Немного истории. Это Готтфрид Свартхольм, сооснователь The Pirate Bay и один из тех людей, кто по-настоящему верил, что информация должна быть свободной. Он стоял у истоков создания крупнейшего торрент-сайта в мире, который в какой-то момент стал не просто платформой с миллионами пользователей, а настоящим символом цифрового сопротивления.
Пока крупные корпорации и власти пытались уничтожить проект, The Pirate Bay только сильнее превращался в легенду. Команда сайта открыто высмеивала могущественные компании, шутила о переносе серверов в Северную Корею или вообще в космос, будто показывая, что не собирается играть по чужим правилам.
Серверы изымали, сайт отключали, домены блокировали, но он снова и снова возвращался. Судебные иски воспринимались почти как бесплатная реклама, а после рейдов трафик нередко становился даже выше, чем раньше. Вместо того чтобы отступать, создатели The Pirate Bay годами искали лазейки, запутывали суды и ломали привычную систему борьбы с пиратством.
В какой-то момент они даже пытались купить Силенд, крошечное микрогосударство, чтобы уйти от законов об авторском праве. Против проекта выступали правительства сразу нескольких стран, сайт стал одним из самых блокируемых в истории интернета, но окончательно победить его так и не смогли. Более того, The Pirate Bay вдохновил целую волну похожих платформ, а преданные пользователи клонировали сайт, чтобы он продолжал жить даже под постоянным давлением.
Это была настоящая игра в кошки-мышки со всем интернетом. И удивительнее всего то, что мышь раз за разом оказывалась быстрее.
Hacker's TOYS
Пока крупные корпорации и власти пытались уничтожить проект, The Pirate Bay только сильнее превращался в легенду. Команда сайта открыто высмеивала могущественные компании, шутила о переносе серверов в Северную Корею или вообще в космос, будто показывая, что не собирается играть по чужим правилам.
Серверы изымали, сайт отключали, домены блокировали, но он снова и снова возвращался. Судебные иски воспринимались почти как бесплатная реклама, а после рейдов трафик нередко становился даже выше, чем раньше. Вместо того чтобы отступать, создатели The Pirate Bay годами искали лазейки, запутывали суды и ломали привычную систему борьбы с пиратством.
В какой-то момент они даже пытались купить Силенд, крошечное микрогосударство, чтобы уйти от законов об авторском праве. Против проекта выступали правительства сразу нескольких стран, сайт стал одним из самых блокируемых в истории интернета, но окончательно победить его так и не смогли. Более того, The Pirate Bay вдохновил целую волну похожих платформ, а преданные пользователи клонировали сайт, чтобы он продолжал жить даже под постоянным давлением.
Это была настоящая игра в кошки-мышки со всем интернетом. И удивительнее всего то, что мышь раз за разом оказывалась быстрее.
Hacker's TOYS
❤23🔥12👍9
Злоумышленники перестали применять технические взломы, теперь они просто убеждают жертву совершить нужное действие. Push Security опубликовала отчёт о шести методах атак через браузер, которые обходят даже двухфакторную защиту. По данным Microsoft, 47% атак в последний год использовали ClickFix, когда пользователя обманом заставляют «исправить ошибку», скопировав и выполнив вредоносную команду. CrowdStrike зафиксировал рост поддельных CAPTCHA-приманок на 563% за 2025 год. Но самая опасная эволюция этого метода, ConsentFix.
ConsentFix уже применяют в реальных атаках. Жертва попадает на взломанный, но авторитетный сайт через Google Search, вводит корпоративный email в поддельную форму Cloudflare и авторизуется на настоящей странице Microsoft. Затем копирует полученный localhost-URL с кодом OAuth обратно в фишинговую страницу и всё, доступ к аккаунту получен без пароля и без MFA.
Атака эксплуатирует встроенное приложение Microsoft, которому доверяют все организации в Entra ID и которое невозможно ограничить стандартными средствами. Директор по продукту Push Security Жак Лоув объясняет, почему это работает:
О масштабе проблемы свидетельствуют два инцидента 2025 года. Злоумышленники похитили более 1,5 млрд записей из Salesforce у 1000+ организаций через приложения с OAuth-авторизацией. Marks & Spencer потеряла $400 млн после атаки, которая началась с обмана службы поддержки, а капитализация компании просела на $1,3 млрд.
Злоупотребление доверенными учётными записями составляет более трети всех инцидентов в облачных сервисах. MFA не защищает от таких атак, аппаратные ключи безопасности тоже не помогают, вход вообще не требуется. Единственная точка защиты находится в самом браузере, в момент взаимодействия с фишинговой страницей.
Hacker's TOYS
ConsentFix уже применяют в реальных атаках. Жертва попадает на взломанный, но авторитетный сайт через Google Search, вводит корпоративный email в поддельную форму Cloudflare и авторизуется на настоящей странице Microsoft. Затем копирует полученный localhost-URL с кодом OAuth обратно в фишинговую страницу и всё, доступ к аккаунту получен без пароля и без MFA.
Атака эксплуатирует встроенное приложение Microsoft, которому доверяют все организации в Entra ID и которое невозможно ограничить стандартными средствами. Директор по продукту Push Security Жак Лоув объясняет, почему это работает:
Пользователям не нужно отдавать пароль или код MFA. Они просто вставляют URL. И пользователей не учат остерегаться именно этого.
О масштабе проблемы свидетельствуют два инцидента 2025 года. Злоумышленники похитили более 1,5 млрд записей из Salesforce у 1000+ организаций через приложения с OAuth-авторизацией. Marks & Spencer потеряла $400 млн после атаки, которая началась с обмана службы поддержки, а капитализация компании просела на $1,3 млрд.
Злоупотребление доверенными учётными записями составляет более трети всех инцидентов в облачных сервисах. MFA не защищает от таких атак, аппаратные ключи безопасности тоже не помогают, вход вообще не требуется. Единственная точка защиты находится в самом браузере, в момент взаимодействия с фишинговой страницей.
Hacker's TOYS
🔥13👍3
27-летний аналитик данных Кэмерон Карри получил обвинительный приговор за вымогательство у компании Brightly Software, подразделения Siemens. Вердикт вынесен 18 марта 2026 года по шести пунктам, каждый из которых может дать до двух лет тюрьмы.
История началась в конце 2023 года, когда стало понятно, что шестимесячный контракт Карри не продлят. С августа по декабрь он методично копировал зарплатные ведомости и кадровые документы, к которым имел легальный доступ по работе. Буквально на следующий день после окончания контракта 10 декабря начались письма с требованиями.
За полтора месяца Карри под псевдонимом Loot отправил более 60 писем руководству и сотрудникам компании, требуя $2,5 млн в криптовалюте. Интересно, что он подавал вымогательство как благородную борьбу за прозрачность зарплат и справедливую оплату труда, обещая сотрудникам помочь с жалобами в Комиссию по равным возможностям. Вторым рычагом давления стали угрозы сообщить в SEC о нераскрытой утечке данных, используя новые правила об обязательном раскрытии инцидентов.
Brightly выплатила требуемую сумму примерно через месяц после обращения в ФБР 14 декабря 2023 года. Но ФБР вычислило Карри довольно быстро благодаря его ошибкам, он открыл новый счёт на Coinbase на своё имя и привязал к нему карты родственников. Когда 24 января 2024 года агенты пришли с ордером, Карри забаррикадировался в квартире и начал угрожать публикацией данных.
Карри не взламывал системы и не использовал вредоносное ПО. Он просто превратил легальный доступ к данным и регуляторные обязательства компании в оружие против неё. Дата вынесения приговора пока не назначена.
Hacker's TOYS
История началась в конце 2023 года, когда стало понятно, что шестимесячный контракт Карри не продлят. С августа по декабрь он методично копировал зарплатные ведомости и кадровые документы, к которым имел легальный доступ по работе. Буквально на следующий день после окончания контракта 10 декабря начались письма с требованиями.
За полтора месяца Карри под псевдонимом Loot отправил более 60 писем руководству и сотрудникам компании, требуя $2,5 млн в криптовалюте. Интересно, что он подавал вымогательство как благородную борьбу за прозрачность зарплат и справедливую оплату труда, обещая сотрудникам помочь с жалобами в Комиссию по равным возможностям. Вторым рычагом давления стали угрозы сообщить в SEC о нераскрытой утечке данных, используя новые правила об обязательном раскрытии инцидентов.
Brightly выплатила требуемую сумму примерно через месяц после обращения в ФБР 14 декабря 2023 года. Но ФБР вычислило Карри довольно быстро благодаря его ошибкам, он открыл новый счёт на Coinbase на своё имя и привязал к нему карты родственников. Когда 24 января 2024 года агенты пришли с ордером, Карри забаррикадировался в квартире и начал угрожать публикацией данных.
Карри не взламывал системы и не использовал вредоносное ПО. Он просто превратил легальный доступ к данным и регуляторные обязательства компании в оружие против неё. Дата вынесения приговора пока не назначена.
Hacker's TOYS
👍8🔥6
Жена сняла на камеру сид-фразу мужа и вывела 2 323 биткоина. Высокий суд Англии и Уэльса разрешил продолжить разбирательство по делу о краже 2 323 биткоинов стоимостью $172 млн. Судья Коттер 10 марта оценил шансы истца на победу как «крайне высокие». История выглядит как сценарий триллера. Пин Фай Юэн хранил все монеты на одном аппаратном кошельке Trezor, защищённом только PIN-кодом и сид-фразой из 24 слов. Его жена Фан Юнг Ли установила скрытые камеры в их доме в Брайтоне и записала момент, когда муж вводил фразу восстановления. 2 августа 2023 года все $60 млн (на тот момент) ушли на 71 адрес.
Интересно, что дочь предупредила Юэна ещё в июле 2023 года. После этого он сам установил аудиозаписывающее оборудование и записал, как Ли говорит «Биткоин перешёл ко мне». При обыске у неё нашли десять аппаратных кошельков, пять сид-фраз и дорогие часы. Обнаружив пропажу, Юэн напал на Ли и в сентябре 2024 года признал вину по обвинению в нанесении телесных повреждений.
С юридической точки зрения дело необычное. Суд отклонил классический незаконное обращение с чужим имуществом, потому что он применяется только к материальным вещам, которые можно держать в руках. Биткоин не подходит. Зато разрешил продолжить по четырём другим основаниям: неосновательное обогащение, нарушение конфиденциальности, реституция и конструктивный траст. Все они позволяют вернуть монеты или их денежный эквивалент.
Основное слушание назначено на июнь 2026 года. А команда Ли попыталась взыскать £678 715 судебных расходов, но судья назвал их расчёты «поразительными» и «абсурдными». Вывод простой: аппаратный кошелёк защищает от удалённых атак, но не от человека, который живёт в том же доме. Для $172 млн хватило камеры и 24 фраз.
Hacker's TOYS
Интересно, что дочь предупредила Юэна ещё в июле 2023 года. После этого он сам установил аудиозаписывающее оборудование и записал, как Ли говорит «Биткоин перешёл ко мне». При обыске у неё нашли десять аппаратных кошельков, пять сид-фраз и дорогие часы. Обнаружив пропажу, Юэн напал на Ли и в сентябре 2024 года признал вину по обвинению в нанесении телесных повреждений.
С юридической точки зрения дело необычное. Суд отклонил классический незаконное обращение с чужим имуществом, потому что он применяется только к материальным вещам, которые можно держать в руках. Биткоин не подходит. Зато разрешил продолжить по четырём другим основаниям: неосновательное обогащение, нарушение конфиденциальности, реституция и конструктивный траст. Все они позволяют вернуть монеты или их денежный эквивалент.
Основное слушание назначено на июнь 2026 года. А команда Ли попыталась взыскать £678 715 судебных расходов, но судья назвал их расчёты «поразительными» и «абсурдными». Вывод простой: аппаратный кошелёк защищает от удалённых атак, но не от человека, который живёт в том же доме. Для $172 млн хватило камеры и 24 фраз.
Hacker's TOYS
🔥12😁6❤2🤔2
Forwarded from CyberYozh
Мы рады представить вам курс «Анонимность и безопасность 3.0».
Он научит вас создавать анонимную цифровую личность: выглядеть так, как вы хотите, и говорить так, как вы хотите. Станьте блогером, моделью или инфлюенсером: создайте публичный образ, не раскрывая своё настоящее лицо. Сейчас удивительное время, и глупо этим не воспользоваться.
Отдельный модуль посвящён сокрытию данных на устройствах, например защите крипто кошельков (за ней охотятся все от таможни до хакеров и вымогателей). Вы разберёте, как работает duress-пароль: если вынуждают открыть устройство, система выдаст «чистую» приманку, сохранив ваши средства и данные в тайне.
Оплатить можно анонимно и даже взять курс в рассрочку от $100 в месяц. Просто напишите нам @cyacademy_support.
Первым записавшимся — хорошие скидки!
Сайт
https://academy.cyberyozh.com/anonimnost-i-bezopasnost-3-0
Он научит вас создавать анонимную цифровую личность: выглядеть так, как вы хотите, и говорить так, как вы хотите. Станьте блогером, моделью или инфлюенсером: создайте публичный образ, не раскрывая своё настоящее лицо. Сейчас удивительное время, и глупо этим не воспользоваться.
И это только вишенка на торте: курс разбирает анонимность от А до Я, включая цифровые отпечатки, методы деанонимизации 2026 года, анонимные операционные системы, инструменты атаки на инструменты хакера и многое другое.
Отдельный модуль посвящён сокрытию данных на устройствах, например защите крипто кошельков (за ней охотятся все от таможни до хакеров и вымогателей). Вы разберёте, как работает duress-пароль: если вынуждают открыть устройство, система выдаст «чистую» приманку, сохранив ваши средства и данные в тайне.
Оплатить можно анонимно и даже взять курс в рассрочку от $100 в месяц. Просто напишите нам @cyacademy_support.
Первым записавшимся — хорошие скидки!
Сайт
https://academy.cyberyozh.com/anonimnost-i-bezopasnost-3-0
🔥11❤5
Сотрудник подрядчика в Индии открыл фишинговое письмо, и злоумышленники получили доступ к 100 ГБ данных пользователей Crunchyroll, аниме-стримингового сервиса Sony. Точкой входа стала компания Telus Digital, которая обслуживает колл-центр и техническую поддержку Crunchyroll. Вредоносная программа для кражи данных перехватила логин и пароль от Okta, через который злоумышленник пробрался в инфраструктуру Crunchyroll, систему обработки обращений и базы клиентской аналитики. Среди похищенного: IP-адреса, email, реквизиты банковских карт (пока неясно, полные номера или только последние четыре цифры) и данные о поведении пользователей.
Вторжение обнаружили и перекрыли примерно через сутки, но за 24 часа успели выгрузить 100 ГБ, явный признак заранее подготовленной автоматизации. На 23 марта Crunchyroll так и не признала инцидент и не уведомила 15 миллионов подписчиков, хотя взлом произошёл 12 марта.
Но история глубже. Корни взлома Telus уходят к компрометации Salesloft Drift в 2025 году, когда группировка ShinyHunters украла OAuth-токены и получила доступ к данным Salesforce 760 компаний. Оттуда они извлекли учётные данные Google Cloud Platform для Telus и несколько месяцев незаметно перемещались по системам, заявляя о краже почти петабайта данных. Telus отказалась платить выкуп в $65 млн, который требовала ShinyHunters. Взлом затронул 28 компаний-клиентов Telus, но имена остальных пока не раскрыты. Один скомпрометированный подрядчик, десятки пострадавших заказчиков.
Hacker's TOYS
Вторжение обнаружили и перекрыли примерно через сутки, но за 24 часа успели выгрузить 100 ГБ, явный признак заранее подготовленной автоматизации. На 23 марта Crunchyroll так и не признала инцидент и не уведомила 15 миллионов подписчиков, хотя взлом произошёл 12 марта.
Но история глубже. Корни взлома Telus уходят к компрометации Salesloft Drift в 2025 году, когда группировка ShinyHunters украла OAuth-токены и получила доступ к данным Salesforce 760 компаний. Оттуда они извлекли учётные данные Google Cloud Platform для Telus и несколько месяцев незаметно перемещались по системам, заявляя о краже почти петабайта данных. Telus отказалась платить выкуп в $65 млн, который требовала ShinyHunters. Взлом затронул 28 компаний-клиентов Telus, но имена остальных пока не раскрыты. Один скомпрометированный подрядчик, десятки пострадавших заказчиков.
Hacker's TOYS
🔥9👍2🤯1
Федеральный суд в Индиане сегодня приговорил 26-летнего россиянина Алексея Волкова к почти семи годам тюрьмы за то, что он выступал посредником для группировки Yanluowang. С июля 2021 по ноябрь 2022 Волков под ником chubaka.kor взламывал корпоративные сети, эксплуатируя уязвимости и используя украденные учётки, а затем продавал доступ членам группировки, иногда всего за тысячу долларов в биткойнах.
Семь американских компаний стали жертвами схемы: банки, телекомы, юридические конторы. Двое заплатили выкуп на полтора миллиона долларов, а лично Волков получил более 256 тысяч долларов,. Реальный ущерб превысил 9 миллионов.
ФБР вышло на Волкова через Bitcoin-транзакции, а криптобиржа подтвердила, что аккаунт был зарегистрирован на его имя. Арестовали его в Риме в январе 2024 года. В ноябре 2025 Волков признал вину и согласился выплатить компенсацию более 9 миллионов долларов.
В тот же день прокуроры предъявили обвинения 41-летнему Анджело Мартино из Флориды. История невероятная: Мартино работал переговорщиком в компании DigitalMint, которая помогает жертвам шифровальщиков, но одновременно был партнёром группировки BlackCat. Пять его клиентов наняли именно DigitalMint для переговоров, и Мартино вёл переговоры с обеих сторон одновременно, сливая конфиденциальную информацию вымогателям, чтобы увеличить выкуп. Шесть атак принесли более 75 миллионов долларов, два платежа превысили 25 миллионов каждый. Ему грозит до 20 лет.
Hacker's TOYS
Семь американских компаний стали жертвами схемы: банки, телекомы, юридические конторы. Двое заплатили выкуп на полтора миллиона долларов, а лично Волков получил более 256 тысяч долларов,. Реальный ущерб превысил 9 миллионов.
ФБР вышло на Волкова через Bitcoin-транзакции, а криптобиржа подтвердила, что аккаунт был зарегистрирован на его имя. Арестовали его в Риме в январе 2024 года. В ноябре 2025 Волков признал вину и согласился выплатить компенсацию более 9 миллионов долларов.
В тот же день прокуроры предъявили обвинения 41-летнему Анджело Мартино из Флориды. История невероятная: Мартино работал переговорщиком в компании DigitalMint, которая помогает жертвам шифровальщиков, но одновременно был партнёром группировки BlackCat. Пять его клиентов наняли именно DigitalMint для переговоров, и Мартино вёл переговоры с обеих сторон одновременно, сливая конфиденциальную информацию вымогателям, чтобы увеличить выкуп. Шесть атак принесли более 75 миллионов долларов, два платежа превысили 25 миллионов каждый. Ему грозит до 20 лет.
Hacker's TOYS
👍15🔥3❤2🤯2😴2
This media is not supported in your browser
VIEW IN TELEGRAM
МВД России задержало предполагаемого создателя LeakBase, одного из крупнейших хакерских форумов в мире. За ником Chucky, по данным KELA и TriTrace Investigations, стоит 33-летний житель Таганрога Артём Кучумов. LeakBase работал с 2021 года и специализировался на торговле украденными учётными записями, банковскими реквизитами и корпоративными документами. К декабрю 2025 года на форуме было 142 000 участников и 215 000 сообщений. Сотни миллионов учётных записей прошли через эту площадку.
Задержание произошло через три недели после совместной операции ФБР и Европола. 3 марта 2026 года правоохранители 14 стран одновременно провели около 100 обысков и задержаний, арестовав 13 человек. На следующий день ФБР изъяло всю инфраструктуру форума, включая полную базу с аккаунтами, приватными сообщениями и IP-логами.
Администратора вычислили через расследование по открытым источникам. Старые WebMoney ID указывали на Таганрог, а его прежний ник beakdaz был привязан к email на Rambler и тому же Telegram ID, что и администраторский аккаунт LeakBase. Примечательно, что LeakBase запрещал продажу данных российских организаций, типичный признак того, что администратор находился в России и избегал внимания местных властей.
Интересно, что Европол публично заявил о непричастности к задержанию: «Мы не сотрудничаем с российскими властями и не участвовали в задержании». Россия крайне редко задерживает киберпреступников после международных операций, последний раз это было в январе 2022 с группировкой REvil.
У ФБР есть IP-логи, приватные сообщения и история транзакций всех 142 000 пользователей форума. Личность любого участника без должной анонимизации может быть установлена.
Признавайтесь, кто сидел там?
Hacker's TOYS
Задержание произошло через три недели после совместной операции ФБР и Европола. 3 марта 2026 года правоохранители 14 стран одновременно провели около 100 обысков и задержаний, арестовав 13 человек. На следующий день ФБР изъяло всю инфраструктуру форума, включая полную базу с аккаунтами, приватными сообщениями и IP-логами.
Администратора вычислили через расследование по открытым источникам. Старые WebMoney ID указывали на Таганрог, а его прежний ник beakdaz был привязан к email на Rambler и тому же Telegram ID, что и администраторский аккаунт LeakBase. Примечательно, что LeakBase запрещал продажу данных российских организаций, типичный признак того, что администратор находился в России и избегал внимания местных властей.
Интересно, что Европол публично заявил о непричастности к задержанию: «Мы не сотрудничаем с российскими властями и не участвовали в задержании». Россия крайне редко задерживает киберпреступников после международных операций, последний раз это было в январе 2022 с группировкой REvil.
У ФБР есть IP-логи, приватные сообщения и история транзакций всех 142 000 пользователей форума. Личность любого участника без должной анонимизации может быть установлена.
Признавайтесь, кто сидел там?
Hacker's TOYS
🔥17🤯7❤3😁3🤔2👎1
27 марта исследователи Gen Digital описали новую программу-шпион Torg Grabber, нацеленную на кражу данных из браузеров, приложений и расширений, особенно криптовалютных кошельков. Вредонос атакует 850 расширений браузера, из которых 728 связаны с криптокошельками.
Torg Grabber использует технику ClickFix для заражения: жертву убеждают самостоятельно запустить вредоносную PowerShell-команду, скопировав её в буфер обмена и вставив в окно Win+R. Загрузка происходит через службу BITS (Background Intelligent Transfer Service), которая маскируется под обычную работу системы. В качестве приманок используются фейковые читы для игр и взломанное ПО.
За три месяца зафиксировано 334 уникальных образца, что указывает на активную разработку. Вредонос развивался в три фазы: от отправки данных через Telegram Bot API к зашифрованному TCP-протоколу, а затем к REST API поверх HTTPS с передачей через Cloudflare. Новая схема использует ChaCha20, HMAC-SHA256, регистрацию машины через /api/auth и порционную передачу данных.
Torg Grabber нацелен на 25 браузеров Chromium и 8 вариантов Firefox. Среди целей, 728 расширений криптокошельков (MetaMask, Phantom, Trust Wallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare) и 103 расширения для паролей и двухфакторной аутентификации (LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, 2FAAuth, GAuth, TOTP Authenticator, Akamai MFA).
Дополнительно вредонос крадёт данные из Discord, Telegram, Steam, VPN-приложений, FTP-клиентов, email-клиентов, настольных криптокошельков, делает скриншоты, собирает файлы из Desktop и Documents, профилирует систему и регистрирует установленное ПО, включая антивирусы.
С 22 декабря 2025 года Torg Grabber умеет обходить App-Bound Encryption в Chrome, Brave, Edge, Vivaldi и Opera. Для этого используется отдельный DLL-компонент и обращение к Chrome COM Elevation Service, чтобы извлечь мастер-ключ шифрования и получить доступ к cookies. Вредонос также выполняет shellcode, получаемый с командного сервера в зашифрованном и сжатом виде.
В бинарниках зафиксировано более 40 идентификаторов операторов, что указывает на модель MaaS (malware-as-a-service): есть команда разработчиков и отдельные клиенты-операторы, использующие готовую панель и инфраструктуру.
Hacker's TOYS
Torg Grabber использует технику ClickFix для заражения: жертву убеждают самостоятельно запустить вредоносную PowerShell-команду, скопировав её в буфер обмена и вставив в окно Win+R. Загрузка происходит через службу BITS (Background Intelligent Transfer Service), которая маскируется под обычную работу системы. В качестве приманок используются фейковые читы для игр и взломанное ПО.
За три месяца зафиксировано 334 уникальных образца, что указывает на активную разработку. Вредонос развивался в три фазы: от отправки данных через Telegram Bot API к зашифрованному TCP-протоколу, а затем к REST API поверх HTTPS с передачей через Cloudflare. Новая схема использует ChaCha20, HMAC-SHA256, регистрацию машины через /api/auth и порционную передачу данных.
Torg Grabber нацелен на 25 браузеров Chromium и 8 вариантов Firefox. Среди целей, 728 расширений криптокошельков (MetaMask, Phantom, Trust Wallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare) и 103 расширения для паролей и двухфакторной аутентификации (LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, 2FAAuth, GAuth, TOTP Authenticator, Akamai MFA).
Дополнительно вредонос крадёт данные из Discord, Telegram, Steam, VPN-приложений, FTP-клиентов, email-клиентов, настольных криптокошельков, делает скриншоты, собирает файлы из Desktop и Documents, профилирует систему и регистрирует установленное ПО, включая антивирусы.
С 22 декабря 2025 года Torg Grabber умеет обходить App-Bound Encryption в Chrome, Brave, Edge, Vivaldi и Opera. Для этого используется отдельный DLL-компонент и обращение к Chrome COM Elevation Service, чтобы извлечь мастер-ключ шифрования и получить доступ к cookies. Вредонос также выполняет shellcode, получаемый с командного сервера в зашифрованном и сжатом виде.
В бинарниках зафиксировано более 40 идентификаторов операторов, что указывает на модель MaaS (malware-as-a-service): есть команда разработчиков и отдельные клиенты-операторы, использующие готовую панель и инфраструктуру.
Hacker's TOYS
🔥10❤4👍2🌚2
22 марта 2026 года злоумышленник получил доступ к AWS KMS протокола Resolv и скомпрометировал привилегированный ключ подписи SERVICE_ROLE. Это позволило ему выпустить 80 миллионов необеспеченных стейблкоинов USR при наличии залога всего на $100–200 тысяч. За несколько минут атакующий вывел около $23 миллионов в ETH.
Уязвимость крылась не в коде смарт-контракта, а в его архитектуре. Функция completeSwap проверяла только минимальный объём выпуска токенов, но не максимальный. В системе отсутствовали проверки залога, оракулы цен и какие-либо лимиты. Ключ в AWS KMS подписывал транзакции через API, не экспортируясь за пределы облака.
Курс USR рухнул с $1 до $0,025 на Curve Finance за 17 минут. Злоумышленник конвертировал токены в wstUSR, затем обменял их на USDC, USDT и ETH через децентрализованные биржи. На его кошельке осталось около 11 400 ETH (примерно $24 миллиона) и около 20 миллионов wstUSR. Курс USR ненадолго восстановился до $0,85, после чего снова упал до $0,14.
Протокол Resolv прошёл 18 аудитов безопасности, однако ни один из них не включал проверку управления ключами в облаке и отсутствия лимитов на уровне блокчейна. Команда приостановила работу протокола и предложила злоумышленнику вернуть 90% похищенных средств, но предложение было проигнорировано. Точный способ компрометации AWS KMS до сих пор неизвестен.
Hacker's TOYS
Уязвимость крылась не в коде смарт-контракта, а в его архитектуре. Функция completeSwap проверяла только минимальный объём выпуска токенов, но не максимальный. В системе отсутствовали проверки залога, оракулы цен и какие-либо лимиты. Ключ в AWS KMS подписывал транзакции через API, не экспортируясь за пределы облака.
Курс USR рухнул с $1 до $0,025 на Curve Finance за 17 минут. Злоумышленник конвертировал токены в wstUSR, затем обменял их на USDC, USDT и ETH через децентрализованные биржи. На его кошельке осталось около 11 400 ETH (примерно $24 миллиона) и около 20 миллионов wstUSR. Курс USR ненадолго восстановился до $0,85, после чего снова упал до $0,14.
Протокол Resolv прошёл 18 аудитов безопасности, однако ни один из них не включал проверку управления ключами в облаке и отсутствия лимитов на уровне блокчейна. Команда приостановила работу протокола и предложила злоумышленнику вернуть 90% похищенных средств, но предложение было проигнорировано. Точный способ компрометации AWS KMS до сих пор неизвестен.
Hacker's TOYS
🤯12🔥7😁3🤔2
Связанная с Ираном группировка Handala 27 марта 2026 года опубликовала более трёхсот электронных писем и личные фотографии из Gmail директора ФБР Кэша Пателя. Атака стала прямым ответом на действия американских властей, которые восемью днями ранее изъяли четыре домена группировки, а Госдеп объявил награду в десять миллионов долларов за информацию о её участниках. ФБР подтвердило взлом, но заявило, что похищенные данные носят исторический характер и не содержат государственной информации.
Большая часть опубликованных писем датирована периодом с 2010 по 2012 год, самый свежий документ в архиве, квитанция на авиабилет 2022 года. Среди материалов оказались семейная переписка, квитанции на перелёты и бронирования поездок. На фотографиях Патель позирует с сигарой у ретроавтомобилей с кубинскими номерами. Метаданные файлов указывают, что взлом произошёл задолго до текущего конфликта, папки с письмами последний раз изменялись 21 мая 2025 года.
Особый интерес представляет деталь, связанная с операционной безопасностью. В 2014 году Патель, работавший в отделе национальной безопасности Минюста, переслал письмо со ссылкой со своего рабочего адреса, поставив в копию адреса в ФБР личную почту Gmail. Эта практика связывания служебных и личных аккаунтов, которая сейчас запрещена федеральными правилами, могла сделать аккаунт уязвимым на годы вперёд.
Handala назвала причиной атаки потопление иранского фрегата IRIS Dena американской подводной лодкой 4 марта, в результате которого погибли 87 моряков. Группировка восстановила работу на новых доменах уже через несколько часов после изъятия 19 марта и следующую неделю провела, рассылая угрозы американским и израильским чиновникам. Взлом личного аккаунта директора ФБР той же группировкой, против которой бюро изъяло домены и назначило награду, наносит удар по репутации вне зависимости от содержания утечки.
Hacker's TOYS
Большая часть опубликованных писем датирована периодом с 2010 по 2012 год, самый свежий документ в архиве, квитанция на авиабилет 2022 года. Среди материалов оказались семейная переписка, квитанции на перелёты и бронирования поездок. На фотографиях Патель позирует с сигарой у ретроавтомобилей с кубинскими номерами. Метаданные файлов указывают, что взлом произошёл задолго до текущего конфликта, папки с письмами последний раз изменялись 21 мая 2025 года.
Особый интерес представляет деталь, связанная с операционной безопасностью. В 2014 году Патель, работавший в отделе национальной безопасности Минюста, переслал письмо со ссылкой со своего рабочего адреса, поставив в копию адреса в ФБР личную почту Gmail. Эта практика связывания служебных и личных аккаунтов, которая сейчас запрещена федеральными правилами, могла сделать аккаунт уязвимым на годы вперёд.
Handala назвала причиной атаки потопление иранского фрегата IRIS Dena американской подводной лодкой 4 марта, в результате которого погибли 87 моряков. Группировка восстановила работу на новых доменах уже через несколько часов после изъятия 19 марта и следующую неделю провела, рассылая угрозы американским и израильским чиновникам. Взлом личного аккаунта директора ФБР той же группировкой, против которой бюро изъяло домены и назначило награду, наносит удар по репутации вне зависимости от содержания утечки.
Hacker's TOYS
🔥10❤2👾2🤯1
Популярная JavaScript-библиотека axios стала жертвой масштабной атаки на цепочку поставок. Исследователи из StepSecurity обнаружили две вредоносные версии пакета в npm 1.14.1 и 0.30.4. Злоумышленники не трогали код самого axios, вместо этого добавив в зависимости специально созданный пакет plain-crypto-js версии 4.2.1.
Атака была продумана до мелочей. Хакеры получили доступ к учётным данным одного из ключевых разработчиков и обошли стандартный процесс публикации через GitHub Actions, выпустив пакеты вручную через npm CLI. Они даже подменили email издателя на адрес в ProtonMail. Вредоносная зависимость готовилась заранее: сначала появилась версия 4.2.0 для маскировки под легитимный пакет, затем вышла 4.2.1 с опасным postinstall-скриптом.
Атака срабатывала не во время работы приложения, а уже при установке через npm install. Скрипт автоматически устанавливал троян удалённого доступа, который работал на macOS, Windows и Linux. После запуска вредоносный код удалял следы своего присутствия и подменял package.json на чистую версию.
Ситуация была особенно опасной из-за популярности axios, более ста миллионов загрузок каждую неделю. Заражённые версии появились в npm ночью 31 марта 2026 года и были быстро удалены, но даже короткое время их доступности создало угрозу для CI-систем и компьютеров разработчиков, где зависимости устанавливаются автоматически.
Hacker's TOYS
Атака была продумана до мелочей. Хакеры получили доступ к учётным данным одного из ключевых разработчиков и обошли стандартный процесс публикации через GitHub Actions, выпустив пакеты вручную через npm CLI. Они даже подменили email издателя на адрес в ProtonMail. Вредоносная зависимость готовилась заранее: сначала появилась версия 4.2.0 для маскировки под легитимный пакет, затем вышла 4.2.1 с опасным postinstall-скриптом.
Атака срабатывала не во время работы приложения, а уже при установке через npm install. Скрипт автоматически устанавливал троян удалённого доступа, который работал на macOS, Windows и Linux. После запуска вредоносный код удалял следы своего присутствия и подменял package.json на чистую версию.
Ситуация была особенно опасной из-за популярности axios, более ста миллионов загрузок каждую неделю. Заражённые версии появились в npm ночью 31 марта 2026 года и были быстро удалены, но даже короткое время их доступности создало угрозу для CI-систем и компьютеров разработчиков, где зависимости устанавливаются автоматически.
Hacker's TOYS
🔥10❤2👍1🤯1👾1
Исследователь безопасности Чаофан Шоу обнаружил, что полный исходный код Claude Code CLI от Anthropic случайно попал в открытый доступ через npm-реестр. Причина оказалась простой: в пакет включили source map файл размером 57 МБ, который содержал весь оригинальный код, около 1900 файлов и более 512 тысяч строк TypeScript. Всё дело в том, что Bun-бандлер генерирует source maps по умолчанию, а разработчики забыли исключить .map файлы через .npmignore.
Помимо технической архитектуры и системных промптов, в коде нашлись четыре нереализованные системы. KAIROS, постоянно активный ассистент, который ведёт дневники и может инициировать действия самостоятельно. ULTRAPLAN запускает Opus 4.6 в облачном контейнере с получасовым лимитом на планирование. Buddy, система-компаньон в стиле тамагочи с 18 видами и редкими шайни-вариантами, которую планируют запустить в мае 2026. Dream работает в фоне и консолидирует память.
Самая обсуждаемая находка это режим "Undercover Mode". Он автоматически включается при работе с внешними репозиториями и запрещает AI упоминать внутренние кодовые имена, версии и даже фразу "Claude Code" в коммитах. В инструкции буквально написано "Do not blow your cover". Режим работает по умолчанию, что подтверждает: сотрудники Anthropic используют Claude Code для вклада в open-source проекты.
Hacker's TOYS
Помимо технической архитектуры и системных промптов, в коде нашлись четыре нереализованные системы. KAIROS, постоянно активный ассистент, который ведёт дневники и может инициировать действия самостоятельно. ULTRAPLAN запускает Opus 4.6 в облачном контейнере с получасовым лимитом на планирование. Buddy, система-компаньон в стиле тамагочи с 18 видами и редкими шайни-вариантами, которую планируют запустить в мае 2026. Dream работает в фоне и консолидирует память.
Самая обсуждаемая находка это режим "Undercover Mode". Он автоматически включается при работе с внешними репозиториями и запрещает AI упоминать внутренние кодовые имена, версии и даже фразу "Claude Code" в коммитах. В инструкции буквально написано "Do not blow your cover". Режим работает по умолчанию, что подтверждает: сотрудники Anthropic используют Claude Code для вклада в open-source проекты.
Hacker's TOYS
🔥19❤4👍2😱2👾1
1 апреля 2026 Drift Protocol, крупнейшая децентрализованная биржа бессрочных фьючерсов в экосистеме Solana, потеряла около $285 млн всего за 12 минут и причиной была не уязвимость смарт-контрактов. По предварительным оценкам TRM Labs, атака напоминает почерк северокорейских группировок.
С 11 марта злоумышленник раскрутил полностью фальшивый токен CarbonVote Token (CVT): завел небольшую ликвидность на Raydium, нарисовал сделки и ценовую историю около $1, после чего оракулы Drift начали воспринимать CVT как нормальное обеспечение.
Дальше в ход пошли аккаунты Solana с durable nonce: транзакции можно подписать заранее и выполнить позже. Через социнженерию, участникам мультиподписи подсунули обычные на вид операции, внутри которых оказались скрытые разрешения на критические административные действия.
После перевода на схему 2 из 5 без таймлока злоумышленник быстро добавил CVT как отдельный рынок, поднял лимиты на вывод и опустошил почти 20 хранилищ. Затем активы конвертировали в USDC и SOL, перевели из Solana в Ethereum через Circle CCTP и обменяли на ETH. По ончейн-данным на кошельках атакующего видно около 129 066 ETH. TVL Drift снизился примерно с $550 млн до $252 млн, токен DRIFT падал примерно на 40%. Drift начала связываться с владельцами кошельков в Ethereum и предлагать переговоры.
Hacker's TOYS
С 11 марта злоумышленник раскрутил полностью фальшивый токен CarbonVote Token (CVT): завел небольшую ликвидность на Raydium, нарисовал сделки и ценовую историю около $1, после чего оракулы Drift начали воспринимать CVT как нормальное обеспечение.
Дальше в ход пошли аккаунты Solana с durable nonce: транзакции можно подписать заранее и выполнить позже. Через социнженерию, участникам мультиподписи подсунули обычные на вид операции, внутри которых оказались скрытые разрешения на критические административные действия.
После перевода на схему 2 из 5 без таймлока злоумышленник быстро добавил CVT как отдельный рынок, поднял лимиты на вывод и опустошил почти 20 хранилищ. Затем активы конвертировали в USDC и SOL, перевели из Solana в Ethereum через Circle CCTP и обменяли на ETH. По ончейн-данным на кошельках атакующего видно около 129 066 ETH. TVL Drift снизился примерно с $550 млн до $252 млн, токен DRIFT падал примерно на 40%. Drift начала связываться с владельцами кошельков в Ethereum и предлагать переговоры.
Hacker's TOYS
🔥14❤4👾3🤯2
Когда пишут “больше нельзя быть анонимным”, это обычно означает нельзя быть анонимным так, как мы привыкли думать. Сам смысл слова сдвигается каждый год, и за последние двенадцать месяцев он сдвинулся сильнее, чем за предыдущие пять. Вот пять способов связать ваше анонимное “я” с реальным, которых год назад либо не существовало, либо они работали в десять раз хуже.
Языковые модели научились опознавать авторов по тексту. Недавно на arXiv вышли сразу две работы, которые показали, что современный LLM-агент, имея на руках небольшую базу публичных текстов кандидатов, уверенно определяет автора анонимной статьи по стилю, длине предложений, любимым словам, пунктуации, ритму.
Фотография больше не нуждается в геотегах, чтобы сдать вашу геолокацию. В 2025 года 404 Media опубликовали расследование про сервис GeoSpy от бостонской Graylark Technologies, который определяет место съемки по архитектуре, растительности, типу асфальта, углу солнца и десяткам других визуальных признаков. В актуальной версии с движком SuperBolt точность доходит до метра в пределах известной им городской среды. После публикации публичный доступ закрыли, но коммерческая версия для правоохранителей и бизнеса продолжает работать, и клоны уже появились в Google Play. Селфи на фоне ничем не примечательной стены в вашем дворе теперь содержит ваш домашний адрес.
Браузер сдает вас даже с полностью выключенным JavaScript. На конференции NDSS 2025 представили работу под названием Cascading Spy Sheets, в которой показали, как из одного CSS без единой строчки скриптов собирается фингерпринт, уникальный для 97,95 % комбинаций браузера и операционной системы. Техника работает в Tor Browser на максимальных настройках безопасности, где заблокировано практически все, что можно заблокировать. А исследователи из Texas A&M и Johns Hopkins опубликовали первое прямое доказательство того, что фингерпринт уже используется для сквозного трекинга в рекламных сетях, а не только для борьбы с ботами, как любят говорить маркетологи.
В июне 2025 года на даркнете всплыла коллекция из шестнадцати миллиардов учетных записей, собранная инфостилерами из Google, Apple и Telegram. Не просто пароли, а живые токены сессий. С паролем злоумышленнику еще нужно пройти двухфакторную аутентификацию, а с токеном сессии он просто вставляет его в свой браузер и оказывается внутри вашего аккаунта, никого ни о чем не предупреждая. Если ваш анонимный аккаунт когда-либо открывался на той же машине, что и рабочий, у вас уже нет анонимного аккаунта.
Инфостилеры научились красть Telegram-сессии целиком. PupkinStealer, появившийся весной 2025 года, копирует папку с данными десктопного Telegram и передает ее своему владельцу через обычного Telegram-бота. На стороне жертвы ничего не происходит, ни уведомления о новом входе, ни запроса кода подтверждения, ни отметки в списке активных сессий. За первое полугодие 2025 инфостилеры вытащили 1,8 миллиарда учеток и сессий, рост в восемь раз по сравнению с предыдущим полугодием. Ваш анонимный телеграм-аккаунт под седьмой SIM-картой защищен ровно настолько, насколько защищено устройство, с которого вы в него заходите.
Я выбрал эти пять, а не другие, потому что у каждого из них есть одна общая черта, год назад никто из них не работал так, как работает сейчас. Какие-то существовали в виде академических работ без практического применения, какие-то не существовали вовсе. За двенадцать месяцев пять разных исследовательских групп и одна утечка дали в руки любому человеку с интересом и минимальным навыком инструменты, которые раньше требовали либо многолетнего опыта, либо доступа к серьезной инфраструктуре.
Hacker's TOYS
Языковые модели научились опознавать авторов по тексту. Недавно на arXiv вышли сразу две работы, которые показали, что современный LLM-агент, имея на руках небольшую базу публичных текстов кандидатов, уверенно определяет автора анонимной статьи по стилю, длине предложений, любимым словам, пунктуации, ритму.
Фотография больше не нуждается в геотегах, чтобы сдать вашу геолокацию. В 2025 года 404 Media опубликовали расследование про сервис GeoSpy от бостонской Graylark Technologies, который определяет место съемки по архитектуре, растительности, типу асфальта, углу солнца и десяткам других визуальных признаков. В актуальной версии с движком SuperBolt точность доходит до метра в пределах известной им городской среды. После публикации публичный доступ закрыли, но коммерческая версия для правоохранителей и бизнеса продолжает работать, и клоны уже появились в Google Play. Селфи на фоне ничем не примечательной стены в вашем дворе теперь содержит ваш домашний адрес.
Браузер сдает вас даже с полностью выключенным JavaScript. На конференции NDSS 2025 представили работу под названием Cascading Spy Sheets, в которой показали, как из одного CSS без единой строчки скриптов собирается фингерпринт, уникальный для 97,95 % комбинаций браузера и операционной системы. Техника работает в Tor Browser на максимальных настройках безопасности, где заблокировано практически все, что можно заблокировать. А исследователи из Texas A&M и Johns Hopkins опубликовали первое прямое доказательство того, что фингерпринт уже используется для сквозного трекинга в рекламных сетях, а не только для борьбы с ботами, как любят говорить маркетологи.
В июне 2025 года на даркнете всплыла коллекция из шестнадцати миллиардов учетных записей, собранная инфостилерами из Google, Apple и Telegram. Не просто пароли, а живые токены сессий. С паролем злоумышленнику еще нужно пройти двухфакторную аутентификацию, а с токеном сессии он просто вставляет его в свой браузер и оказывается внутри вашего аккаунта, никого ни о чем не предупреждая. Если ваш анонимный аккаунт когда-либо открывался на той же машине, что и рабочий, у вас уже нет анонимного аккаунта.
Инфостилеры научились красть Telegram-сессии целиком. PupkinStealer, появившийся весной 2025 года, копирует папку с данными десктопного Telegram и передает ее своему владельцу через обычного Telegram-бота. На стороне жертвы ничего не происходит, ни уведомления о новом входе, ни запроса кода подтверждения, ни отметки в списке активных сессий. За первое полугодие 2025 инфостилеры вытащили 1,8 миллиарда учеток и сессий, рост в восемь раз по сравнению с предыдущим полугодием. Ваш анонимный телеграм-аккаунт под седьмой SIM-картой защищен ровно настолько, насколько защищено устройство, с которого вы в него заходите.
Я выбрал эти пять, а не другие, потому что у каждого из них есть одна общая черта, год назад никто из них не работал так, как работает сейчас. Какие-то существовали в виде академических работ без практического применения, какие-то не существовали вовсе. За двенадцать месяцев пять разных исследовательских групп и одна утечка дали в руки любому человеку с интересом и минимальным навыком инструменты, которые раньше требовали либо многолетнего опыта, либо доступа к серьезной инфраструктуре.
Hacker's TOYS
🔥17❤11👍7🤯5💯2
Спустя полгода после того, как ФБР захватило домен BreachForums 10 октября 2025 года, под этим именем работает уже несколько форумов одновременно, и каждый администратор называет себя законным наследником. 26 марта группа ShinyHunters выпустила заявление, в котором отказалась сразу от двух самых заметных претендентов с никами N/A и Indra, назвав их фейковыми личностями, прицепившимися к похожим на оригинал форумам. Все нынешние BreachForums, по словам ShinyHunters, к ним отношения не имеют.
Параллельно идёт волна доксов и контр-доксов между конкурирующими админстраторами. Команда модераторов одного из клонов угрожала публично деанонить N/A перед «сотнями тысяч людей» из-за обвинения в продаже инфраструктуры форума за 4 тысячи долларов. Почти все попытки публично связать ники администраторов с реальными людьми в этой истории опираются на одну и ту же базу: на список пользователей форума, опубликованный в январе 2026 года вместе с 23-страничным документом, который якобы написал бывший участник ShinyHunters. Аналитики Resecurity, посмотревшие на эту базу, пришли к выводу, что её, скорее всего, специально слили как дезинформацию, чтобы запутать расследования. В записях нашлись служебные адреса вроде 127.0.0.9. Это след намеренной осторожности администраторов форума.
На этом фоне 9 апреля анонимный аккаунт
Это уже второе имя за последние месяцы, которое анонимные источники привязывают к одному и тому же нику N/A. Первое было названо в январском документе, оно с нынешним не совпадает. Все подтверждённые имена администраторов BreachForums за всю историю форума, Pompompurin/Фицпатрик, Baphomet, IntelBroker, четверо французских арестов в июне 2025, пришли из материалов правоохранительных органов.
Hacker's TOYS
Параллельно идёт волна доксов и контр-доксов между конкурирующими админстраторами. Команда модераторов одного из клонов угрожала публично деанонить N/A перед «сотнями тысяч людей» из-за обвинения в продаже инфраструктуры форума за 4 тысячи долларов. Почти все попытки публично связать ники администраторов с реальными людьми в этой истории опираются на одну и ту же базу: на список пользователей форума, опубликованный в январе 2026 года вместе с 23-страничным документом, который якобы написал бывший участник ShinyHunters. Аналитики Resecurity, посмотревшие на эту базу, пришли к выводу, что её, скорее всего, специально слили как дезинформацию, чтобы запутать расследования. В записях нашлись служебные адреса вроде 127.0.0.9. Это след намеренной осторожности администраторов форума.
На этом фоне 9 апреля анонимный аккаунт
@IntCyberDigest опубликовал в X имя предполагаемого администратора N/A: им назвали 31-летнего болгарского исследователя Ангела Цветкова, у которого под собственным именем действительно есть публичная репутация в индустрии, отчёты в bug bounty программах Ford, Bosch, OLX, Гарварда, активность на HackerOne и Intigriti. По версии источника, его поймали на повторном использовании IP-адресов и паролей между публичной и нелегальной активностью. Технических доказательств вместе с заявлением опубликовано не было.Это уже второе имя за последние месяцы, которое анонимные источники привязывают к одному и тому же нику N/A. Первое было названо в январском документе, оно с нынешним не совпадает. Все подтверждённые имена администраторов BreachForums за всю историю форума, Pompompurin/Фицпатрик, Baphomet, IntelBroker, четверо французских арестов в июне 2025, пришли из материалов правоохранительных органов.
Hacker's TOYS
🔥9❤4🤔2
Оператор биткоин-банкоматов Bitcoin Depot 8 апреля подал в SEC форму 8-K о краже 50,9 BTC из корпоративных кошельков. Злоумышленник получил доступ к паролям расчётных счетов компании и перевёл деньги на чужие адреса. Bitcoin Depot говорит, что заметил вторжение 23 марта, 6 апреля решил, что инцидент существенный, и 8 апреля подал отчёт. Формально всё в рамках правила SEC о четырёх рабочих днях.
Через сутки после публикации on-chain аналитик ZachXBT проследил, куда ушли деньги, и опубликовал результат. По его данным, подозрительные исходящие транзакции прошли 20 марта, на три дня раньше даты, которую Bitcoin Depot называет днём обнаружения. Деньги ушли на адреса для пополнения счетов на KuCoin. Это довольно странный выбор для профессиональной операции по отмыванию, KuCoin требует верификацию личности, и адреса привязаны к конкретным пользователям с паспортами. Lazarus и другие государственные хакерские группировки так не работают, они уходят через миксеры и мгновенные обменники без проверки документов. Похоже на банальную кражу паролей, а не на сложную атаку.
Bitcoin Depot оставил без ответа главное, откуда у злоумышленника взялись пароли и почему мониторинг не сработал на перевод 3,6 миллиона долларов в течение 72 часов. Для компании, чей основной бизнес, перемещение биткоина между кошельками, это и есть настоящая история инцидента, а не сама сумма потери.
Hacker's TOYS
Через сутки после публикации on-chain аналитик ZachXBT проследил, куда ушли деньги, и опубликовал результат. По его данным, подозрительные исходящие транзакции прошли 20 марта, на три дня раньше даты, которую Bitcoin Depot называет днём обнаружения. Деньги ушли на адреса для пополнения счетов на KuCoin. Это довольно странный выбор для профессиональной операции по отмыванию, KuCoin требует верификацию личности, и адреса привязаны к конкретным пользователям с паспортами. Lazarus и другие государственные хакерские группировки так не работают, они уходят через миксеры и мгновенные обменники без проверки документов. Похоже на банальную кражу паролей, а не на сложную атаку.
Bitcoin Depot оставил без ответа главное, откуда у злоумышленника взялись пароли и почему мониторинг не сработал на перевод 3,6 миллиона долларов в течение 72 часов. Для компании, чей основной бизнес, перемещение биткоина между кошельками, это и есть настоящая история инцидента, а не сама сумма потери.
Hacker's TOYS
🔥11❤3😁2
ФБР достало удалённые сообщения Signal с iPhone, через системную базу push-уведомлений iOS. 10 марта 2026 года на федеральном суде в Форт-Уорте спецагент ФБР Кларк Уитхорн представил документ Exhibit 158 по делу о нападении на ICE-изолятор в Техасе. В документе описано, как с iPhone обвиняемой Линетт Шарп достали её переписку в Signal. Signal на телефоне был удалён, а исчезающие сообщения в чатах уже сработали по таймеру. Сообщения всё равно извлекли.
iOS сама сохраняет копии push-уведомлений у себя во внутренней памяти, чтобы показывать их на экране блокировки и в Центре уведомлений. Когда Signal показывает вам «От Ивана: привет», операционная система записывает слово «привет» в свою служебную базу. И продолжает хранить его там даже после того, как Signal удалён, даже после того, как исчезающие сообщения уже отсчитали свой таймер. Signal про эту базу ничего не знает и контролировать её не может, это часть iOS.
Извлечь такую базу можно только при физическом доступе к телефону и с помощью криминалистических инструментов уровня Cellebrite или GrayKey. Массово или удалённо это не работает. Но любой сценарий, в котором телефон на время попадает в чужие руки, досмотр, обыск и кража, становится сценарием утечки переписки.
Signal уже несколько лет умеет это обходить, просто настройка по умолчанию выставлена на удобство. У Шарп правильная настройка включена не была.
Чтобы включить функцию, откройте Signal и пройдите в Настройки → Уведомления → Содержимое уведомлений → «Без имени и содержимого». После этого Signal перестаёт передавать iOS текст сообщения, и операционной системе просто нечего сохранять.
Hacker's TOYS
iOS сама сохраняет копии push-уведомлений у себя во внутренней памяти, чтобы показывать их на экране блокировки и в Центре уведомлений. Когда Signal показывает вам «От Ивана: привет», операционная система записывает слово «привет» в свою служебную базу. И продолжает хранить его там даже после того, как Signal удалён, даже после того, как исчезающие сообщения уже отсчитали свой таймер. Signal про эту базу ничего не знает и контролировать её не может, это часть iOS.
Извлечь такую базу можно только при физическом доступе к телефону и с помощью криминалистических инструментов уровня Cellebrite или GrayKey. Массово или удалённо это не работает. Но любой сценарий, в котором телефон на время попадает в чужие руки, досмотр, обыск и кража, становится сценарием утечки переписки.
Signal уже несколько лет умеет это обходить, просто настройка по умолчанию выставлена на удобство. У Шарп правильная настройка включена не была.
Чтобы включить функцию, откройте Signal и пройдите в Настройки → Уведомления → Содержимое уведомлений → «Без имени и содержимого». После этого Signal перестаёт передавать iOS текст сообщения, и операционной системе просто нечего сохранять.
Hacker's TOYS
🤯23❤11👍10🔥5😱4🌚1