🚬 Фишинг нового поколения

Palo Alto Networks Unit 42 показали приём, который ломает привычный детект.

Как это выглядит:

🔵 Страница загружается чистой — без вредоносного JS

🔵 Браузер сам обращается к LLM API (Gemini / DeepSeek)

🔵 По продуманному промпту ИИ генерирует фишинговый JavaScript

🔵 Код собирается и выполняется на лету (eval())

❗️ Почему это опасно:

— Полиморфизм: уникальный код на каждую жертву
— Трафик к LLM выглядит легитимным
— Нет статического пейлоада — нечего сканировать
— По данным Unit 42, 36% вредоносных страниц уже используют runtime-сборку

«На первый взгляд безобидная веб-страница использует клиентские API-вызовы к доверенным LLM-сервисам для динамической генерации вредоносного JavaScript в реальном времени.»

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

👩‍💻 Вышли ISO-образы Windows 7 и Vista со всеми обновлениями

Windows 7 и особенно Windows Vista давно ушли в прошлое: Microsoft прекратила их поддержку, а современное ПО почти не работает с версиями ниже Windows 10. Тем не менее, эти системы до сих пор используются — и теперь их стало проще установить в максимально «полном» виде.

Энтузиаст из Windows-сообщества подготовил установочные ISO Windows 7 и Windows Vista, в которые включены все доступные обновления безопасности вплоть до января 2026 года.

Что важно:

🔶 Для Windows Vista это финальная точка — в январе 2026 вышел последний апдейт по программе Premium Assurance, и теперь все патчи собраны в один ISO

🔶 Образы подходят для установки с USB или DVD, без ручного накатывания обновлений

🔶 Аналогичная «финальная» сборка доступна и для Windows 7

Использовать эти ОС как основные сегодня не рекомендуется, но для ретро-сборок, тестов и старого ПО такие образы вполне пригодятся.

📎 Источник

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

🚨 PyPI: очередной кейс supply chain-атаки

В репозитории PyPI обнаружен вредоносный пакет sympy-dev, маскирующийся под библиотеку SymPy. Он полностью копирует описание оригинального проекта, создавая ощущение «dev-версии», за счёт чего и вводит пользователей в заблуждение. По данным расследования, пакет скачивался как минимум с 17 января 2026 года, общее число загрузок превысило 1100.

➡️ Внутри пакета — модифицированная логика, используемая как загрузчик вредоносного кода. Активируется она не сразу, а только при вызове определённых полиномиальных процедур, что позволяет дольше оставаться незаметной и обходить поверхностные проверки.

Финальная цель атаки — загрузка на Linux-хосты двух ELF-бинарников и развёртывание майнера XMRig, с последующей скрытой эксплуатацией вычислительных ресурсов системы.

Типичный, но всё ещё эффективный сценарий supply chain-компрометации через доверие к популярным зависимостям.

📎 Источник

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cve_bulletin

👩‍💻 Бесплатный курс по Linux

Формат простой и рабочий: теория, практические задания и много ссылок на дополнительные материалы.

Курс хорошо подойдёт:

новичкам — как системная прокачка базы,
опытным специалистам — как способ проверить, не забылись ли базовые и прикладные вещи.

➕ Курс на английском. Если язык мешает — переводчики и ИИ решают проблему без особых потерь по смыслу.

🔗 Ссылка

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

💯💯

🐸 Библиотека хакера

#hack_humor

📎 12 основных сетевых протоколов

🐸 Библиотека хакера

#cheat_sheet

🖥 Linux Exploit Suggester — утилита для поиска локальных уязвимостей в Linux

Python-скрипт анализирует версию ядра и параметры системы, затем сопоставляет их с базой известных уязвимостей, предлагая возможные эксплойты для локальной эскалации привилегий.

Подходит для быстрого первичного анализа окружения.

📎 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

👧 29 января 2021. День, когда обновлениям перестали верить

История с SolarWinds окончательно вышла за рамки «очередного инцидента» именно в этот день. Стало ясно: это не утечка и не ошибка конфигурации, а одна из самых опасных атак в истории ИБ.

🔘 Злоумышленники не ломали инфраструктуру клиентов. Они встроились раньше — в официальный процесс сборки. Вредоносный код попал в подписанный апдейт Orion и разошёлся по тысячам организаций вместе с легитимным обновлением.

➡️ Что сделало этот кейс переломным:

— администраторы сами устанавливали бэкдор
— системы защиты видели «нормальную активность»
— компрометация длилась месяцами без шума
— атакующий сразу оказывался внутри периметра

✏️ Главный вывод неприятный, но честный:

Если скомпрометирован вендор — защищаться уже поздно.

С этого дня обновления стали частью модели угроз.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

📄 Шпаргалка по командам Aircrack-ng

Aircrack-ng — это набор утилит для анализа и тестирования безопасности Wi-Fi-сетей. Используется при аудитах и пентесте беспроводной инфраструктуры.

➕ Ключевые возможности:

• захват и анализ Wi-Fi-трафика
• деаутентификация клиентов и replay-атаки
• проверка поддержки мониторинга и инъекций у адаптеров
• атаки на WEP и WPA/WPA2-PSK

Практичный инструмент, когда нужно быстро проверить устойчивость беспроводной сети.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

❓ Почему BOLA — это не баг в контроллере, а провал архитектуры API

BOLA (Broken Object Level Authorization) — №1 в OWASP API Top 10. И это не случайно.

Как думают:

«Эндпоинт защищён, пользователь авторизован — значит всё ок».

🔢 Как на самом деле:

Проверка доступа к эндпоинту ≠ проверка доступа к объекту. Если сервер не проверяет связь user → object, клиент управляет тем, к каким данным он обращается.

Типичный сценарий:

GET /api/orders/123
Authorization: Bearer token

— токен валидный
— эндпоинт разрешён
— но order_id не проверяется на принадлежность пользователю

Меняем 123 → 124 → 125 — и получаем чужие заказы.

🔢 Почему это архитектурная ошибка:

— авторизация реализована «на входе», а не на уровне доменных объектов
— ownership проверяется выборочно или вообще отсутствует
— API проектируется как transport, а не как boundary доверия

🔢 Чем это заканчивается:

— массовый доступ к чужим данным
— утечки через перебор ID
— поломка multi-tenant логики
— критичные инциденты без сложных эксплойтов

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

🐸 Библиотека хакера

#hack_humor

🧑‍💻 Инструмент для работы с файлами реестра Windows

libregf — библиотека для чтения и анализа файлов Windows NT Registry File (REGF), то есть офлайн-кустов реестра Windows.

➕ В состав libregf входит утилита regfmount: она позволяет примонтировать REGF-файл как файловую систему, после чего ключи и значения реестра становятся доступными как обычные файлы и каталоги.

Это удобно для анализа, поиска артефактов и точечной проверки изменений без запуска Windows.

🔗 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

📎 IaaS, PaaS, SaaS: где заканчивается защита и начинаются проблемы

Облако взламывают не из-за «дыр» у провайдера, а из-за непонимания зон ответственности.

В IaaS вы отвечаете почти за всё: ОС, патчи, доступы, сеть и данные.
В PaaS контроль частично у провайдера, но ошибки в настройках и коде всё ещё критичны.
В SaaS инфраструктура закрыта от вас, но именно IAM, пароли и MFA чаще всего становятся точкой входа для атак.

🔢 Где именно проходит граница ответственности, какие ошибки приводят к утечкам и почему облака чаще ломают конфигурациями, а не эксплойтами — разобрано в статье. Полезно прочитать до того, как облако станет источником инцидента.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

👩‍💻 Kubernetes Authentication: что пускает вас в кластер

Service account токены, сертификаты, OIDC, kubelet и etcd — именно здесь решается, кто получит доступ к Kubernetes API. Большинство инцидентов начинаются с ошибок в аутентификации, а не с уязвимостей.

🔛 Как Kubernetes проверяет идентичность пользователей, сервисов и компонентов control plane и где чаще всего ломают безопасность — читать в статье 📎

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

📄 Шпаргалка по WPScan

WPScan — утилита для поиска уязвимостей в WordPress.

Что делает:

 • Находит известные уязвимости (ядро, плагины, темы)
 • Проверяет ошибки конфигурации WordPress
 • Предупреждает о рисках и помогает быстро реагировать
 • Подходит для администраторов, разработчиков и пентестеров

🔗 Ссылка на инструмент

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🔥 Кибервойна против России — итоги 2025 и прогноз на 2026

По данным отчёта F6, кибератаки всё реже сводятся к краже ради заработка. Всё чаще их цель — масштабный ущерб и дестабилизация.

➡️ Утечек меньше — потери больше

За 2025 год зафиксировано около 250 публикаций баз данных, почти вдвое меньше, чем годом ранее. При этом суммарный объём утечек вырос до 767 млн записей. Четыре крупнейших инцидента пришлись на госсервисы — около 600 млн строк. Многие базы выкладывались в открытый доступ бесплатно.

➡️ Что именно утекает

Основной массив — электронные адреса, телефоны и пароли. Даже с большим числом повторов этих данных достаточно для массового мошенничества и последующих атак.

➡️ Рост и эволюция APT

В 2025 году действовали 27 прогосударственных APT-групп, из них семь были раскрыты впервые. Заметный тренд — сближение APT и киберкриминала: используются те же инструменты и подходы, что раньше были характерны для вымогателей.

➡️ Кого атакуют чаще всего

Под ударом остаются госструктуры, промышленность, НИИ, ВПК и ТЭК. Всё большую роль играют сложные атаки через подрядчиков и цепочки поставок.

➡️ Вымогательство как диверсия

Число атак вымогателей выросло на 15%, при этом 15% инцидентов были направлены не на получение денег, а на остановку процессов и нанесение максимального ущерба. Максимальное зафиксированное требование — 50 BTC.

❔ Что дальше

В 2026 году ожидается рост числа атакующих групп, усиление кооперации между APT, киберкриминалом и хактивистами, а также всплеск информационных операций — фейков и массовых рассылок угроз на фоне реальных инцидентов.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cve_bulletin