настройка sync/async репликации. Например, локально делаешь синхронно, а между датацентрами асинхронно с компрессией и шифрованием.

❕ По факту это уже не просто «зеркало дисков», а полноценный distributed storage на уровне ядра. С учётом network namespaces, двухфазных коммитов и неблокирующей репликации, можно строить довольно сложные схемы без внешних решений. Я думаю, это сильно зайдёт тем, кто не хочет тащить тяжёлые сториджи типа Ceph.

P. S Иногда простое решение на уровне блока лучше, чем огромный зоопарк сервисов.

#Linux #Инфраструктура #Новости
👍 https://max.ru/bezopasno_soft

Белый хакер

24 апр. 2026 г., 11:39

📷 Photo

🔔 Supply chain атаки в PyPI, почему ты уже в зоне риска

Привет, я посмотрел разбор инцидентов с litellm и telnyx, и там всё максимально показательно. Всё началось с утечки API-токена через зависимость Trivy, после чего атакующие начали пушить вредоносные версии прямо в популярные пакеты. Код запускался при установке и спокойно собирал токены, ключи и всё, что лежит у тебя в окружении. По сути, ты просто делаешь pip install, и уже отдаёшь доступ к своей машине.

👨‍💻 Самое опасное тут это не конкретный пакет, а модель атаки. Это уже не тайпсквотинг и не ноунейм библиотеки. Атакуют популярные проекты, воруют токены разработчиков и продолжают цепочку дальше. Один токен тянет за собой другой, и так можно зацепить кучу репозиториев. Если у тебя нет пинов версий или ты ставишь latest, ты автоматически в этой цепочке.

⚙️ Теперь к практике, что реально можно сделать. Самое простое, добавить задержку на установку свежих пакетов. Например, в uv:

[tool.uv]
exclude-newer = "P3D"

Или в pip:

[install]
uploaded-prior-to = P3D

🛡 Это даёт время, чтобы вредонос нашли и снесли. Плюс обязательно использовать lock-файлы с хешами, иначе каждый install это новая рулетка.

🔐 Если ты мейнтейнишь проекты, тут вообще без вариантов. Убирай API-токены и переходи на Trusted Publishers, включай 2FA везде и чисти CI/CD. Особенно внимательно смотри на GitHub Actions, любые входные данные могут превратиться в команду. И да, закрепляй зависимости по SHA, а не по тегам.

P. S Перестал доверять установке зависимостей без фикса версий. Это реально один из самых слабых мест в любой инфраструктуре, особенно в Python.

#Python #PyPI #Infosec
👍 https://max.ru/bezopasno_soft

Белый хакер

1 апр. 2026 г., 11:49

📷 Photo

🔴 Фейковые VPN-клиенты крадут доступы к корпоративным сетям

Привет, сейчас активно крутится новая схема от группы Storm-2561, и она довольно опасная. Хакеры подделывают сайты Ivanti, Cisco, Fortinet и других вендоров VPN, чтобы подсунуть пользователю «клиент». Делают это через SEO poisoning, то есть продвигают фальшивые сайты в поиске. Ты просто гуглишь «Pulse VPN download» и попадаешь не туда.

❕ Визуально всё выглядит максимально легитимно. Те же логотипы, тот же UI, даже ссылки похожи. Дальше тебя ведут на GitHub-репозиторий, где лежит ZIP с MSI-установщиком. После запуска в системе появляется Pulse.exe, плюс подтягиваются DLL вроде dwmapi.dll и сам инфостилер Hyrax. Причём файл подписан реальным, хоть и отозванным сертификатом, что добавляет доверия.

👨‍💻Самый неприятный момент в UX атаки. Тебе показывают «нормальный» интерфейс VPN-клиента и просят ввести логин и пароль. Всё, что ты вводишь, сразу улетает атакующим. Плюс малварь вытаскивает конфиги из connectionsstore.dat, где могут лежать реальные параметры подключения. После этого тебе показывают ошибку установки и перекидывают на настоящий сайт, чтобы ты скачал уже легитимный клиент и ничего не заподозрил.

🔑 По сути, это идеальная social engineering + supply chain имитация. Ты думаешь, что просто скачал VPN, немного не повезло с установкой, и идёшь дальше работать. А доступ к корпоративной сети уже уехал куда надо. Я думаю, такие атаки будут только масштабироваться, потому что они бьют не в софт, а в поведение пользователя.

P. S Я бы всегда проверял домен перед скачиванием любого корпоративного клиента. Особенно если это VPN, SSH-клиент или что-то связанное с доступом в инфраструктуру.

#Phishing #VPN #InfoStealer
👍 https://max.ru/bezopasno_soft

Белый хакер

1 апр. 2026 г., 11:49

📷 Photo

🖌 Slopoly: малварь, которую, похоже, написал ИИ

Всем привет! Ресерчеры из IBM X-Force разобрали новую малварь под названием Slopoly. Бэкдор написан с помощью генеративного ИИ. Его использовали в атаке вместе с шифровальщиком Interlock. Благодаря этому скрипту злоумышленники смогли больше недели спокойно сидеть в системе, собирать данные и выполнять команды.

👨‍💻 Началась атака довольно типично. Социальная инженерия плюс техника ClickFix. Пользователя убеждают выполнить команду или скрипт, после чего в системе появляется PowerShell-бэкдор. Этот скрипт выступает клиентом для C2-инфраструктуры и периодически связывается с сервером управления. Исследователи сразу обратили внимание на стиль кода. Там слишком аккуратные комментарии, грамотная обработка ошибок и идеально читаемые имена переменных. Для обычной малвари это редкость, а вот для LLM-генерации вполне типично.

🗣 Сам Slopoly работает довольно просто. Он отправляет heartbeat на сервер примерно каждые 30 секунд и проверяет наличие команд раз в 50 секунд. После этого выполняет инструкции через cmd.exe и отправляет результат обратно оператору. Закрепляется малварь через планировщик задач, маскируясь под системную задачу Runtime Broker.

⚙️ Функциональность стандартная для RAT. Он может скачивать и запускать EXE, DLL или JS-пейлоады, выполнять shell-команды, обновлять себя и менять интервалы опроса сервера. Самое забавное, что в комментариях скрипта его называют «Polymorphic C2 Persistence Client». Но исследователи не нашли никаких полиморфных возможностей. Похоже, это просто красивое описание, которое выдала языковая модель.

P. S Я уже говорил, мы всё чаще будем видеть малварь, написанную через LLM. Они могут быть не самыми сложными технически, но писать их уже гораздо быстрее.

#Malware #InfoSec #Slopoly
👍 https://max.ru/bezopasno_soft

Белый хакер

1 апр. 2026 г., 11:49

📷 Photo

🔑 CrackArmor: уязвимости в AppArmor позволяют получить root

Всем привет! Исследователи из Qualys нашли сразу 9 уязвимостей в AppArmor, и история получилась довольно неприятная. Самые опасные баги позволяют обычному локальному пользователю получить root-права, выйти из контейнера или просто отключить защиту, которую AppArmor должен обеспечивать. Набор проблем уже получил кодовое имя CrackArmor.

👨‍💻 Самая интересная часть тут в механике. В AppArmor обнаружили уязвимость класса confused deputy. По сути, непривилегированный пользователь может загружать, заменять или удалять профили безопасности. Это делается через псевдофайлы в /sys/kernel/security/apparmor/. Можно подменить профиль для какого-нибудь сервиса или утилиты и снять ограничения. В результате защита превращается в декоративную. Это открывает дорогу к DoS, обходу sandbox и даже повышению привилегий.

💬 Исследователи показали довольно хитрый способ получить root через sudo. Идея в том, чтобы подменить профиль AppArmor так, чтобы запретить capability setuid. После этого sudo не может корректно сбросить привилегии и запускает вспомогательный процесс с root-правами. Дальше используется переменная окружения MAIL_CONFIG, чтобы подсунуть Postfix свой скрипт. root получен без прямого эксплойта ядра. Просто за счёт логики AppArmor и поведения системных утилит.

🔔 Уязвимости существуют ещё с ядра Linux 4.11 (2017 год) и затрагивают дистрибутивы вроде Ubuntu, Debian и SUSE. Патчи уже подготовлены и скоро появятся в обновлениях ядра. В Ubuntu исправления начали распространять вместе с апдейтами пакетов sudo и util-linux.

P. S Системы безопасности часто сложнее обычных программ. А значит баги там иногда оказываются ещё опаснее.

#Linux #AppArmor #InfoSec
👍

Белый хакер

1 апр. 2026 г., 11:49

📷 Photo

🔔 Уязвимость в OpenSSH из‑за патча GSSAPI

Всем привет! Нашли неприятную уязвимость в OpenSSH, но самое интересное тут даже не сама ошибка, а её происхождение. Проблема связана с патчем gssapi.patch, который многие дистрибутивы добавляют в OpenSSH для поддержки обмена ключами через GSSAPI. В официальную кодовую базу этот патч когда‑то не приняли именно из‑за сомнений в безопасности. И вот теперь эти сомнения подтвердились.

❔ Уязвимость получила идентификатор CVE‑2026‑3497. Она может эксплуатироваться удалённо ещё до аутентификации. Исследователь показал, что достаточно отправить один специально сформированный пакет, чтобы SSH‑сервер упал. В худшем случае речь может идти не только о DoS, но и о повреждении памяти и обходе механизма разделения привилегий (Privsep).

👨‍💻 Технически баг связан с обработкой GSSAPI‑сообщений во время обмена ключами. Из‑за ошибки функция sshpkt_disconnect() не завершает соединение как должна. Сервер продолжает обработку пакетов, получает неожиданный тип сообщения и кладёт его в очередь. При этом часть структур остаётся неинициализированной, а дальше начинается весёлое. Эти данные отправляются в привилегированный процесс и могут привести к освобождению памяти по случайному указателю.

⚙️ Исправление пока существует только как отдельный патч. Наличие уязвимости уже подтвердили в Debian и Ubuntu. Но она проявляется только если в конфиге SSH включена опция: GSSAPIKeyExchange yes. Так что стоит проверить свои sshd_config, особенно если серверы собраны из пакетов дистрибутива.

P. S Этот кейс — отличный пример того, почему разработчики иногда очень осторожно относятся к сторонним патчам. Даже если фича полезная, безопасность может пострадать.

#OpenSSH #Linux #SysAdmin
👍

Белый хакер

1 апр. 2026 г., 11:49

📷 Photo

🎁 Zombie ZIP: новый способ прятать малварь внутри архивов

Привет, наткнулся на довольно любопытную технику обхода защит под названием Zombie ZIP. Её показал ресерчер Крис Азиз из Bombadil Systems. Суть в том, что вредонос можно спрятать в ZIP-архив так, что антивирусы и EDR его просто не увидят. При этом файл выглядит вполне обычным архивом.

❕ Фокус строится вокруг манипуляции заголовком ZIP. В поле Method ставится значение 0 (STORED), то есть система думает, что данные лежат без сжатия. Но на самом деле внутри используется алгоритм Deflate. Антивирус смотрит на заголовок, верит ему и начинает анализировать файл как обычные сырые байты. В итоге он видит только случайный шум и не может найти сигнатуры малвари.

👨‍💻 У стандартных архиваторов при распаковке такого файла начинаются странности. Например WinRAR или 7-Zip могут показать ошибку или извлечь повреждённые данные. Всё потому, что CRC-контрольная сумма рассчитана для несжатого содержимого. Но если написать простой загрузчик, который игнорирует заголовок и распаковывает данные как Deflate, вредонос достаётся без проблем.

⬇️ PoC уже выложен на GitHub, а CERT/CC присвоил технике CVE-2026-0866. По сути это старый трюк с несоответствием структуры архивов, но в современной экосистеме он снова оказался эффективным. Защитные системы часто доверяют метаданным формата, а не проверяют реальные данные внутри.

P. S Я бы на месте разработчиков AV сейчас внимательно смотрел на парсеры архивов. Любая несогласованность заголовков и реальных данных — это потенциальная дыра.

#Malware #ZIP #InfoSec
👍

Белый хакер

1 апр. 2026 г., 11:49

📷 Photo

🗂 10 уязвимостей в GStreamer могут дать RCE через обычный медиaфайл

Всем привет! В GStreamer нашли сразу десять уязвимостей, и почти все выглядят довольно неприятно. Если коротко: специально подготовленный медиaфайл может привести к удалённому выполнению кода. Проблемы затрагивают обработку AVI, RTP, H.266, JPEG, ASF, RealMedia и даже субтитров DVB-SUB. Две уязвимости получили рейтинг 8.8, остальные около 7.8.

❌ Технически всё довольно типично для мультимедийных парсеров. В восьми случаях это buffer overflow, ещё в двух integer overflow. Например, баги есть в RTP-плагине, в обработке таблиц Хаффмана JPEG, а также в кодеке H.266.

👨‍💻 Самое интересное начинается, когда смотришь, где используется GStreamer. Он встроен во многие компоненты GNOME. Nautilus, GNOME Videos, Rhythmbox и даже сервис индексирования файлов localsearch. Этот сервис автоматически сканирует файлы в домашней директории и извлекает метаданные. То есть достаточно, чтобы вредоносный медиaфайл просто появился в каталоге пользователя. Его может проиндексировать система, и эксплойт сработает без запуска файла вручную.

🔔 В большинстве дистрибутивов с GNOME такой индексатор включён по умолчанию. Начиная с GNOME 46 процесс уже запускается в sandbox, что немного снижает риск. Но обновление всё равно обязательно. Уязвимости закрыли в версии GStreamer 1.28.1, и теперь многое зависит от того, как быстро дистрибутивы раскатят патчи.

P. S Медиа-парсеры — одна из самых опасных зон в приложениях. Они постоянно обрабатывают сложные форматы и огромные объёмы данных, поэтому баги там появляются регулярно.

#GStreamer #GNOME #InfoSec #RCE
👍

Белый хакер

1 апр. 2026 г., 11:49

📷 Photo

❕ Критические уязвимости в Pingora от Cloudflare

Всем привет! Наткнулся на интересный апдейт от Cloudflare. Они закрыли сразу три уязвимости во фреймворке Pingora. Это сетевой фреймворк на Rust, на котором построена часть их инфраструктуры CDN. Через него прокси обрабатывают десятки миллионов запросов в секунду. Две из найденных проблем получили критический рейтинг 9.3, и связаны они с атаками класса HTTP Request Smuggling.

❔ Суть бага довольно классическая для HTTP-прокси. Фронтенд и бэкенд по-разному трактуют заголовки HTTP. Например, один ориентируется на Content-Length, а другой на Transfer-Encoding: chunked. В результате атакующий может «впихнуть» второй запрос внутрь первого. Фронтенд считает это одним запросом, а бэкенд разбивает поток иначе и выполняет уже второй скрытый запрос.

Атака выглядит примерно так:

GET / HTTP/1.0
Host: example.com
Connection: keep-alive
Transfer-Encoding: identity, chunked
Content-Length: 29

0

GET /admin HTTP/1.1
X:

💼 Прокси видит обычный запрос, а бэкенд внезапно получает дополнительный /admin. Вторая уязвимость похожая. Она связана с заголовком Upgrade. Если прокси раньше времени прокидывает данные в бэкенд, можно нарушить синхронизацию потока и подсунуть новый запрос внутри соединения.

🔔 Есть ещё третья проблема, чуть менее критичная. Там возможен cache poisoning. Ключ кэша строился только по пути из URI и игнорировал заголовок Host. Если несколько сайтов используют один кэш, можно подменить контент одного хоста данными другого.

👨‍💻 Хорошая новость в том, что инфраструктура Cloudflare сама по себе не была уязвима к этим атакам. Их конфигурация прокси блокирует такие сценарии. Но сам фреймворк обновили до версии 0.8.0, где всё это уже закрыто.

P. S HTTP Request Smuggling — это одна из тех атак, которые многие считают «экзотикой». Но на практике она регулярно всплывает в прокси, балансировщиках и API-шлюзах.

#Cloudflare #Rust #InfoSec
👍

Белый хакер

1 апр. 2026 г., 11:49

📷 Photo

💬 Хакеры используют нейросети на всех этапах кибератак

Привет, Microsoft выкатили большой отчёт по киберугрозам, и там довольно тревожный вывод. Сейчас злоумышленники используют ии практически на всех этапах атак. От разведки и подготовки легенды до написания малвари и анализа украденных данных. По сути, нейросети стали для хакеров тем самым «мультипликатором силы», который резко снижает порог входа в киберпреступность.

👨‍💻 Один из самых интересных кейсов в отчёте связан с северокорейскими группировками. Они используют ИИ, чтобы устраиваться на работу в западные IT-компании. Нейросети генерируют резюме, подгоняют их под вакансии и даже создают фейковые профили в LinkedIn. На интервью злоумышленники используют voice-changer и дипфейки, чтобы скрыть акцент и внешность. После найма ИИ помогает им писать код, общаться в рабочих чатах и выглядеть как обычный сотрудник.

💼 Есть и более классические сценарии. Например, группировка Coral Sleet использует языковые модели как своего рода «виртуальных разработчиков». С их помощью они пишут компоненты малвари, создают фишинговые сайты и скрипты для развёртывания инфраструктуры. Чтобы обойти фильтры безопасности в LLM, применяют джейлбрейки и ролевые промпты. Забавно, что такие скрипты иногда палятся по стилю. В коде находят комментарии в разговорном стиле и даже эмодзи вроде ✅ или ❌.

❕ Отдельно исследователи отмечают появление agent-AI. Это автономные агенты, которые могут сами планировать атаки, искать уязвимости и тестировать эксплойты. Пока это только эксперименты, но тенденция уже заметна. Например, Amazon зафиксировали случай, когда один хакер с помощью ИИ смог взломать более 600 FortiGate-устройств в 55 странах всего за несколько недель.

P. S Сигнатурная защита постепенно перестаёт работать. Когда код генерируется нейросетью на лету, его сигнатура меняется каждый раз.

#Безопасность #AI #LLM
👍

Белый хакер

1 апр. 2026 г., 11:49

📷 Photo

📱 В Android закрыли 129 уязвимостей, среди них уже эксплуатируемый 0-day

Привет, Google выкатили мартовский патч безопасности для Android, и там довольно внушительный список фиксов. В сумме закрыли 129 уязвимостей. Самое интересное — среди них есть настоящий 0-day, который уже используется в реальных атаках. Речь про CVE-2026-21385 в компонентах Qualcomm.

👨‍💻 По описанию Qualcomm, баг связан с классической проблемой integer overflow в графическом подкомпоненте чипсетов. Если сильно упростить, из-за переполнения можно повредить память устройства. Это открывает дорогу к эксплуатации на уровне системы. Причём затронуто примерно 235 разных чипсетов Qualcomm, а значит потенциально миллионы устройств.

⚙️ Кроме этого 0-day, в мартовском апдейте закрыли ещё десяток критических уязвимостей в System, Framework и Kernel. Некоторые из них позволяют добиться удалённого выполнения кода. И что самое неприятное, в одном из случаев даже не требуется взаимодействие пользователя. То есть теоретически устройство можно заэксплойтить без кликов и установки APK.

🔔 Патчи вышли в двух наборах. Второй пакет включает всё из первого плюс фиксы для ядра и проприетарных компонентов. Pixel получают обновления почти сразу, а вот остальные Android-устройства обычно ждут, пока производители адаптируют патчи под свою прошивку. Я бы на твоём месте проверил апдейты на телефоне, потому что такие баги иногда становятся частью цепочек эксплуатации.

P. S На практике большинство пользователей годами сидят без обновлений Android. Поэтому даже закрытые уязвимости продолжают жить в старых устройствах и активно используются в атаках.

#Безопасность #Android #InfoSec
👍

Белый хакер

1 апр. 2026 г., 11:49

📷 Photo

👀 Как один тестовый скрипт устроил хаос на Wikipedia

Привет, иногда самые неприятные инциденты в безопасности происходят не из-за хакеров, а из-за обычных тестов. В Wikimedia Foundation недавно пришлось временно перевести Wikipedia и связанные Wiki-сайты в режим ограничений. Причина довольно неожиданная: во время эксперимента инженер случайно запустил старый вредоносный JavaScript-скрипт, который начал распространяться по системе как настоящий червь.

👨‍💻 История получилась довольно показательная. Инженер тестировал лимиты API для пользовательских скриптов и запускал большое количество случайных user scripts. Делалось это с привилегированной учётки, у которой есть доступ к глобальному скрипту MediaWiki. Среди случайных файлов оказался старый скрипт test.js, который много лет лежал на http://ru.wikipedia.org/. Этот код оказался червём и начал автоматически добавлять себя в пользовательские JS-файлы.

🔴 Скрипт внедрялся в User:/common.js и MediaWiki:Common.js, после чего начинал массово редактировать случайные страницы. Для выбора страниц использовалась команда: Special:Random. Он быстро распространился по Meta-Wiki. Получилась цепная реакция. Когда пользователи открывали страницы, вредоносный JS запускался у них в браузере и продолжал заражение. В итоге несколько тысяч страниц были изменены, а примерно у сотни пользователей переписались персональные скрипты.

🔐 К счастью, команда Wikimedia довольно быстро всё остановила. Возможность редактирования временно отключили, выполнение пользовательских JavaScript-скриптов запретили, а страницы откатили. Весь инцидент занял около двух часов. По словам фонда, признаков утечки данных нет, но сам кейс отлично показывает, как опасно запускать непроверенные скрипты с привилегиями администратора.

P. S Никогда не тестируй код на проде с привилегиями. Даже если это «просто эксперимент».

#Безопастьность #Wikipedia #DevSecOps
👍

Showing 30 of 30 posts

No more posts

Рейтинг

Требуется вход

Отзывы пользователей (0)

Пока нет отзывов. Будьте первым, кто поделится своим опытом!

Белый хакер

Белый хакер

Рейтинг

Рост участников (Последние 10 дней)

Последние посты

Рейтинг

Отзывы пользователей (0)

Похожие каналы Telegram

JetTon Proxy 🔓

КЛЕВЕР COEX

КручуВерчу 🤟 SEODEN

Meta-AI | Мета-ИИ

XONE - Приватные читы для CS2

Габи Сатори

Схематоза 3.0

Навигаторская Григория

Похожие каналы Telegram

JetTon Proxy 🔓

КЛЕВЕР COEX

КручуВерчу 🤟 SEODEN

Meta-AI | Мета-ИИ

XONE - Приватные читы для CS2

Габи Сатори

Схематоза 3.0

Навигаторская Григория

Отзывы пользователей (0)

Последние посты