🤑 Вы уже наверняка знаете, что с кошельков криптобиржи Bybit было выведено ETH на сумму более $1,4 млрд… и замешана в этом Lazarus

Но как это произошло с технической стороны? Потихоньку начинают появляться подробности. Оставим в оригинале:

1) malicious JS injected into Safe{Wallet} at https://app.safe.global/_next/static/chunks/pages/_app-4f0dcee809cce622.js (because apparently, one of the nk devs just casually pushed it to production 🤡)

2) the JS modified executeTransaction() only if the signer was in a predefined list (Bybit’s multisig owners).

3) modified transaction now sets operation: 1 (delegatecall) to attacker address instead of a normal call.

4) delegatecall hits the attacker contract, which changed Safe contract's first storage slot which is masterCopy to a another attacker contract.

5) new masterCopy contract contained sweepETH() & sweepERC20(), draining $1.5B

Самое интересное — размеры выплат по программе багбаунти. Тот самый случай, когда продешевили 🤷‍♂️

#apt #news #назлобудня

💸❤️ «Яндекс» подвёл итоги программы «Охота за ошибками» 2024 и выплатил более 50 млн рублей белым хакерам за уязвимости

Багбаунти программа «Яндекса» стартовала еще в 2012-м, но прошлый год стал самым «вкусным» в плане выплат. Компания выплатила 50,8 млн рублей багхантерам за уязвимости, включая 5,9 млн рублей одному белому хакеру за 28 отчётов. Второе и третье место заняли исследователи с выплатами в 3,6 и 3 млн рублей.

➡️ Читать отчет

#bugbounty

🔍 Кстати, шаблоны OSINT от Nuclei распределены по категориям/тегам, чтобы вы могли найти только то, что действительно нужно

Категории: archived, art, blog, business, coding, dating, finance, gaming, health, hobby, images, misc, music, news, political, search, shopping, social, tech, video и многое другое.

🔗 Скачать или установить Nuclei

#osint #recon #tools

📦 Пошаговое прохождение Linux-машины HTB Drive

Мекан Байрыев из Mad Devs на примере машины Hack The Box показывает, как провести атаку на базу данных SQLite при помощи собственного загружаемого модуля. Но сначала требуется получить доступ к приватным данным через уязвимость IDOR и захватить учетку пользователя.

📺 Смотреть

#writeup #practice #pentest

🦠 Как работает Stuxnet: пошаговый видеогайд

Считающийся первым известным кибер-оружием, Stuxnet был нацелен на иранскую ядерную программу и использовал тонкий и прекрасно спроектированный механизм.

Он остается одним из самых интересных образцов когда-либо созданного вредоносного кода. Можно сказать, что в цифровом мире атаки Stuxnet являются кибер-эквивалентом атак на Нагасаки и Хиросиму в 1945 году.

Чтобы успешно проникнуть в тщательно охраняемые установки, где Иран разрабатывает свою ядерную программу, атакующим пришлось решить сложную задачу: как вредоносный код может попасть в место, которое не имеет прямого подключения к интернету? Нападение на отдельные «высокопрофильные» организации было решением, и, вероятно, успешным.

👉 Подробнее читайте в статье Kaspersky «Stuxnet: первые жертвы»

#security #apt

🔐 Байпас AMSI в 2025 году: что стоит за механизмом защиты и как вы все еще можете эффективно его обойти

Технологию Anti-Malware Scan Interface Microsoft раз­работа­ла в качес­тве метода защиты поль­зовате­лей от малвари и впер­вые внед­рила в Windows 10.

AMSI в реаль­ном вре­мени перехватывает скрип­ты и коман­ды PowerShell, JavaScript, VBScript, VBA или .NET и отправляет на про­вер­ку анти­вирус­у.

В 2025 году еще существуют способы обхода AMSI. Они не так сильно отличаются от описанных ранее, но различия все равно присутствуют. О них и пойдет речь в статье 👇

🔗 Читать

#redteam #guide

🔎 Rigour — сканер IoT-устройств на базе Shodan.io

Сканер использует ZMap + ZGrab под капотом и предназначен для обнаружения, анализа и составления отчетов об устройствах, подключенных к Интернету.

💻 GitHub

#tools #recon

🎙 8-й выпуск Responsible Disclosure Podcast: Дмитрий Лукьяненко — из разработчика в хакера Android приложений, поиск уязвимостей как работа

Дмитрий Лукьяненко является белорусским багхантером и экс-Android-разработчиком, известным своими достижениями в области кибербезопасности. На данный момент он единственный исследователь в СНГ, обладающий HackerOne MVH (Most Valuable Hacker) Belt!

В 2019 году ему удалось занять второе место в рейтинге «белых хакеров» Facebook*. На протяжении многих лет он демонстрировал выдающиеся знания экосистемы Android и находил серьезные баги в продуктах многих крупных компаний.

В подкасте Дмитрий рассказывает о своем пути, о том, на что он обращает внимание больше всего, и как сохраняет навык и интерес после стольких лет работы в этой сфере.

⏳ Таймкоды:

00:00:43 – Приветствие и начало подкаста
00:01:31 – Первые шаги в карьере
00:04:21 – Работа в Яндексе
00:05:49 – Первая уязвимость и награда
00:07:44 – Вдохновение и первые атаки
00:10:19 – Переход из android разработки в безопасность
00:11:54 – Жизнь на bug bounty full time
00:13:26 – Гранты от Google
00:14:23 – Фокус на уязвимости
00:17:38 – Взаимодействие с мобильными приложениями
00:21:29 – Подход к поиску багов
00:25:07 – Пример уязвимости
00:29:53 – Ошибки в безопасности
00:31:41 – Переход к веб-уязвимостям
00:33:26 – Вдохновляющие примеры
00:34:21 – Уязвимости без технических навыков
00:35:11 – Уязвимость в Facebook
00:36:11 – Баг на мероприятии в Сингапуре
00:38:05 – Стратегия раскрытия уязвимостей
00:39:50 – Уязвимость в Windows Messenger
00:43:27 – Статус “Most Valuable Hacker”
00:46:09 – Санкции со стороны платформ
00:48:03 – Бонусы и мотивация
00:49:51 – Инвестиции в оборудование
00:53:46 – Важность образования
00:54:45 – Советы новичкам
00:55:31 – Безопасность Android
00:55:53 – Курсы по программированию устройств
00:56:50 – Автоматизация и инструменты

⏯️ Смотреть или слушать полностью

#podcasts #bugbounty #infosec #mobile

* Организация Meta запрещена на территории РФ

🧮🔠 Математика в действии: решаем хитрые задачи по прогнозированию, оптимизации и логике

Статья, которая поможет развить навыки решения задач с помощью математики.

➡️ Вот что вас ждет

1️⃣ Прогнозирование численности населения — используем цепи Маркова для предсказания миграций между городом и пригородами.

2️⃣ Минимизация затрат — находим минимальное скалярное произведение векторов для оптимального распределения задач между работниками.

3️⃣ Машина времени — решаем задачу максимального числа пересекающихся временных интервалов с помощью заметающей прямой.

4️⃣ Алгоритм Целлера — вычисляем день недели по дате. Проверка на практике.

🔵 Хочешь прокачаться в математике для ML? Тогда разбирайся с этими задачами и не упусти вебинар: «Математика для ML: от теории к практике».

👉 Читать статью

📝 Промпт для поиска уязвимостей в JavaScript-коде

Чтобы искать баги быстрее и эффективнее, используйте этот промпт для ChatGPT или Claude:

Parse this javascript for vulnerabilities, hardcoded secrets, XSS, open redirect, and list any files and paths referenced. Be specific with where the vulnerability is and a PoC for each. Use rich text formatting to make it easier to read:

Code:
вставляем JS-код сюда

⚡️Какие промпты вы обычно используете ? Делитесь в комментариях 👇

🐸Библиотека хакера #буст

🤦‍♂️ Проклятие дубликатов: доклад про распространенную проблему в багбаунти

Дубликат — это валидный баг. Не опускайте руки, если вдруг на него наткнулись. Вы движетесь в правильном направлении.

А все остальное расскажет DevSecOps с 9-летним стажем Анна Куренова (презентация доклада — в комментариях):

🟡Когда возникают дубликаты?
🟡Как уменьшить количество дубликатов
🟡Как не потерять мотивацию?

🐸Библиотека хакера #буст

Осталось выяснить, что страшнее, — интернет или воздух 😀

🐸Библиотека хакера #развлекалово

🏃‍♀️ 40+ каналов, которые должен читать каждый разработчик

Отобрали для вас полезные и проверенные каналы для программистов — в них вы найдете все самое интересное, от технических новостей до практических гайдов.

IT Job Hub | Работа и вакансии в IT — избранные IT-вакансии

Библиотека программиста — новости из мира IT и технологий

Книги для программистов — самые годные книги по любым языкам и стекам

IT-мемы — мемы про жизу айтишника

Proglib Academy — обучение и курсы, чтобы стать топовым специалистом

Азбука айтишника — азы из мира разработки

Библиотека нейросетей — лайфхаки и промпты для разных задач, баттлы нейронок и новости из мира ИИ

Библиотека фронтендера — все о JS, React, Angular и не только

Библиотека мобильного разработчика — лайфхаки и новости из мира Swift и Kotlin

Библиотека хакера — уязвимости, атаки, бэкдоры и как от них защититься

Библиотека тестировщика — самое интересное о том, как крашить код

🦫 Go
Библиотека Go-разработчика
Библиотека задач по Go
Библиотека Go для собеса
Вакансии по Go

#️⃣ C#
Библиотека шарписта
Библиотека задач по C#
Библиотека собеса по C#
Вакансии по C#

🔧 DevOps
Библиотека devops’а
Библиотека задач по DevOps
Библиотека собеса по DevOps
Вакансии по DevOps & SRE

🐘 PHP
Библиотека пхпшника
Библиотека задач по PHP
Библиотека PHP для собеса
Вакансии по PHP, Symfony, Laravel

🐍 Python
Библиотека питониста
Библиотека Python для собеса
Библиотека задач по Python
Вакансии по питону, Django, Flask

☕️ Java
Библиотека джависта
Библиотека задач по Java
Библиотека Java для собеса
Вакансии по Java

📊 Data Science
Библиотека дата-сайентиста
Библиотека задач по Data Science
Библиотека Data Science для собеса
Вакансии по Data Science

🎮 C++
Библиотека C/C++ разработчика
Библиотека задач по C++
Библиотека C++ для собеса
Вакансии по C++

Подписывайтесь на интересные вам каналы и сохраняйте пост в закладки, чтобы не потерять 🔑