T.Hunter | информационная безопасность

И непростом: коварные русские хакеры слили СМИ информацию о том, что Фараж получил £5 миллионов “в подарок” от криптомиллиардера. Увы в историю не верят и в самой UK. Никаких подтверждений и официальных заявлений от Фаража нет, и на фоне этого местный ИБ-регулятор NCSC глубоко обеспокоен: потенциальный премьер-министр заявляет об иностранном вмешательстве,такое нельзя игнорировать...

Пункт с выбором модели появился в публичной версии Claude Security и Claude Code — видимо, по ошибке, и его быстро убрали. На фоне этого эхо-камеры LLM-энтузиастов бурлят: неужто простым смертным дадут доступ к легендарной Mythos? Или к порезанной версии? А на каких уровнях подписки? И всё это спустя месяц после релиза "слишком опасной" модельки. Удивлённые юзеры приходят к выводу, что...

На деле же в Нидерландах связанные с ними серверы попросту изъяли и арестовали двух обслуживающих их человек. Судя по всему, рейды идут по всей Европе и в США. А разгадка проста: THE.Hosting якобы связана со Stark Industries, попавшей под санкции в прошлом году и отправившейся по волнам ребрендинга. В ЕС компанию обвиняют в предоставлении инфраструктуры киберпреступникам и под разное гибридное — отсюда и рейды с перехватами, арестами и прочей романтикой...

Инфостилер залетел в пакеты на npm, PyPi и Crates[.]io. Обнаружены 34 вредоносных пакета и 384 их версии. Несмотря на сравнительно небольшое число пакетов, эффект может быть приличный: эта кампания под крипто- и ИИ-бро c прицелом на кошельки, DeFi с Solana и прочее блокчейновое. Из интересного, вредоносные .cursorrules и claude[.]md с...

любителя ютубчика. Операция масштабная, с захватом серверов и арестом админа на Украине. Расследование шло с 2021-го, 19 и 20 мая была его кульминация. Арестованы 33 сервера, домены, включая луковые, а также администратор — согласно анонсу, у него прошли маски-шоу и душещипательные беседы. Само собой, грозятся, что имели доступ...

Критические шли по $9,250, стали $2,257. Больше всего досталось уязвимостям с низким рейтингом: выплата просела с $597 до $68. На прямые вопросы H1 не отвечает, но здесь и так всё понятно: ИИ-долгоносик поломал экономику багхантинга. LLM’ки привели к взрывному росту количества отчётов, желающих подзаработать на поиске уязвимостей привалило, а мейнтейнеры всё ещё разгребают репорты вручную. И как показывает практика, делать это уже не в состоянии...

Она позволяет злоумышленнику получить ограниченный доступ к браузеру через Browser Fetch. Доступа к почте или системе юзера CVE не даёт, здесь больше ограниченная функциональность под ботнет. При этом об уязвимости Google сообщили ещё в конце 2022-го, и всё это время она, судя по всему, болталась где-то на задворках бэклога. Когда исследователь увидел код...

Сотруднику на устройство залетела троянизированная версия Nx Console под VSC — она была опубликована в магазине расширений 18 мая. Что интересно, окно компрометации составило всего 18 минут, но этого оказалось достаточно, чтобы улететь по пайплайнам к разрабам — в том числе и у GitHub. Так что видавшие виды исследователи могут морщиться на орудущую кувалдой по экосистеме TeamPCP и требовать атак поинтереснее, но кувалда-то работает...

выполнение кода. И это один из тех случаев, когда чем дальше читаешь, тем хуже становится. Начинается всё с чудесного параметра trust_remote_code — и на этом уже можно и остановиться. Механизм легитимный, так как нужен некоторым моделям, но при работе с чужим репозиторием в сущности превращается в RCE. И при стуке по API сервер сначала подгружает модель, а права доступа проверяет после — запрос отклоняется, но код уже выполнен...

+ внутренних репозиториев. Источник взлома известен: дотянулась проклятая TeamPCP. Группировка выставила репы на продажу за скромные 50к долларов и заявила, что в дампе ~4к репозиториев. Как ни странно, GitHub это предварительно подтвердил: утверждения злоумышленника “в целом соответствуют результатам расследования”. Единственное утешение — пока нет следов, что были затронуты данные клиентов...

Скомпрометирован в том числе echarts-for-react — 1,1 миллиона недельных загрузок. Компрометацию заметили сегодня; всё это, как водится, мини Шаи-Хулуд. Но с таким охватом это уже целый Шаи-Хулудище: затронуты более 300 пакетов, и охват по установкам достаточный, чтобы внизу их успели словить сотни организаций, даже если мейнтейнер сразу же подорвался на стук по каналам связи вида “Дорогой, просыпайся, время устранять очередную атаку на цепочку поставок”...

Его подрядчик Nightwing оставил в открытом репозитории на GitHub данные доступа от гос. аккаунтов и внутренних систем агентства. Потенциально это всё было открыто с ноября. Публичная репа с говорящим названием “Private-CISA” была забита токенами, ключами, паролями простым текстом и прочим чувствительным, включая файлы по билдам, тестам и деплою систем агентства. В сущности это одна из худших утечек американской...