С июня по декабрь 2025 злоумышленники (state-sponsored, предположительно Китай) получили контроль над частью инфраструктуры Notepad++ и выдавали малварь под видом легитимных обновлений.
• Компрометация shared-хостинга
• Таргетированный MitM — не всем, а выбранным жертвам
• Редирект update-трафика на attacker-controlled сервера
• Абьюз слабой проверки апдейтов в старых версиях клиента
Фактически — классическая supply chain, без шума и массовки.
• Переезд на новый хостинг
• Апдейтер WinGup теперь:
• проверяет TLS-сертификат
• валидирует подпись инсталлера
• XML апдейтов подписывается (XMLDSig)
• Принудительная верификация начиная с v8.9.2
IR-команда прогнала ~400 GB логов —
IoC не обнаружены:
Хостинг-провайдер тоже ничего не дал. Чистый blind spot.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩3🔥1🌚1
SVG-фильтры превращаются в среду выполнения логики, позволяя:
→ Читать пиксели из cross-origin iframe
→ Проводить многошаговый кликджекинг
→ Создавать поддельные формы
→ Эксфильтровать данные через QR
Без JavaScript. С обходом CSP и Same-Origin Policy.
Must read для веб-пентестеров, разработчиков WAF и специалистов по threat modeling.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2🥰2❤1
OSINT Framework cheat sheet.pdf
3.6 MB
OSINT Framework — это удобная карта по миру OSINT, которая помогает быстро ориентироваться в десятках сервисов и инструментов для разведки по открытым источникам.
Что внутри:
• Инструменты, разложенные по категориям и типам данных
• Быстрый выход на нужные ресурсы без долгого поиска
• Подходит для ресёрча, threat intelligence и первичного recon
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4🔥2
Аналитик SOC (L1, L2) / Специалист по ИБ — от 150 000 ₽, удаленно (Москва)
Архитектор ИБ — от 180 000 до 300 000 ₽, офис/гибрид (Москва)
Стажер в оптимизацию процессов — офис (Москва)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3
This media is not supported in your browser
VIEW IN TELEGRAM
Краткое видео о том, как работают IP-адреса и зачем их понимать в практике. Без углубления в теорию — только базовые принципы, которые реально используются при диагностике сетевых проблем, анализе трафика и разборе инцидентов.
Подходит для тех, кто хочет быстро освежить основы или закрыть пробелы без многочасовых лекций.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🥰3🤔3
Please open Telegram to view this post
VIEW IN TELEGRAM
1😁12
Commix — инструмент для быстрого поиска и эксплуатации OS Command Injection в веб-приложениях.
commix --url="https://target/form" \
--data="username=admin&password=123»
Что делает:
— Проверяет GET / POST / cookies / headers
— Подбирает payload’ы под Linux и Windows
— Подтверждает реальное выполнение команд
Когда использовать:
— legacy-проекты и самописные формы
— подозрительные параметры без явной валидации
— быстрый triage в bug bounty
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5🥰3
Освойте UserGate и повысьте уровень защиты своей ИТ-инфраструктуры!
Бесплатный онлайн-курс поможет вам шаг за шагом освоить внедрение и настройку UserGate — без лишней теории, с упором на практику.
В программе курса:
✅ Настройка сетевых зон, NAT, VPN, кластеров, фильтрации на уровне приложений и правил межсетевого экрана
✅ Интеграция с LDAP и Active Directory, фильтрация контента, системы обнаружения вторжений и обратный прокси
✅ Пошаговые видеоуроки, практические упражнения и итоговое тестирование
По завершении курса Вы получите:
⭐️ именной сертификат
📕 PDF-инструкции
📋 чек-листы и готовые конфигурации, которые помогут в дальнейшей работе
Пройдите курс в удобное время — запись уже доступна.
Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250.
Бесплатный онлайн-курс поможет вам шаг за шагом освоить внедрение и настройку UserGate — без лишней теории, с упором на практику.
В программе курса:
✅ Настройка сетевых зон, NAT, VPN, кластеров, фильтрации на уровне приложений и правил межсетевого экрана
✅ Интеграция с LDAP и Active Directory, фильтрация контента, системы обнаружения вторжений и обратный прокси
✅ Пошаговые видеоуроки, практические упражнения и итоговое тестирование
По завершении курса Вы получите:
⭐️ именной сертификат
📕 PDF-инструкции
📋 чек-листы и готовые конфигурации, которые помогут в дальнейшей работе
Пройдите курс в удобное время — запись уже доступна.
Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250.
❤3🥰2😁2
Физическая безопасность — самый недооценённый слой защиты. Камеры есть, пропуска есть, регламенты написаны. Но всё это перестаёт работать, когда проверка выходит за рамки чек-листов.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🤩3
Группировка ShinyHunters опубликовала вчера на leak-сайте базы данных двух престижных американских университетов — Гарварда и Университета Пенсильвании, заявив о краже более миллиона записей от каждого.
Что известно:
— Взлом произошёл ещё в ноябре 2025 через социальную инженерию
— Скомпрометированы системы, связанные с развитием и работой с выпускниками
— При атаке на UPenn хакеры использовали официальные университетские адреса для рассылки писем выпускникам
— Harvard подтвердил взлом, обвинив в нём voice phishing атаку
Другие инциденты недели:
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4👍2
Инструменты, гайды и практические ресурсы разложены по темам: разведка, веб-атаки, сети, облака, OSINT, reverse, эскалация привилегий.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍3
Итог: утечки, выполнение нежелательных действий
Эксплуатация: ignore previous instructions, скрытые инструкции в HTML
Фикс: фильтры, минимальные права, human-in-the-loop
Итог: GDPR, утечки, репутационный ущерб
Фикс: очистка датасетов, output-фильтрация, no secrets in prompts
Итог: RCE, полный захват
Фикс: SBOM, CVE-сканинг, хэши, sandbox
Итог: модель «разрешает» вредоносное
Фикс: trusted data, аномалии, версионирование
Итог: XSS, CSRF, SSRF
Фикс: treat output as untrusted, экранирование
Итог: финпотери, удаление данных, саботаж
Фикс: least privilege, подтверждение критических действий
Итог: обход защит, ключи в руках атакера
Фикс: no secrets in prompt, secure vaults, фильтры
Итог: фишинг, дезинформация
Фикс: trusted docs only, проверка retrieved data
Итог: ложные решения, фейковые данные
Фикс: источники, fact-checking, low temperature
Итог: DoW / DoS, счета на тысячи $
Фикс: rate-limit, quota, лимиты токенов
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰2🔥1
Безопасность ИИ-агентов: новый вектор атак
Курс «Разработка ИИ-агентов» стартовал. Мы учим не только создавать агентов, но и делать их надёжными. В мире, где промпт-инъекции могут слить базу данных, это критично.
Темы, которые касаются безопасности:
—
— валидация ввода и вывода LLM;
— безопасная интеграция с внешними API и БД;
— мониторинг аномалий через
Для прохождения нужен Python. Первую лекцию открыли для свободного просмотра.
Смотреть лекцию
Записаться на курс
Курс «Разработка ИИ-агентов» стартовал. Мы учим не только создавать агентов, но и делать их надёжными. В мире, где промпт-инъекции могут слить базу данных, это критично.
Темы, которые касаются безопасности:
—
human-in-the-loop: контроль действий агента;— валидация ввода и вывода LLM;
— безопасная интеграция с внешними API и БД;
— мониторинг аномалий через
AgentOps.Для прохождения нужен Python. Первую лекцию открыли для свободного просмотра.
Смотреть лекцию
Записаться на курс
🥰2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🥰2🤩2