👮‍♀️ npm под атакой: кейс Shai-Hulud

В сентябре через фишинг взломали аккаунты мейнтейнеров и выпустили заражённые версии популярных пакетов (debug, chalk, ansi-styles, @ctrl/tinycolor).

Зловред действовал как червь: крал токены/ключи, внедрял скрытые GitHub Actions и самопубликовался.

➡️ Последствия: массовая утечка секретов, риски для CI/CD и облачных аккаунтов.

📌 На картинке — мини-чеклист, что делать, если вы используете эти пакеты.

🔗 Источник

🐸 Библиотека хакера

#breach_breakdown

👤 Кейс с IDOR в API

Во время Bug Bounty исследователь наткнулся на подозрительный эндпоинт:

/api/user/{id}/profile

Подмена id — и чужой профиль открывается без всякой авторизации.

Дальше — по учебнику:

⚡ скрипт для перебора ID
📥 массовая выгрузка адресов, телефонов и почт
🎣 фишинг по этим email и новые компрометации

➡️ Тысячи утекших аккаунтов, репутационный урон и срочная «заплатка».

Почему так случилось:

— никакой проверки владельца ресурса
— предсказуемые ID
— отсутствие защиты от перебора

После инцидента сервис внедрил owner-check, UUID, rate limiting и добавил тесты безопасности в CI.

💡 Даже «невинный» эндпоинт без авторизации может превратиться в точку входа для масштабной атаки.

🐸 Библиотека хакера

#breach_breakdown

🔍 Как простой файл в приложении привёл к краже сессий

Разработчик хранил access/refresh токены в SharedPreferences/NSUserDefaults. Исследователь распаковал сборку → нашёл токен → подставил Authorization: Bearer <token> — и вошёл в аккаунт жертвы.

➡️ Что произошло:

— быстрое считывание токенов с устройства
— захват сессий — личные данные и действия от имени пользователя
— массовый фишинг по похищенным контактам
— срочный хотфикс, репутационный и юридический урон

➡️ Починили так:

— перевели секреты в Keychain / Android Keystore
— сделали короткие access-токены + одноразовые refresh
— привязали токен к устройству и детект reuse
— добавили сканы сборок и security-tests в CI

💡 Не храните токены в plain files — мобильный клиент не место для секретов.

🐸 Библиотека хакера

#breach_breakdown

📢 Навигация по каналу

Чтобы не теряться в потоке постов, мы собрали удобную навигацию по тегам. Теперь всё нужное можно найти в пару кликов:

#cve_bulletin — свежие уязвимости (CVE, 0-day), крупные утечки и эксплойты.

#cheat_sheet — короткие и полезные шпаргалки: однострочники, Nmap/SQLmap/Bash-команды, готовые сниппеты.

#ctf_challenge — интерактивные задачи: найдите баг, разгадайте шифр или проанализируйте лог.

#tool_of_the_week — глубокие разборы инструментов и репозиториев с GitHub: возможности, плюсы и минусы.

#patch_notes — краткие сводки обновлений ключевых хакерских тулзов (Burp, Metasploit и др.).

#breach_breakdown — реальные кейсы: баг-баунти находки, пентесты и громкие атаки. От вектора до последствий.

#zero_day_legends — истории о культовых хакерах, легендарных вирусах и знаковых событиях ИБ.

#tool_vs_tool — голосования и сравнения конкурирующих инструментов: чьи фичи круче.

#hollywood_hack — разбор сцен взлома из фильмов и сериалов: где правда, а где фантазия.

#hack_humor — мемы, шутки и забавные инсайды из мира хакинга и IT-быта.

#resource_drop — еженедельные подборки топ-статей, докладов, курсов и видео.

#ask_the_community — площадка для ваших вопросов и советов от комьюнити.

🔈 Мы — ваш бэкдор в мир кибербезопасности. Не пропустите доступ к главному.

🐸 Библиотека хакера

🔍 KYC-фрод на FinTech-платформе

Когда система верификации работает «по верхам», злоумышленники это чувствуют.

На одной платформе за неделю появилось сотни новых «нормальных» аккаунтов: документы в порядке, KYC пройден, транзакции чистые. Через пару дней — всплыли связи с отмыванием средств и фрод-цепочками.

Как это делали:

➡️ Синтетические личности — смесь реальных и поддельных данных.

➡️ Боты, проходящие формы KYC автоматически.

➡️ Фриланс-операторы, доводящие аккаунты до статуса «верифицирован».

Финал предсказуем:

финансовые потери, блокировки, проблемы с регулятором и репутационные дыры.

💡 Что помогает защититься:

— многоуровневая верификация (авто → поведенческая → усиленная),

— анализ поведенческих сигналов (скорость, шаблоны, IP),

— проверка документов и метаданных фото,

— антибот-механизмы и лимиты,

— ручная проверка по триггерам,

— интеграция сигналов в AML-процессы.

KYC-фрод — не вопрос «если», а вопрос «когда».

🐸 Библиотека хакера

#breach_breakdown

🔒 Как один бакет открыл всю инфраструктуру

Нашли публичный бакет с бэкапами/логами → в файлах DB_HOST, API_KEY, redis_password → доступ к staging API → эскалация до prod и утечка PII за <48ч.

Почему сработало:

— публичный ACL + plaintext секреты
— имена файлов с env/сервисами
— нет алертов на массовые скачивания

Быстрый финиш:

🔴 закрыть бакеты и включить объектное шифрование

🔴 секреты в Secret Manager, не в бэкапах

🔴 алерты на массовые GET + least-privilege IAM

🐸 Библиотека хакера

#breach_breakdown

❗️ CVE-2025-32463: эскалация через sudo --chroot

Клиент: приватный CI-сервер с несколькими dev-учётками.

Исследователь: получил доступ к обычной учётке и нашёл, что sudo старой версии позволяет --chroot без защиты. Через контролируемое окружение он подменил NSS/библиотеки внутри chroot и добыл root.

🔤 Ход атаки:

1. Локальный user запускает `sudo --chroot` с контролируемым деревом.

2. Подмена NSS/libc-файлов в chroot.

3. Выполнение кода с правами root → full compromise CI, кража токенов и подпись/публикация артефактов.

🅰️ Полный контроль над сервером, утечка CI-секретов, вредоносные сборки в продакшне.

🛡️ Что сделали мгновенно:

— Обновили sudo до патченной версии.

— Временно запретили --chroot в sudoers для не-админов.

— Удалили/ограничили компиляторы и инструменты сборки на рабочих машинах.

— Провели аудит sudoers/LDAP и убрали shared-правила.

📎 Источник

🐸 Библиотека хакера

#breach_breakdown