Вредоносная атака на Laravel-Lang
В четыре проекта Laravel-Lang был внедрён вредоносный код, предположительно, ворующий креды с устройств, на которых он запускался. Под удар попали популярные проекты - Lang, Actions, Attributes и HTTP Statuses. Инцидент касается не только Laravel... Узнать подробности...
Сибирскому провайдеру погрозили пальцем за утечку данных десятков тысяч пользователей
Группа компаний "Орион" (более известная под маркой "Орион Телеком") - крупный провайдер услуг интернета, телевидения и телефонии в Сибири. Компании группы используют единую сетевую и серверную инфраструктуру. 30.07.2025 г. на сайте Орион Телекома появилось объявление о возможной утечке...
Снова GitHub Actions: разбираем масштабную атаку на TanStack, 84 пакета под угрозой
Команда Socket Threat Research обнаружила компрометацию 84 npm-пакетов в пространстве @tanstack: в них внедрили вредоносный имплант Mini Shai-Hulud, нацеленный на кражу учётных данных и секретов из CI/CD-сред, включая GitHub Actions. Атака особенно опасна тем, что вредонос автоматически запускается...
[Перевод] Взлом всей сети через крышу. История одного физического пентеста
Привет! С вами пентестер Ян. В этот раз я хочу поделиться с вами своим авторским переводом рассказа от компании Dark Wolf (оригинал тут). Для тех кто не знает, физический пентест или как его еще называют RedTeam - это особая разновидность пентеста при котором разрешено атаковать не только...
[Перевод] Вредоносный PyTorch Lightning сливал пароли через скрытый JavaScript
30 апреля на PyPI обнаружили новую версию PyTorch Lightning, которая при импорте скачивала Bun и запускала 11,4 МБ опасного JavaScript-вора. Цель — браузеры, облачные API, GitHub-токены. Всего одна строчка импорта: import lightning — и все ваши API-ключи и данные будут скомпрометированы! Полный...
(Не) безопасный дайджест: утечка у Booking.com, McKinsey против ИИ-агента и миллион «не туда»
По традиции рассказываем о самых ярких ИБ-инцидентах за последний месяц. В программе по итогам апреля: кража личных фотографий из крупной соцсети, хакерский налет на конфиденциальные данные путешественников и ИИ-агент, который раскрыл секреты консалтинга. Все подробности — под катом. Читать далее...
Тридцать три тысячи жизней: самое громкое киберпреступление в истории Финляндии
Субботний день 24 октября 2020 года выдался дождливым, ветреным и довольно прохладным — впрочем, такую погоду можно назвать типичной для осеннего Хельсинки. Люди прятались от промозглой сырости в уютных кафе и ресторанах, пили горячий чай и глинтвейн, стараясь отдохнуть за выходные от насущных дел....
Атака на axios в npm: как один захваченный аккаунт поставил под угрозу миллионы JavaScript-проектов
В экосистеме JavaScript произошёл серьёзный инцидент, который хорошо показывает, насколько опасными стали атаки на open source и цепочки поставок. Исследователи StepSecurity сообщили о компрометации axios — одной из самых популярных HTTP-библиотек в npm (~83 миллионов загрузок в неделю)....
Книга: «Грокаем проектирование реляционных баз данных»
Привет, Хаброжители! Реляционные базы данных используются практически в каждой компании. И разбираться в том, как они работают, приходится и разработчикам, и аналитикам, создающим дашборды и отчеты, и специалистам, которым просто нужна актуальная информация. Это увлекательное руководство по миру...
В поиске секретов. iOS Пентест. Часть третья
Вас приветствует Ян - старший пентестер из компании Xilant! В этот раз научу вас искать, то что разрабы забывают прячут в приложениях iOS. Возможно мы найдем пароли, личные данные, а может даже и API-ключи от бэкенда, что позволит нам продолжать атаку на следующем уровне. Для этого нам понадобятся...
Portal: от Stored XSS к захвату пользовательских данных
Всем привет, меня зовут Влад, aka Arkeil. Довольно часто решаю таски на платформе Standoff 365 и совсем недавно мне удалось попасть в топ-25 атакующих по итогам первого сезона на Standoff Hackbase. Эта статья посвящена разбору хоста Portal на Standalone. Нам было нужно реализовать утечку...
Реализация
Привет, Хаброжители! Мы открыли предзаказ на книгу «Грокаем проектирование реляционных баз данных» Цян Хао и Михаила Цикердекиса. Предлагаем ознакомиться с отрывком «Реализация». Завершив нормализацию базы данных, перейдем к следующему этапу — реализации. Знаний, полученных еще в главах 1 и 2,...
Что происходит с квантовым блокчейном: изучаем патенты
Не успели децентрализованный блокчейн и криптовалюты найти свое место в правовом поле, как им уже угрожает сам технологический прогресс. Основа работы и безопасности многих блокчейнов строится на том, как трудно делать масштабные математические вычисления для их взлома. Но что, если все эти...
Punishing Owl атакует Россию: новая сова в лесу хактивистов
12 декабря 2025 года ранее неизвестная группировка, именующая себя Punishing Owl, опубликовала пост о взломе сетей российского государственного учреждения из сферы безопасности. Сообщение содержало ссылки на DLS-сайт с внутренними документами жертвы и хранилище Mega.nz, дублирующее эти файлы....
Атака не по плану: хакерская самооборона как новый способ защиты
Если вы занимаетесь информационной безопасностью не на бумаге, а вживую, то совершенно точно знаете: ИБ-специалисты зачастую вынуждены играть в догонялки. Сначала произошел инцидент — потом вы его расследуете. Кто-то положил сервер с базой данных — мы пытаемся выяснить, как именно это произошло. И...
[Перевод] Как взломать систему банка с помощью газового баллончика и выключенного принтера
802.1x и двери по картам — это должно быть надёжно. Пентестер зашёл в банк ночью, «обманул» ИК-датчик баллончиком, стал принтером в сети и нашёл заполненные чеки. Это не теория. Это отчёт по реальному тесту на проникновение. Читать далее...
[Перевод] Подсмотрел PIN от двери, а затем воткнул Wi-Fi-жучка за принтер — и ты внутри сети банка
Проник в банк не через вайфай и не через фишинг — а просто пристроился к аудиторам с улицы. Никто не спросил имени. Никто не проверил. А через час уже сидел у них в сети с рабочим пропуском. Как это случилось — и почему «следовать инструкции» не спасло — в новой статье. Читать далее...
Побег из стеклянной тюрьмы. iOS Jailbreak. Часть первая
Всем привет! С вами Ян, пентестер из компании Xilant. В течении следующих нескольких статей мы поговорим о тонкостях взлома iOS и её приложений. В свою очередь я бы хотел из этого сделать нескучную историю с кучей полезного и мемного контента. И всё начинается с того, что у нас в руках красивый...
Назад