This media is not supported in your browser
VIEW IN TELEGRAM
МВД России задержало предполагаемого создателя LeakBase, одного из крупнейших хакерских форумов в мире. За ником Chucky, по данным KELA и TriTrace Investigations, стоит 33-летний житель Таганрога Артём Кучумов. LeakBase работал с 2021 года и специализировался на торговле украденными учётными записями, банковскими реквизитами и корпоративными документами. К декабрю 2025 года на форуме было 142 000 участников и 215 000 сообщений. Сотни миллионов учётных записей прошли через эту площадку.
Задержание произошло через три недели после совместной операции ФБР и Европола. 3 марта 2026 года правоохранители 14 стран одновременно провели около 100 обысков и задержаний, арестовав 13 человек. На следующий день ФБР изъяло всю инфраструктуру форума, включая полную базу с аккаунтами, приватными сообщениями и IP-логами.
Администратора вычислили через расследование по открытым источникам. Старые WebMoney ID указывали на Таганрог, а его прежний ник beakdaz был привязан к email на Rambler и тому же Telegram ID, что и администраторский аккаунт LeakBase. Примечательно, что LeakBase запрещал продажу данных российских организаций, типичный признак того, что администратор находился в России и избегал внимания местных властей.
Интересно, что Европол публично заявил о непричастности к задержанию: «Мы не сотрудничаем с российскими властями и не участвовали в задержании». Россия крайне редко задерживает киберпреступников после международных операций, последний раз это было в январе 2022 с группировкой REvil.
У ФБР есть IP-логи, приватные сообщения и история транзакций всех 142 000 пользователей форума. Личность любого участника без должной анонимизации может быть установлена.
Признавайтесь, кто сидел там?
Hacker's TOYS
Задержание произошло через три недели после совместной операции ФБР и Европола. 3 марта 2026 года правоохранители 14 стран одновременно провели около 100 обысков и задержаний, арестовав 13 человек. На следующий день ФБР изъяло всю инфраструктуру форума, включая полную базу с аккаунтами, приватными сообщениями и IP-логами.
Администратора вычислили через расследование по открытым источникам. Старые WebMoney ID указывали на Таганрог, а его прежний ник beakdaz был привязан к email на Rambler и тому же Telegram ID, что и администраторский аккаунт LeakBase. Примечательно, что LeakBase запрещал продажу данных российских организаций, типичный признак того, что администратор находился в России и избегал внимания местных властей.
Интересно, что Европол публично заявил о непричастности к задержанию: «Мы не сотрудничаем с российскими властями и не участвовали в задержании». Россия крайне редко задерживает киберпреступников после международных операций, последний раз это было в январе 2022 с группировкой REvil.
У ФБР есть IP-логи, приватные сообщения и история транзакций всех 142 000 пользователей форума. Личность любого участника без должной анонимизации может быть установлена.
Признавайтесь, кто сидел там?
Hacker's TOYS
🔥17🤯7❤3😁3🤔2👎1
27 марта исследователи Gen Digital описали новую программу-шпион Torg Grabber, нацеленную на кражу данных из браузеров, приложений и расширений, особенно криптовалютных кошельков. Вредонос атакует 850 расширений браузера, из которых 728 связаны с криптокошельками.
Torg Grabber использует технику ClickFix для заражения: жертву убеждают самостоятельно запустить вредоносную PowerShell-команду, скопировав её в буфер обмена и вставив в окно Win+R. Загрузка происходит через службу BITS (Background Intelligent Transfer Service), которая маскируется под обычную работу системы. В качестве приманок используются фейковые читы для игр и взломанное ПО.
За три месяца зафиксировано 334 уникальных образца, что указывает на активную разработку. Вредонос развивался в три фазы: от отправки данных через Telegram Bot API к зашифрованному TCP-протоколу, а затем к REST API поверх HTTPS с передачей через Cloudflare. Новая схема использует ChaCha20, HMAC-SHA256, регистрацию машины через /api/auth и порционную передачу данных.
Torg Grabber нацелен на 25 браузеров Chromium и 8 вариантов Firefox. Среди целей, 728 расширений криптокошельков (MetaMask, Phantom, Trust Wallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare) и 103 расширения для паролей и двухфакторной аутентификации (LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, 2FAAuth, GAuth, TOTP Authenticator, Akamai MFA).
Дополнительно вредонос крадёт данные из Discord, Telegram, Steam, VPN-приложений, FTP-клиентов, email-клиентов, настольных криптокошельков, делает скриншоты, собирает файлы из Desktop и Documents, профилирует систему и регистрирует установленное ПО, включая антивирусы.
С 22 декабря 2025 года Torg Grabber умеет обходить App-Bound Encryption в Chrome, Brave, Edge, Vivaldi и Opera. Для этого используется отдельный DLL-компонент и обращение к Chrome COM Elevation Service, чтобы извлечь мастер-ключ шифрования и получить доступ к cookies. Вредонос также выполняет shellcode, получаемый с командного сервера в зашифрованном и сжатом виде.
В бинарниках зафиксировано более 40 идентификаторов операторов, что указывает на модель MaaS (malware-as-a-service): есть команда разработчиков и отдельные клиенты-операторы, использующие готовую панель и инфраструктуру.
Hacker's TOYS
Torg Grabber использует технику ClickFix для заражения: жертву убеждают самостоятельно запустить вредоносную PowerShell-команду, скопировав её в буфер обмена и вставив в окно Win+R. Загрузка происходит через службу BITS (Background Intelligent Transfer Service), которая маскируется под обычную работу системы. В качестве приманок используются фейковые читы для игр и взломанное ПО.
За три месяца зафиксировано 334 уникальных образца, что указывает на активную разработку. Вредонос развивался в три фазы: от отправки данных через Telegram Bot API к зашифрованному TCP-протоколу, а затем к REST API поверх HTTPS с передачей через Cloudflare. Новая схема использует ChaCha20, HMAC-SHA256, регистрацию машины через /api/auth и порционную передачу данных.
Torg Grabber нацелен на 25 браузеров Chromium и 8 вариантов Firefox. Среди целей, 728 расширений криптокошельков (MetaMask, Phantom, Trust Wallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare) и 103 расширения для паролей и двухфакторной аутентификации (LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, 2FAAuth, GAuth, TOTP Authenticator, Akamai MFA).
Дополнительно вредонос крадёт данные из Discord, Telegram, Steam, VPN-приложений, FTP-клиентов, email-клиентов, настольных криптокошельков, делает скриншоты, собирает файлы из Desktop и Documents, профилирует систему и регистрирует установленное ПО, включая антивирусы.
С 22 декабря 2025 года Torg Grabber умеет обходить App-Bound Encryption в Chrome, Brave, Edge, Vivaldi и Opera. Для этого используется отдельный DLL-компонент и обращение к Chrome COM Elevation Service, чтобы извлечь мастер-ключ шифрования и получить доступ к cookies. Вредонос также выполняет shellcode, получаемый с командного сервера в зашифрованном и сжатом виде.
В бинарниках зафиксировано более 40 идентификаторов операторов, что указывает на модель MaaS (malware-as-a-service): есть команда разработчиков и отдельные клиенты-операторы, использующие готовую панель и инфраструктуру.
Hacker's TOYS
🔥10❤4👍2🌚2
22 марта 2026 года злоумышленник получил доступ к AWS KMS протокола Resolv и скомпрометировал привилегированный ключ подписи SERVICE_ROLE. Это позволило ему выпустить 80 миллионов необеспеченных стейблкоинов USR при наличии залога всего на $100–200 тысяч. За несколько минут атакующий вывел около $23 миллионов в ETH.
Уязвимость крылась не в коде смарт-контракта, а в его архитектуре. Функция completeSwap проверяла только минимальный объём выпуска токенов, но не максимальный. В системе отсутствовали проверки залога, оракулы цен и какие-либо лимиты. Ключ в AWS KMS подписывал транзакции через API, не экспортируясь за пределы облака.
Курс USR рухнул с $1 до $0,025 на Curve Finance за 17 минут. Злоумышленник конвертировал токены в wstUSR, затем обменял их на USDC, USDT и ETH через децентрализованные биржи. На его кошельке осталось около 11 400 ETH (примерно $24 миллиона) и около 20 миллионов wstUSR. Курс USR ненадолго восстановился до $0,85, после чего снова упал до $0,14.
Протокол Resolv прошёл 18 аудитов безопасности, однако ни один из них не включал проверку управления ключами в облаке и отсутствия лимитов на уровне блокчейна. Команда приостановила работу протокола и предложила злоумышленнику вернуть 90% похищенных средств, но предложение было проигнорировано. Точный способ компрометации AWS KMS до сих пор неизвестен.
Hacker's TOYS
Уязвимость крылась не в коде смарт-контракта, а в его архитектуре. Функция completeSwap проверяла только минимальный объём выпуска токенов, но не максимальный. В системе отсутствовали проверки залога, оракулы цен и какие-либо лимиты. Ключ в AWS KMS подписывал транзакции через API, не экспортируясь за пределы облака.
Курс USR рухнул с $1 до $0,025 на Curve Finance за 17 минут. Злоумышленник конвертировал токены в wstUSR, затем обменял их на USDC, USDT и ETH через децентрализованные биржи. На его кошельке осталось около 11 400 ETH (примерно $24 миллиона) и около 20 миллионов wstUSR. Курс USR ненадолго восстановился до $0,85, после чего снова упал до $0,14.
Протокол Resolv прошёл 18 аудитов безопасности, однако ни один из них не включал проверку управления ключами в облаке и отсутствия лимитов на уровне блокчейна. Команда приостановила работу протокола и предложила злоумышленнику вернуть 90% похищенных средств, но предложение было проигнорировано. Точный способ компрометации AWS KMS до сих пор неизвестен.
Hacker's TOYS
🤯12🔥7😁3🤔2
Связанная с Ираном группировка Handala 27 марта 2026 года опубликовала более трёхсот электронных писем и личные фотографии из Gmail директора ФБР Кэша Пателя. Атака стала прямым ответом на действия американских властей, которые восемью днями ранее изъяли четыре домена группировки, а Госдеп объявил награду в десять миллионов долларов за информацию о её участниках. ФБР подтвердило взлом, но заявило, что похищенные данные носят исторический характер и не содержат государственной информации.
Большая часть опубликованных писем датирована периодом с 2010 по 2012 год, самый свежий документ в архиве, квитанция на авиабилет 2022 года. Среди материалов оказались семейная переписка, квитанции на перелёты и бронирования поездок. На фотографиях Патель позирует с сигарой у ретроавтомобилей с кубинскими номерами. Метаданные файлов указывают, что взлом произошёл задолго до текущего конфликта, папки с письмами последний раз изменялись 21 мая 2025 года.
Особый интерес представляет деталь, связанная с операционной безопасностью. В 2014 году Патель, работавший в отделе национальной безопасности Минюста, переслал письмо со ссылкой со своего рабочего адреса, поставив в копию адреса в ФБР личную почту Gmail. Эта практика связывания служебных и личных аккаунтов, которая сейчас запрещена федеральными правилами, могла сделать аккаунт уязвимым на годы вперёд.
Handala назвала причиной атаки потопление иранского фрегата IRIS Dena американской подводной лодкой 4 марта, в результате которого погибли 87 моряков. Группировка восстановила работу на новых доменах уже через несколько часов после изъятия 19 марта и следующую неделю провела, рассылая угрозы американским и израильским чиновникам. Взлом личного аккаунта директора ФБР той же группировкой, против которой бюро изъяло домены и назначило награду, наносит удар по репутации вне зависимости от содержания утечки.
Hacker's TOYS
Большая часть опубликованных писем датирована периодом с 2010 по 2012 год, самый свежий документ в архиве, квитанция на авиабилет 2022 года. Среди материалов оказались семейная переписка, квитанции на перелёты и бронирования поездок. На фотографиях Патель позирует с сигарой у ретроавтомобилей с кубинскими номерами. Метаданные файлов указывают, что взлом произошёл задолго до текущего конфликта, папки с письмами последний раз изменялись 21 мая 2025 года.
Особый интерес представляет деталь, связанная с операционной безопасностью. В 2014 году Патель, работавший в отделе национальной безопасности Минюста, переслал письмо со ссылкой со своего рабочего адреса, поставив в копию адреса в ФБР личную почту Gmail. Эта практика связывания служебных и личных аккаунтов, которая сейчас запрещена федеральными правилами, могла сделать аккаунт уязвимым на годы вперёд.
Handala назвала причиной атаки потопление иранского фрегата IRIS Dena американской подводной лодкой 4 марта, в результате которого погибли 87 моряков. Группировка восстановила работу на новых доменах уже через несколько часов после изъятия 19 марта и следующую неделю провела, рассылая угрозы американским и израильским чиновникам. Взлом личного аккаунта директора ФБР той же группировкой, против которой бюро изъяло домены и назначило награду, наносит удар по репутации вне зависимости от содержания утечки.
Hacker's TOYS
🔥10❤2👾2🤯1
Популярная JavaScript-библиотека axios стала жертвой масштабной атаки на цепочку поставок. Исследователи из StepSecurity обнаружили две вредоносные версии пакета в npm 1.14.1 и 0.30.4. Злоумышленники не трогали код самого axios, вместо этого добавив в зависимости специально созданный пакет plain-crypto-js версии 4.2.1.
Атака была продумана до мелочей. Хакеры получили доступ к учётным данным одного из ключевых разработчиков и обошли стандартный процесс публикации через GitHub Actions, выпустив пакеты вручную через npm CLI. Они даже подменили email издателя на адрес в ProtonMail. Вредоносная зависимость готовилась заранее: сначала появилась версия 4.2.0 для маскировки под легитимный пакет, затем вышла 4.2.1 с опасным postinstall-скриптом.
Атака срабатывала не во время работы приложения, а уже при установке через npm install. Скрипт автоматически устанавливал троян удалённого доступа, который работал на macOS, Windows и Linux. После запуска вредоносный код удалял следы своего присутствия и подменял package.json на чистую версию.
Ситуация была особенно опасной из-за популярности axios, более ста миллионов загрузок каждую неделю. Заражённые версии появились в npm ночью 31 марта 2026 года и были быстро удалены, но даже короткое время их доступности создало угрозу для CI-систем и компьютеров разработчиков, где зависимости устанавливаются автоматически.
Hacker's TOYS
Атака была продумана до мелочей. Хакеры получили доступ к учётным данным одного из ключевых разработчиков и обошли стандартный процесс публикации через GitHub Actions, выпустив пакеты вручную через npm CLI. Они даже подменили email издателя на адрес в ProtonMail. Вредоносная зависимость готовилась заранее: сначала появилась версия 4.2.0 для маскировки под легитимный пакет, затем вышла 4.2.1 с опасным postinstall-скриптом.
Атака срабатывала не во время работы приложения, а уже при установке через npm install. Скрипт автоматически устанавливал троян удалённого доступа, который работал на macOS, Windows и Linux. После запуска вредоносный код удалял следы своего присутствия и подменял package.json на чистую версию.
Ситуация была особенно опасной из-за популярности axios, более ста миллионов загрузок каждую неделю. Заражённые версии появились в npm ночью 31 марта 2026 года и были быстро удалены, но даже короткое время их доступности создало угрозу для CI-систем и компьютеров разработчиков, где зависимости устанавливаются автоматически.
Hacker's TOYS
🔥10❤2👍1🤯1👾1
Исследователь безопасности Чаофан Шоу обнаружил, что полный исходный код Claude Code CLI от Anthropic случайно попал в открытый доступ через npm-реестр. Причина оказалась простой: в пакет включили source map файл размером 57 МБ, который содержал весь оригинальный код, около 1900 файлов и более 512 тысяч строк TypeScript. Всё дело в том, что Bun-бандлер генерирует source maps по умолчанию, а разработчики забыли исключить .map файлы через .npmignore.
Помимо технической архитектуры и системных промптов, в коде нашлись четыре нереализованные системы. KAIROS, постоянно активный ассистент, который ведёт дневники и может инициировать действия самостоятельно. ULTRAPLAN запускает Opus 4.6 в облачном контейнере с получасовым лимитом на планирование. Buddy, система-компаньон в стиле тамагочи с 18 видами и редкими шайни-вариантами, которую планируют запустить в мае 2026. Dream работает в фоне и консолидирует память.
Самая обсуждаемая находка это режим "Undercover Mode". Он автоматически включается при работе с внешними репозиториями и запрещает AI упоминать внутренние кодовые имена, версии и даже фразу "Claude Code" в коммитах. В инструкции буквально написано "Do not blow your cover". Режим работает по умолчанию, что подтверждает: сотрудники Anthropic используют Claude Code для вклада в open-source проекты.
Hacker's TOYS
Помимо технической архитектуры и системных промптов, в коде нашлись четыре нереализованные системы. KAIROS, постоянно активный ассистент, который ведёт дневники и может инициировать действия самостоятельно. ULTRAPLAN запускает Opus 4.6 в облачном контейнере с получасовым лимитом на планирование. Buddy, система-компаньон в стиле тамагочи с 18 видами и редкими шайни-вариантами, которую планируют запустить в мае 2026. Dream работает в фоне и консолидирует память.
Самая обсуждаемая находка это режим "Undercover Mode". Он автоматически включается при работе с внешними репозиториями и запрещает AI упоминать внутренние кодовые имена, версии и даже фразу "Claude Code" в коммитах. В инструкции буквально написано "Do not blow your cover". Режим работает по умолчанию, что подтверждает: сотрудники Anthropic используют Claude Code для вклада в open-source проекты.
Hacker's TOYS
🔥19❤4👍2😱2👾1
1 апреля 2026 Drift Protocol, крупнейшая децентрализованная биржа бессрочных фьючерсов в экосистеме Solana, потеряла около $285 млн всего за 12 минут и причиной была не уязвимость смарт-контрактов. По предварительным оценкам TRM Labs, атака напоминает почерк северокорейских группировок.
С 11 марта злоумышленник раскрутил полностью фальшивый токен CarbonVote Token (CVT): завел небольшую ликвидность на Raydium, нарисовал сделки и ценовую историю около $1, после чего оракулы Drift начали воспринимать CVT как нормальное обеспечение.
Дальше в ход пошли аккаунты Solana с durable nonce: транзакции можно подписать заранее и выполнить позже. Через социнженерию, участникам мультиподписи подсунули обычные на вид операции, внутри которых оказались скрытые разрешения на критические административные действия.
После перевода на схему 2 из 5 без таймлока злоумышленник быстро добавил CVT как отдельный рынок, поднял лимиты на вывод и опустошил почти 20 хранилищ. Затем активы конвертировали в USDC и SOL, перевели из Solana в Ethereum через Circle CCTP и обменяли на ETH. По ончейн-данным на кошельках атакующего видно около 129 066 ETH. TVL Drift снизился примерно с $550 млн до $252 млн, токен DRIFT падал примерно на 40%. Drift начала связываться с владельцами кошельков в Ethereum и предлагать переговоры.
Hacker's TOYS
С 11 марта злоумышленник раскрутил полностью фальшивый токен CarbonVote Token (CVT): завел небольшую ликвидность на Raydium, нарисовал сделки и ценовую историю около $1, после чего оракулы Drift начали воспринимать CVT как нормальное обеспечение.
Дальше в ход пошли аккаунты Solana с durable nonce: транзакции можно подписать заранее и выполнить позже. Через социнженерию, участникам мультиподписи подсунули обычные на вид операции, внутри которых оказались скрытые разрешения на критические административные действия.
После перевода на схему 2 из 5 без таймлока злоумышленник быстро добавил CVT как отдельный рынок, поднял лимиты на вывод и опустошил почти 20 хранилищ. Затем активы конвертировали в USDC и SOL, перевели из Solana в Ethereum через Circle CCTP и обменяли на ETH. По ончейн-данным на кошельках атакующего видно около 129 066 ETH. TVL Drift снизился примерно с $550 млн до $252 млн, токен DRIFT падал примерно на 40%. Drift начала связываться с владельцами кошельков в Ethereum и предлагать переговоры.
Hacker's TOYS
🔥14❤4👾3🤯2
Когда пишут “больше нельзя быть анонимным”, это обычно означает нельзя быть анонимным так, как мы привыкли думать. Сам смысл слова сдвигается каждый год, и за последние двенадцать месяцев он сдвинулся сильнее, чем за предыдущие пять. Вот пять способов связать ваше анонимное “я” с реальным, которых год назад либо не существовало, либо они работали в десять раз хуже.
Языковые модели научились опознавать авторов по тексту. Недавно на arXiv вышли сразу две работы, которые показали, что современный LLM-агент, имея на руках небольшую базу публичных текстов кандидатов, уверенно определяет автора анонимной статьи по стилю, длине предложений, любимым словам, пунктуации, ритму.
Фотография больше не нуждается в геотегах, чтобы сдать вашу геолокацию. В 2025 года 404 Media опубликовали расследование про сервис GeoSpy от бостонской Graylark Technologies, который определяет место съемки по архитектуре, растительности, типу асфальта, углу солнца и десяткам других визуальных признаков. В актуальной версии с движком SuperBolt точность доходит до метра в пределах известной им городской среды. После публикации публичный доступ закрыли, но коммерческая версия для правоохранителей и бизнеса продолжает работать, и клоны уже появились в Google Play. Селфи на фоне ничем не примечательной стены в вашем дворе теперь содержит ваш домашний адрес.
Браузер сдает вас даже с полностью выключенным JavaScript. На конференции NDSS 2025 представили работу под названием Cascading Spy Sheets, в которой показали, как из одного CSS без единой строчки скриптов собирается фингерпринт, уникальный для 97,95 % комбинаций браузера и операционной системы. Техника работает в Tor Browser на максимальных настройках безопасности, где заблокировано практически все, что можно заблокировать. А исследователи из Texas A&M и Johns Hopkins опубликовали первое прямое доказательство того, что фингерпринт уже используется для сквозного трекинга в рекламных сетях, а не только для борьбы с ботами, как любят говорить маркетологи.
В июне 2025 года на даркнете всплыла коллекция из шестнадцати миллиардов учетных записей, собранная инфостилерами из Google, Apple и Telegram. Не просто пароли, а живые токены сессий. С паролем злоумышленнику еще нужно пройти двухфакторную аутентификацию, а с токеном сессии он просто вставляет его в свой браузер и оказывается внутри вашего аккаунта, никого ни о чем не предупреждая. Если ваш анонимный аккаунт когда-либо открывался на той же машине, что и рабочий, у вас уже нет анонимного аккаунта.
Инфостилеры научились красть Telegram-сессии целиком. PupkinStealer, появившийся весной 2025 года, копирует папку с данными десктопного Telegram и передает ее своему владельцу через обычного Telegram-бота. На стороне жертвы ничего не происходит, ни уведомления о новом входе, ни запроса кода подтверждения, ни отметки в списке активных сессий. За первое полугодие 2025 инфостилеры вытащили 1,8 миллиарда учеток и сессий, рост в восемь раз по сравнению с предыдущим полугодием. Ваш анонимный телеграм-аккаунт под седьмой SIM-картой защищен ровно настолько, насколько защищено устройство, с которого вы в него заходите.
Я выбрал эти пять, а не другие, потому что у каждого из них есть одна общая черта, год назад никто из них не работал так, как работает сейчас. Какие-то существовали в виде академических работ без практического применения, какие-то не существовали вовсе. За двенадцать месяцев пять разных исследовательских групп и одна утечка дали в руки любому человеку с интересом и минимальным навыком инструменты, которые раньше требовали либо многолетнего опыта, либо доступа к серьезной инфраструктуре.
Hacker's TOYS
Языковые модели научились опознавать авторов по тексту. Недавно на arXiv вышли сразу две работы, которые показали, что современный LLM-агент, имея на руках небольшую базу публичных текстов кандидатов, уверенно определяет автора анонимной статьи по стилю, длине предложений, любимым словам, пунктуации, ритму.
Фотография больше не нуждается в геотегах, чтобы сдать вашу геолокацию. В 2025 года 404 Media опубликовали расследование про сервис GeoSpy от бостонской Graylark Technologies, который определяет место съемки по архитектуре, растительности, типу асфальта, углу солнца и десяткам других визуальных признаков. В актуальной версии с движком SuperBolt точность доходит до метра в пределах известной им городской среды. После публикации публичный доступ закрыли, но коммерческая версия для правоохранителей и бизнеса продолжает работать, и клоны уже появились в Google Play. Селфи на фоне ничем не примечательной стены в вашем дворе теперь содержит ваш домашний адрес.
Браузер сдает вас даже с полностью выключенным JavaScript. На конференции NDSS 2025 представили работу под названием Cascading Spy Sheets, в которой показали, как из одного CSS без единой строчки скриптов собирается фингерпринт, уникальный для 97,95 % комбинаций браузера и операционной системы. Техника работает в Tor Browser на максимальных настройках безопасности, где заблокировано практически все, что можно заблокировать. А исследователи из Texas A&M и Johns Hopkins опубликовали первое прямое доказательство того, что фингерпринт уже используется для сквозного трекинга в рекламных сетях, а не только для борьбы с ботами, как любят говорить маркетологи.
В июне 2025 года на даркнете всплыла коллекция из шестнадцати миллиардов учетных записей, собранная инфостилерами из Google, Apple и Telegram. Не просто пароли, а живые токены сессий. С паролем злоумышленнику еще нужно пройти двухфакторную аутентификацию, а с токеном сессии он просто вставляет его в свой браузер и оказывается внутри вашего аккаунта, никого ни о чем не предупреждая. Если ваш анонимный аккаунт когда-либо открывался на той же машине, что и рабочий, у вас уже нет анонимного аккаунта.
Инфостилеры научились красть Telegram-сессии целиком. PupkinStealer, появившийся весной 2025 года, копирует папку с данными десктопного Telegram и передает ее своему владельцу через обычного Telegram-бота. На стороне жертвы ничего не происходит, ни уведомления о новом входе, ни запроса кода подтверждения, ни отметки в списке активных сессий. За первое полугодие 2025 инфостилеры вытащили 1,8 миллиарда учеток и сессий, рост в восемь раз по сравнению с предыдущим полугодием. Ваш анонимный телеграм-аккаунт под седьмой SIM-картой защищен ровно настолько, насколько защищено устройство, с которого вы в него заходите.
Я выбрал эти пять, а не другие, потому что у каждого из них есть одна общая черта, год назад никто из них не работал так, как работает сейчас. Какие-то существовали в виде академических работ без практического применения, какие-то не существовали вовсе. За двенадцать месяцев пять разных исследовательских групп и одна утечка дали в руки любому человеку с интересом и минимальным навыком инструменты, которые раньше требовали либо многолетнего опыта, либо доступа к серьезной инфраструктуре.
Hacker's TOYS
🔥17❤11👍7🤯5💯2
Спустя полгода после того, как ФБР захватило домен BreachForums 10 октября 2025 года, под этим именем работает уже несколько форумов одновременно, и каждый администратор называет себя законным наследником. 26 марта группа ShinyHunters выпустила заявление, в котором отказалась сразу от двух самых заметных претендентов с никами N/A и Indra, назвав их фейковыми личностями, прицепившимися к похожим на оригинал форумам. Все нынешние BreachForums, по словам ShinyHunters, к ним отношения не имеют.
Параллельно идёт волна доксов и контр-доксов между конкурирующими админстраторами. Команда модераторов одного из клонов угрожала публично деанонить N/A перед «сотнями тысяч людей» из-за обвинения в продаже инфраструктуры форума за 4 тысячи долларов. Почти все попытки публично связать ники администраторов с реальными людьми в этой истории опираются на одну и ту же базу: на список пользователей форума, опубликованный в январе 2026 года вместе с 23-страничным документом, который якобы написал бывший участник ShinyHunters. Аналитики Resecurity, посмотревшие на эту базу, пришли к выводу, что её, скорее всего, специально слили как дезинформацию, чтобы запутать расследования. В записях нашлись служебные адреса вроде 127.0.0.9. Это след намеренной осторожности администраторов форума.
На этом фоне 9 апреля анонимный аккаунт
Это уже второе имя за последние месяцы, которое анонимные источники привязывают к одному и тому же нику N/A. Первое было названо в январском документе, оно с нынешним не совпадает. Все подтверждённые имена администраторов BreachForums за всю историю форума, Pompompurin/Фицпатрик, Baphomet, IntelBroker, четверо французских арестов в июне 2025, пришли из материалов правоохранительных органов.
Hacker's TOYS
Параллельно идёт волна доксов и контр-доксов между конкурирующими админстраторами. Команда модераторов одного из клонов угрожала публично деанонить N/A перед «сотнями тысяч людей» из-за обвинения в продаже инфраструктуры форума за 4 тысячи долларов. Почти все попытки публично связать ники администраторов с реальными людьми в этой истории опираются на одну и ту же базу: на список пользователей форума, опубликованный в январе 2026 года вместе с 23-страничным документом, который якобы написал бывший участник ShinyHunters. Аналитики Resecurity, посмотревшие на эту базу, пришли к выводу, что её, скорее всего, специально слили как дезинформацию, чтобы запутать расследования. В записях нашлись служебные адреса вроде 127.0.0.9. Это след намеренной осторожности администраторов форума.
На этом фоне 9 апреля анонимный аккаунт
@IntCyberDigest опубликовал в X имя предполагаемого администратора N/A: им назвали 31-летнего болгарского исследователя Ангела Цветкова, у которого под собственным именем действительно есть публичная репутация в индустрии, отчёты в bug bounty программах Ford, Bosch, OLX, Гарварда, активность на HackerOne и Intigriti. По версии источника, его поймали на повторном использовании IP-адресов и паролей между публичной и нелегальной активностью. Технических доказательств вместе с заявлением опубликовано не было.Это уже второе имя за последние месяцы, которое анонимные источники привязывают к одному и тому же нику N/A. Первое было названо в январском документе, оно с нынешним не совпадает. Все подтверждённые имена администраторов BreachForums за всю историю форума, Pompompurin/Фицпатрик, Baphomet, IntelBroker, четверо французских арестов в июне 2025, пришли из материалов правоохранительных органов.
Hacker's TOYS
🔥9❤3🤔2
Оператор биткоин-банкоматов Bitcoin Depot 8 апреля подал в SEC форму 8-K о краже 50,9 BTC из корпоративных кошельков. Злоумышленник получил доступ к паролям расчётных счетов компании и перевёл деньги на чужие адреса. Bitcoin Depot говорит, что заметил вторжение 23 марта, 6 апреля решил, что инцидент существенный, и 8 апреля подал отчёт. Формально всё в рамках правила SEC о четырёх рабочих днях.
Через сутки после публикации on-chain аналитик ZachXBT проследил, куда ушли деньги, и опубликовал результат. По его данным, подозрительные исходящие транзакции прошли 20 марта, на три дня раньше даты, которую Bitcoin Depot называет днём обнаружения. Деньги ушли на адреса для пополнения счетов на KuCoin. Это довольно странный выбор для профессиональной операции по отмыванию, KuCoin требует верификацию личности, и адреса привязаны к конкретным пользователям с паспортами. Lazarus и другие государственные хакерские группировки так не работают, они уходят через миксеры и мгновенные обменники без проверки документов. Похоже на банальную кражу паролей, а не на сложную атаку.
Bitcoin Depot оставил без ответа главное, откуда у злоумышленника взялись пароли и почему мониторинг не сработал на перевод 3,6 миллиона долларов в течение 72 часов. Для компании, чей основной бизнес, перемещение биткоина между кошельками, это и есть настоящая история инцидента, а не сама сумма потери.
Hacker's TOYS
Через сутки после публикации on-chain аналитик ZachXBT проследил, куда ушли деньги, и опубликовал результат. По его данным, подозрительные исходящие транзакции прошли 20 марта, на три дня раньше даты, которую Bitcoin Depot называет днём обнаружения. Деньги ушли на адреса для пополнения счетов на KuCoin. Это довольно странный выбор для профессиональной операции по отмыванию, KuCoin требует верификацию личности, и адреса привязаны к конкретным пользователям с паспортами. Lazarus и другие государственные хакерские группировки так не работают, они уходят через миксеры и мгновенные обменники без проверки документов. Похоже на банальную кражу паролей, а не на сложную атаку.
Bitcoin Depot оставил без ответа главное, откуда у злоумышленника взялись пароли и почему мониторинг не сработал на перевод 3,6 миллиона долларов в течение 72 часов. Для компании, чей основной бизнес, перемещение биткоина между кошельками, это и есть настоящая история инцидента, а не сама сумма потери.
Hacker's TOYS
🔥11❤3😁2
ФБР достало удалённые сообщения Signal с iPhone, через системную базу push-уведомлений iOS. 10 марта 2026 года на федеральном суде в Форт-Уорте спецагент ФБР Кларк Уитхорн представил документ Exhibit 158 по делу о нападении на ICE-изолятор в Техасе. В документе описано, как с iPhone обвиняемой Линетт Шарп достали её переписку в Signal. Signal на телефоне был удалён, а исчезающие сообщения в чатах уже сработали по таймеру. Сообщения всё равно извлекли.
iOS сама сохраняет копии push-уведомлений у себя во внутренней памяти, чтобы показывать их на экране блокировки и в Центре уведомлений. Когда Signal показывает вам «От Ивана: привет», операционная система записывает слово «привет» в свою служебную базу. И продолжает хранить его там даже после того, как Signal удалён, даже после того, как исчезающие сообщения уже отсчитали свой таймер. Signal про эту базу ничего не знает и контролировать её не может, это часть iOS.
Извлечь такую базу можно только при физическом доступе к телефону и с помощью криминалистических инструментов уровня Cellebrite или GrayKey. Массово или удалённо это не работает. Но любой сценарий, в котором телефон на время попадает в чужие руки, досмотр, обыск и кража, становится сценарием утечки переписки.
Signal уже несколько лет умеет это обходить, просто настройка по умолчанию выставлена на удобство. У Шарп правильная настройка включена не была.
Чтобы включить функцию, откройте Signal и пройдите в Настройки → Уведомления → Содержимое уведомлений → «Без имени и содержимого». После этого Signal перестаёт передавать iOS текст сообщения, и операционной системе просто нечего сохранять.
Hacker's TOYS
iOS сама сохраняет копии push-уведомлений у себя во внутренней памяти, чтобы показывать их на экране блокировки и в Центре уведомлений. Когда Signal показывает вам «От Ивана: привет», операционная система записывает слово «привет» в свою служебную базу. И продолжает хранить его там даже после того, как Signal удалён, даже после того, как исчезающие сообщения уже отсчитали свой таймер. Signal про эту базу ничего не знает и контролировать её не может, это часть iOS.
Извлечь такую базу можно только при физическом доступе к телефону и с помощью криминалистических инструментов уровня Cellebrite или GrayKey. Массово или удалённо это не работает. Но любой сценарий, в котором телефон на время попадает в чужие руки, досмотр, обыск и кража, становится сценарием утечки переписки.
Signal уже несколько лет умеет это обходить, просто настройка по умолчанию выставлена на удобство. У Шарп правильная настройка включена не была.
Чтобы включить функцию, откройте Signal и пройдите в Настройки → Уведомления → Содержимое уведомлений → «Без имени и содержимого». После этого Signal перестаёт передавать iOS текст сообщения, и операционной системе просто нечего сохранять.
Hacker's TOYS
🤯23❤11👍10🔥5😱4🌚1