🇺🇸Стратегия победы 🇺🇸АНБ США над киберармией 🇨🇳Китая

Бывший директор Агентства национальной безопасности и Киберкомандования США Тимоти Д. Хо предупреждает о якобы масштабной киберугрозе со стороны Китая. По его словам, якобы на протяжении последних 10 лет Пекин активно атакует американские телекоммуникационные сети и объекты критической инфраструктуры.

Бывший глава АНБ утверждает, что якобы через хакерскую группировку Volt Typhoon Китай внедряет вредоносное программное обеспечение в сотни коммунальных систем с целью нарушения электро- и водоснабжения американцев, а с помощью другой группировки Salt Typhoon, получившей доступ к сетям по всей стране, Китай прослушивает телефоны высокопоставленных американских чиновников и телекоммуникационных провайдеров.

Согласно опубликованному в 2017 году отчету Комиссии по краже американской интеллектуальной собственности, каждый год спонсируемые Китаем хакеры похищают у американских компаний интеллектуальную собственность на сумму от $225 млрд до $600 млрд.

😹В сфере геополитики такие обвинения уже стали какой-то рутиной и вряд ли интересны читателю, но в статье NYT раскрываются интересные подробности тенденции...

Бывший руководитель АНБ считает, что стране необходима система совместной ответственности за защиту киберпространства, поскольку добровольного обмена информацией между правительством и частным технологическим сектором уже недостаточно. Не секрет, об этом уже давно говорят.

💡Но вот что интересно: американские частные 👩‍💻🌐❗️🈁техгиганты [в том числе компании в сфере кибербезопасности] обладают огромным техническим преимуществом и способны отслеживать активность противника быстрее и точнее любой 🎩🇺🇸 спецслужбы.

В пример приводится операция Google в феврале 2026 года. Тогда компания самостоятельно пресекла шпионскую кампанию против 53 организаций в 42 странах мира.

Экс-глава АНБ считает, что Конгрессу США следует обновить законодательство для наделения частных технологических компаний прямым правом на проведение скоординированных операций по нейтрализации 🥷иностранных государственных акторов в своих сетях.

Недавнее увеличение бюджета Киберкомандования США составляет всего около 1% от общего оборонного бюджета страны. Как считает Тимоти Д. Хо, этого абсолютно недостаточно для победы в одном из самых важных стратегических соревнований новой эпохи.

Отдельно стоит упомянуть статью Cyberscoop, в которой говорится, что первый заместитель помощника министра обороны по киберполитике Пол Лайонс выступил на мероприятии Federal Cyber Resilience Breakfast. В ходе своего выступления он назвал разработку передовых ИИ-моделей уровня Mythos переломным моментом.

Лайонс отметил, что подобные ИИ-модели изменят наступательную и оборонительную тактику военного ведомства в сферах работы с критически важной инфраструктурой. Он пояснил, что новые технологии обеспечат возможность эффективного поиска угроз и быстрого реагирования во всем киберпространстве и за его пределами. К числу таких жизненно важных ресурсов относятся водоснабжение, энергоснабжение и вычислительные мощности.

Чиновник откровенно заявил о попытках министерства определить необходимые полномочия и способы применения искусственного интеллекта в процессе принятия решений и при непосредственном боевом использовании.

Лайонс также констатировал повышение уровня зрелости методов ведения кибервойны в ходе последних конфликтов. По его мнению, это отчетливо просматривается Венесуэле [захват Мадуро]. Там комплексное использование киберсредств позволило создать благоприятные условия для военнослужащих и снизить риски для личного состава и успеха миссии. В сочетании с кинетическим и некинетическим воздействием такие методы значительно повышают летальность. Подобную ситуацию сегодня можно наблюдать и в Иране.

✋ @Russian_OSINT

Читать полностью…

🈁 Эволюция поиска уязвимостей в результатах испытаний Mythos Preview от компании 🤖XBOW

Глава компании XBOW по ИИ направлению (Head of AI) Альберт Зиглер представил подробный отчет о возможностях новой ИИ-модели Mythos Preview от разработчика Anthropic. Команда из 10 экспертов проверяла LLM в самых разных сценариях с целью определения ее эффективности в поиске уязвимостей. Полученные данные подтверждают качественный прогресс инструмента при аудите исходного кода и анализе приложений.

1️⃣ ИИ-модель демонстрирует хорошие результаты при аудите исходного кода. При предоставлении доступа к исходному коду инструмент на 55% снижает количество ложноотрицательных срабатываний по сравнению с версией Opus 4.6 (и на 42% в базовом тесте).

2️⃣ Система обладает беспрецедентной точностью при поиске уязвимостей в пересчете на каждый потраченный токен.

3️⃣ ИИ-модель превосходно выступает в роли генерирующего гипотезы «мозга», однако ей остро необходима физическая «оболочка» в виде платформы XBOW для проверки возможности эксплуатации найденных уязвимостей на реальных серверах.

4️⃣ Способность системы к оценке безопасности скриптов и команд оказалась неоднозначной. В тестах на безопасность выполнения действий точность составила 77,8% на фоне 90,1% у Haiku 4.5 из-за слишком буквального и консервативного следования правилам без понимания их духа.

5️⃣ Mythos показывает неплохие результаты в реверсе. ИИ-модель успешно анализирует прошивки и встроенные системы со сложными архитектурами и не ограничивается стандартным сопоставлением шаблонов.

👎Огромный минус: текущая стоимость эксплуатации Mythos Preview в 5 раз превышает затраты на использование модели Opus и требует от специалистов взвешенного подхода при выборе ИИ-модели под конкретные задачи. Экономическая эффективность ИИ при долгих проверках уступает решениям конкурентов. На практике часто бывает выгоднее выделить больше времени недорогим ИИ-моделям наподобие GPT 5.5 для достижения аналогичной точности при значительно меньших финансовых расходах.

Ещё один разбор Mythos в следующем посте через пару часов...

✋ @Russian_OSINT

Читать полностью…

⭕️ OpenAI обвинили в 🥷скрытой передаче данных пользователей корпорациям Meta* и Google

В открытом доступе появился интересный 📄 коллективный иск против OpenAI Global, LLC.

🤔В чём суть?

По версии истцов, 👩‍💻OpenAI встроила в код веб-версии ChatGPT сторонние 📲трекинговые инструменты Meta и Google. В иске утверждается, что эти инструменты могли передавать технологическим корпорациям сведения о запросах пользователей, их идентификаторы и другие персональные данные без их ведома

При вводе любого запроса в чат-бот (промпт) через встроенный Facebook Pixel в режиме реального времени в корпорацию Meta передавалась тема беседы, а также файлы cookie c_user и fr, напрямую связанные с уникальным Facebook ID пользователя. Наличие такого идентификатора позволяет связать анонимную активность в ChatGPT с реальным профилем в социальной сети и именем человека.

Отдельный блок иска касается 🌐Google Analytics. В документе говорится, что при регистрации или входе в аккаунт ChatGPT этот инструмент перехватывал хешированную версию адреса электронной почты (отмеченную идентификатором «em») и файл cookie Secure-3PSID, содержащий идентификатор профиля Google. Истцы считают, что такие данные позволяют Google сопоставлять активность пользователей ChatGPT с уже существующими рекламными профилями.

✋💰Истцы требуют компенсацию от OpenAI в размере $5 000 за каждый случай нарушения.

Фактически OpenAI без ведома и прямого письменного согласия пользователей содействовала передаче их данных Meta и Google для аналитики, маркетинга и рекламного таргетинга.

*Деятельность компании Meta (владеет Facebook, Instagram, WhatsApp) запрещена в РФ и признана 🏴‍☠️экстремистской.

✋ @Russian_OSINT

Читать полностью…

🇮🇱Скандал вокруг Azure привёл ❗️Microsoft к отставкам в руководстве израильского подразделения

Глава Microsoft Israel Алон Хаимович и несколько руководителей израильского подразделения покинули [1,2] свои посты по итогам внутреннего корпоративного расследования. Примечательно, что Хаимович ушел настолько внезапно, что ему даже не успели подобрать преемника. Globes и The Jerusalem Post сообщают, что Microsoft Israel, ранее подчинявшаяся региональному управлению в Дубае, временно передана под ответственность 🇫🇷Microsoft France. При этом источники Ynet внутри компании отрицают подобный сценарий передачи управления.

Причиной проверок стали публикации журналистов The Guardian об использовании разведывательным подразделением 8200 облачной платформы Azure. По данным издания, система позволила военным хранить и анализировать массивы перехваченных звонков миллионов палестинцев. Microsoft признала, что выявленные факты нарушали ее условия предоставления услуг, и отключила связанные с этим проектом отдельные подписки и облачные ИИ-сервисы Министерства обороны Израиля. Президент компании Брэд Смит подчеркнул, что корпорация не предоставляет технологии для массовой слежки за гражданскими лицами. Проект был строго засекречен, поэтому инженеров Microsoft просили не упоминать официальное название подразделения 8200.

Журналисты изданий +972 Magazine и Local Call (информацию которых агрегировала газета Ynetnews) раскрыли детали использования израильской армией системы искусственного интеллекта Lavender («Лаванда»). Алгоритмы анализировали социальные связи и историю местоположений гражданских, присваивая им рейтинг от 1 до 100. При наборе высокого балла и возможной связи с вооруженными группировками человек мог попасть в список потенциальных целей для авиаудара, после чего человеческая проверка, по словам источников, нередко была минимальной.

Дополнительным фактором напряжения стал правительственный облачный тендер Nimbus, который Microsoft в 2021 году проиграла компаниям Amazon и Google. Победители обязались развернуть облачную инфраструктуру на территории Израиля. По оценкам отраслевых источников Globes, условия их соглашений могли давать израильским госструктурам больше свободы в работе с данными. В результате часть информации подразделения 8200 хранилась на серверах Microsoft в Европе (в частности, в Нидерландах и Ирландии), создавая для американской компании регуляторные риски из-за строгих законов ЕС о конфиденциальности. Давление на штаб-квартиру усилили протесты сотрудников и требования инвесторов подготовить отчет о рисках работы в странах, где существуют угрозы нарушения прав человека.

Конфликт привел к пересмотру отдельных направлений сотрудничества Microsoft с израильскими оборонными структурами. По оценкам источников Globes, военные вычислительные подразделения в последние месяцы уже перенесли значительную часть облачной инфраструктуры на платформы Amazon и Google. Текущий контракт Министерства обороны Израиля с Microsoft должен быть продлен в конце 2026 года. Ожидается, что сотрудничество продолжится в меньшем масштабе, а роль корпорации может сократиться преимущественно до предоставления базовых корпоративных лицензий на операционную систему Windows и пакет приложений Office.

Microsoft, руководствуясь корпоративным прагматизмом, вряд ли пойдет на полный разрыв отношений с Израилем и его оборонным сектором. Вместо этого корпорация резко сузит самые токсичные и рискованные направления сотрудничества — прежде всего доступ к ИИ-сервисам и мощностям Azure, которые могут быть напрямую связаны с массовой слежкой или целеуказанием при военных ударах. Главным триггером здесь выступают не только репутационные издержки, но и регуляторные риски. Обработка чувствительных данных на европейских серверах делает компанию уязвимой перед жесткими законами ЕС (GDPR).

Для оборонного сектора Израиля этот прецедент означает сокращение технологической диверсификации. Вынужденный отказ от решений Microsoft ускоряет миграцию армейских структур на облачные платформы Amazon и Google в рамках проекта Nimbus.

✋ @Russian_OSINT

Читать полностью…

😁 Воспроизводимость пакетов станет обязательным стандартом для нового релиза Debian Forky

Представитель релизной команды Debian Пол Геверс сообщил, что цикл разработки forky прошел примерно половину пути. Forky должен стать следующим крупным релизом Debian после trixie и сейчас находится в состоянии testing.

Ключевое изменение касается воспроизводимости пакетов. Команда проекта заявила, что Debian должен поставлять воспроизводимые пакеты. В миграционном ПО уже включена блокировка новых пакетов, которые не удается воспроизвести, а также существующих пакетов в testing, у которых возникает регрессия воспроизводимости [1,2]. В forky воспроизводимость пакетов становится жестким техническим требованием.

Система миграции Debian теперь автоматически блокирует перенос новых пакетов в ветку testing, если их невозможно воспроизвести побитово идентичным образом. Аналогично блокируются и существующие пакеты при возникновении регрессий воспроизводимости.

Для конечных пользователей это означает прежде всего усиление доверия к процессу сборки Debian и снижение риска скрытого вмешательства на этапе компиляции или публикации пакетов. Воспроизводимые сборки позволяют независимым участникам пересобрать бинарные пакеты из исходных пакетов и файлов .buildinfo, а затем побитово сверить результат с тем, что распространяется через архив Debian. Дополнительные проверки autopkgtest и ужесточение правил миграции пакетов также повышают предсказуемость и качество testing-ветки.

Важно понимать, что reproducible builds не делают систему автоматически «неуязвимой». Они уменьшают риск компрометации инфраструктуры сборки и повышают прозрачность разработки, но не устраняют ошибки в самом исходном коде, 0-day-уязвимости или проблемы безопасности сторонних компонентов.

✋ @Russian_OSINT

Читать полностью…

Пишут, что исходники компьютерного червя под названием Shai-Hulud попали в открытый доступ. TeamPCP (или кто-то другой) выложили код на ❗️ GitHub, но администрация площадки удалила его. Vxunderground успели сохранить 📂 архив. Что это значит?

Теперь код доступен всем, включая 🥷хакеров-злоумышленников и 💻белых исследователей безопасности.

Это код уровня senior backend developer с глубоким знанием Dev0ps/cloud-инфраструктуры. Не APT уровня, но значительно выше среднего уровня infostealer. Модуль provenance — лучшая часть, написанная человеком, который детально изучил спецификации Sigstore/SLSA. Фраза «vibe coded» в README — намеренный троллинг: код структурирован, типизирован и задокументирован лучше большинства open-source проектов. Открытие исходника — это фактически публикация боевого SDK для атак на CI/CD экосистему npm/GitHub.

— бегло оценивает код 🈁Claude.

✋ @Russian_OSINT

Читать полностью…

👩‍💻 На компанию OpenAI подали в суд из-за предполагаемой роли ChatGPT в подготовке 🔫 стрелка из Университета штата Флорида

Семья одной из жертв массовой стрельбы в Университете штата Флорида подала в суд на компанию OpenAI. Данная стрельба произошла в апреле 2025 года и унесла жизни 2 человек. В исковом заявлении утверждается, что ChatGPT способствовал совершению данного нападения.

В качестве ответчика также указан Феникс Икнер. Его обвиняют в стрельбе и ссылаются на его «длительные беседы» с ChatGPT. В иске утверждается о неспособности компании OpenAI эффективно распознать угрозу в разговорах Икнера с программой. Согласно материалам дела Икнер был на тот момент студентом университета и показывал ChatGPT фотографии приобретенного им огнестрельного оружия. Затем ИИ-модель предположительно объяснила правила пользования этим оружием. Программа сообщила Икнеру об отсутствии предохранителя у пистолета Glock и о предназначении оружия для «быстрого использования в условиях стресса». ИИ-модель также посоветовала ему не держать палец на спусковом крючке до момента готовности к выстрелу. В иске указано начало атаки Икнера в университете в строгом соответствии с этими инструкциями.

В исковом заявлении утверждается о заявлении ChatGPT касательно более высокой вероятности привлечения внимания к стрельбе в случае участия детей. Чат-бот сообщил, что в такой ситуации даже 2 или 3 жертвы могут привлечь внимание общественности. Позже в день стрельбы Икнер расспрашивал программу о «судебном процессе, вынесении приговора и перспективах тюремного заключения».

В тексте иска говорится, что ChatGPT подогревал и поощрял заблуждения Икнера, подтверждая его мнение о себе как о здравом и рациональном человеке. Чат-бот помог убедить его в том, что насильственные действия могут быть необходимы для достижения целей. Икнер воспринял это как призыв «совершить массовое убийство вплоть до деталей о наиболее подходящем времени для встречи с наибольшим потоком людей на кампусе».

Данный иск является одним из многих дел, в которых семьи погибших и правоохранительные органы заявляют о роли ChatGPT или других чат-ботов в совершении преступлений.

Компания OpenAI отвергла обвинения в том, что ее продукт несет ответственность за случившееся.
--------------------------

Из недавнего также стало известно, что ChatGPT побудил 19-летнего Сэма Нельсона принять смертельно опасную комбинацию препаратов. Общение с ChatGPT привело к случайной 💊передозировке. По утверждению родителей, чат-бот побуждал подростка употребить комбинацию веществ, которую любой лицензированный медицинский работник признал бы смертельной.

В иске говорится, что ИИ-модель порекомендовала принять «Ксанакс» в дозировке от 0,25 до 0,5 мг для облегчения тошноты, вызванной употреблением кратома. В итоге Сэм Нельсон скончался после употребления комбинации алкоголя, «Ксанакса» и кратома.

✋ @Russian_OSINT

Читать полностью…

🇷🇺 ФСИН России использует в колониях роботов и искусственный интеллект

Как сообщает Lenta.ru, роботы-патрульные с середины апреля начали нести службу в двух колониях Управления ФСИН России по Самарской области. Черно-белые машины, похожие на роботов-доставщиков, передвигаются на колесах и легко ориентируются в пространстве по системе навигации.

Роботы патрулируют территорию, пишут видео и могут анализировать записи. В первую очередь роботы призваны разгрузить личный состав — следить вместе с надзирателями за безопасностью и предотвращать возможные нарушения заключенными режима

Роботы — не единственный пилотный IT-проект в системе ФСИН: сегодня там тестируют еще и камеры видеонаблюдения с искусственным интеллектом (ИИ). В столичном СИЗО «Бутырка» нейросети взаимодействуют с 350 камерами, за которыми раньше следили люди.

ИИ анализирует изображение с камер и автоматически распознает опасные ситуации — к примеру, задымления, драки, попытки побегов или суицида. Если такая ситуация зафиксирована, система подает звуковой сигнал и выводит изображение с камер на экран

Учитывая тот факт, что даже самая совершенная техника может допускать ошибки — решения принимает человек (сотрудник).

Мы видим на экране, что заключенный занимается в камере физическими упражнениями, но система идентифицирует занятия (...) как драку. Поэтому данный инцидент сразу выводится на экран. Оператор, соответственно, видит, что в камере штатная ситуация

— комментирует Андрей Шубин, начальник СИЗО-2 «Бутырка» УФСИН России по Москве.

Фото: Евгений Биятов / РИА Новости
Фото: Дмитрий Лебедев / Коммерсантъ

✋ @Russian_OSINT

Читать полностью…

🧊 Патчимся до 150.0.3. Оперативненько — /channel/Russian_OSINT/7134.

https://www.mozilla.org/en-US/security/advisories/mfsa2026-45/

✋ @Russian_OSINT

Читать полностью…

Я надеялся выступить на Pwn2Own с полной цепочкой эксплойтов [full-chain entry] для Firefox, но, к сожалению, мою заявку отклонили. Я уже сообщил об этой уязвимости команде Mozilla.

— пишет исследователь под ником ggwhyp.

Информации об исследователе крайне мало. На одном из видео автор показывает пример RCE. Пользователь открывает в браузере локальную веб-страницу. Затем скрытый скрипт обходит внутренние защитные механизмы и выходит за пределы изолированной среды браузера.

В результате операционная система Windows автоматически запускает командную строку и приложение калькулятора? демонстрируя контроль на атакуемой "тачкой". Автор треда планировал выступить со своей находкой на известном хакерском турнире Pwn2Own. На подобных соревнованиях ИБ-исследователи получают крупные денежные призы за демонстрацию успешного взлома популярного программного обеспечения.

Организаторы турнира отклонили заявку исследователя. Причиной мог стать дубликат уже известной ошибки или несоответствие правилам. После получения отказа автор поступил в соответствии с профессиональной этикой и передал информацию о найденной проблеме напрямую команде разработчиков Mozilla для оперативного выпуска патча безопасности.

✋ @Russian_OSINT

Читать полностью…

😆Новая цепочка 0-day LPE-уязвимостей ❗️Dirty Frag в Linux позволяет локально получить root-права в большинстве основных дистрибутивов.

Публичный PoC-эксплойт для цепочки Dirty Frag позволяет локальному непривилегированному пользователю получить права root во многих дистрибутивах Linux. Для PoC-эксплойта исследователь опубликовал однострочную команду запуска.

Согласно техническому описанию, Dirty Frag представляет собой цепочку двух ошибок ядра Linux: xfrm-ESP Page-Cache Write и RxRPC Page-Cache Write. Вместе они позволяют локальному непривилегированному пользователю изменять page cache защищённых системных файлов в памяти, например кэшированную копию /usr/bin/su, и за счёт этого повышать привилегии до root.

Кроме того, Dirty Frag относится к тому же классу ошибок, что и уязвимости Linux Dirty Pipe и Copy Fail, однако отличается механизмом эксплуатации. Dirty Frag эксплуатирует недостатки механизма обработки paged fragments в структуре struct sk_buff сетевого стека Linux.

Цепочка локального повышения привилегий Dirty Frag затрагивает широкий круг дистрибутивов Linux, включая Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed и Fedora.

Ошибка в пути xfrm-ESP получила номер CVE-2026-43284, а проблема в RxRPC отслеживается как CVE-2026-43500. 8 мая для первой части цепочки, CVE-2026-43284, были опубликованы исправления ядра Linux, однако для CVE-2026-43500 на тот момент полного исправления во всех выпущенных версиях ядра ещё не было. До установки исправленных пакетов ядра временной мерой может быть блокировка загрузки модулей esp4, esp6 и rxrpc через конфигурацию modprobe. При этом нужно действовать осторожно ввиду возможного нарушения работы IPsec VPN, AFS и другой функциональности при использовании RxRPC.

✋ @Russian_OSINT

Читать полностью…

🌐 Платформа Google Cloud Fraud Defense стала новым этапом эволюции сервиса 🤖reCAPTCHA

Руководитель группы управления продуктами Google Cloud Цзянь Чжэнь представил систему Fraud Defense на ежегодной конференции Google Cloud Next.

В Fraud Defense появляется новый сценарий проверки reCAPTCHA через QR-код, который может создать серьёзные трудности для пользователей Android-устройств без Google Play Services.

Традиционно reCAPTCHA используется для защиты сайтов от спама, злоупотреблений и автоматизированного трафика, помогая отличать людей от ботов.

В чём суть? Одним из наиболее заметных нововведений стал механизм QR-проверки для случаев, когда система фиксирует потенциально мошенническую или подозрительную активность. Если система оценивает взаимодействие как рискованное, то сайт может показать пользователю QR для дополнительной проверки. Для её прохождения пользователь должен отсканировать QR-код совместимым 📱мобильным устройством, чтобы ✅подтвердить присутствие человека.

Если человек использует устройство на базе Android, то ему потребуется Google Play Services версии 25.41.30 или выше. Любой человек без сертифицированного устройства не сможет пройти верификацию.

Подобную технологию (Web Environment Integrity) уже пытались внедрить в 2023 году, но проект свернули после волны общественного возмущения. В этот раз систему запустили как коммерческий продукт, а не как публичное предложение. Старые методы обхода капчи пока остаются доступны в качестве резервных, но никто не знает, как долго Google будет сохранять эту возможность.

— комментируют cитуацию MEGA Privacy.

Это означает, что под удар попадают владельцы устройств на базе GrapheneOS, CalyxOS и так далее.

Утверждается, что глобальная аналитика угроз Google обеспечивает коллективный иммунитет для более чем 14 млн доменов и защищает 50% компаний из списка Fortune 100.

👆🤔Разработчики GrapheneOS утверждают, что корпорации Apple и Google намеренно внедряют системы аппаратной аттестации под ложным предлогом заботы о безопасности. Корпорации Google и Apple фактически принуждают пользователей операционных систем Windows и Linux всегда иметь под рукой сертифицированный коммерческий смартфон. В противном случае человек просто не сможет подтвердить свою личность и получить доступ к нужному веб-ресурсу.

Забавно. У кого появились QR-капча — пробуют обойти её с помощью нажатия иконок 👁 или 🎧 (наушники, глаза). То есть кликаешь → reCAPTCHA выдаёт звук/голос, который говорит цифры или слова. Нужно их ввести (без сканирования QR).

Google ещё не убрал эти иконки, но может сделать это в ближайшем будущем.

✋ @Russian_OSINT

Читать полностью…

Специалист по кибербезопасности Маркус Хатчинс (известный тем, что остановил распространение шифровальщика WannaCry) провел эксперимент по автоматизации поиска 0-day уязвимостей с помощью ИИ-модели Claude Opus без ограничений безопасности.

По его наблюдениям, современные нейросети не обладают магическими способностями и в реальности плохо понимают архитектуру компьютера. Они работают исключительно как механизмы поиска знакомых паттернов в коде. Маркусу пришлось самостоятельно писать скрипты для подготовки драйверов Windows 11 и выстраивать жесткую логику запросов для направления ИИ в нужное русло. Хатчинс подчеркивает, что ИИ может идеально процитировать теорию (например, безупречно объяснить, что такое технология защиты ASLR или что такое Read/Write примитивы), но она не способна связать эти знания воедино на практике.

Хатчинс заявляет прямо: "Это не LLM учит меня эксплуатации уязвимостей. Это я учу её".
Чтобы ИИ смог выдать хоть какой-то адекватный результат, Маркусу пришлось:

🐍 Написать огромный фреймворк на Python
📞 Самостоятельно декомпилировать ассемблерный код в си-подобный псевдокод (потому что ИИ ужасно работает с реверс-инжинирингом ассемблера)
💻 Пришлось использовать многолетний опыт поиска уязвимостей, буквально описывая для ИИ каждый шаг и каждую потенциальную ошибку

🤖Поиск уязвимостей остался крайне дорогим и трудоемким процессом. Обработка одного файла стоила около $2, а для обнаружения одной действительно ↔️критической ошибки автору пришлось проанализировать четыре сотни драйверов.

В итоге только этап получения базового отчета обошелся в $800. Исследователь считает, что неопытным 🥷злоумышленникам будет крайне сложно генерировать эксплойты с помощью ИИ без глубоких знаний в реверс-инжиниринге и значительных финансовых вложений.

Внедрение ИИ-инструментов помогает безопасникам защитить свою инфраструктуру, а программисты получают новые возможности для быстрого исправления ошибок в своих продуктах. При этом на первый план выходит проблема неравномерного распределения ресурсов. Крупные технологические гиганты могут позволить себе оплачивать дорогостоящие вычисления, тогда как критически важные проекты с открытым исходным кодом остаются без надежной защиты.

Общественности стоит задуматься над тем, что нужно разработать новые способы совместного финансирования таких проверок для обеспечения безопасности фундаментальных программных решений.

👆Тесты проводились на 🈁 Claude Opus 4.6. Хатчинс тестировал 📖поиск уязвимостей нулевого дня в драйверах уровня ядра (kernel drivers) для Windows 11 от сторонних разработчиков.

✋ @Russian_OSINT

Читать полностью…

📊Исследование «Солара»: каждый второй пользователь рискует своими данными из-за слабого пароля

ГК «Солар» провели исследование с целью выяснить у респондентов частоту смены паролей и выполнение рекомендаций по их безопасности. Результаты исследования показали, что 🙏 47% опрошенных используют один пароль для разных учетных записей, что значительно повышает вероятность взлома нескольких аккаунтов одновременно.

Кроме того, 60% респондентов меняют пароли реже одного раза в год, а 21% — не меняют его совсем, что создает дополнительные риски компрометации данных. При этом, каждый пятый опрошенный сталкивался с проблемами из-за использования пароля, который долгое время не менялся.

«Недостаточная сложность паролей, повторное использование и редкая смена паролей — это три самых распространенных фактора, которые многократно увеличивают риск взлома аккаунтов и потери персональных данных. Если злоумышленники получают доступ к одному аккаунту, они сразу пробуют применить тот же пароль и в других популярных сервисах. Особенно опасны ситуации, когда один и тот же пароль используется для почты, соцсетей и банковских приложений».

— комментирует Александр Вураско, директор по развитию центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар».

✍️Основные способы хранения паролей — запоминание и записи в бумажных блокнотах, что говорит о низком уровне цифровой гигиены и недостаточном использовании безопасных инструментов, таких как менеджеры паролей.

✋ @Russian_OSINT

Читать полностью…

🐋 Оценка DeepSeek на рынке приближается к $45 млрд

Крупнейший китайский государственный инвестиционный фонд в сфере полупроводников ведет переговоры о том, чтобы возглавить первый раунд финансирования DeepSeek, в результате которого компания может быть оценена примерно в $45 млрд.

Китайский инвестиционный фонд индустрии интегральных микросхем (China Integrated Circuit Industry Investment Fund), обычно называемый «Большим фондом» (Big Fund), хочет стать главным инвестором DeepSeek.

👆Среди других инвесторов, которые все еще ведут переговоры о покупке доли, — китайский технологический гигант Tencent, хотя окончательный состав участников еще не определен.

✋ @Russian_OSINT

Читать полностью…

Так, например, ведущий разработчик проекта curl Дэниэл Стенберг получил возможность проверить Mythos на практике при содействии проекта Alpha Omega от организации Linux Foundation. Анализ проводил сторонний специалист. Он просканировал основную ветку репозитория curl объемом 178 000 строк кода и передал готовый отчет автору утилиты. Команда curl имеет богатый опыт работы с подобными системами. Разработчики ранее использовали ИИ-модели AISLE, Zeropath и Codex Security от OpenAI. За последние 10 месяцев эти анализаторы помогли обнаружить и исправить от 200 до 300 ошибок. Они также позволили закрыть около 12 официальных уязвимостей.

Отчет Mythos изначально содержал 5 подтвержденных уязвимостей. Команда безопасности curl детально проанализировала каждую из них. Эксперты признали 3 проблемы ложными срабатываниями. Еще 1 находку классифицировали как обычный программный дефект. Лишь 1 угроза оказалась реальной уязвимостью низкого уровня серьезности.

О чём говорят результаты? Дэниэл Стенберг считает слухи о "невероятной опасности" Mythos маркетинговым ходом Anthropic. ИИшка работает качественно и выдает точные описания проблем. При этом она выявляет только известные классы программных дефектов и не демонстрирует радикального превосходства над другими актуальными анализаторами кода.

💊Отсутствие «волшебной таблетки»:

✅ Представители XBOW утверждают, что это не магия. Модель представляет собой мозг без тела. ИИ-модель отлично читает исходный код и генерирует зацепки, однако без платформы для тестирования на живых серверах это лишь теория.

✅Стенберг подтверждает данную мысль со своей стороны. ИИ-модель подсвечивает проблему, но она не может самостоятельно ее полноценно интегрировать, протестировать и выкатить в продакшен. Система находит программный дефект, при этом тяжелая работа по его устранению полностью ложится на плечи людей.

✅ Аналитики XBOW в своих бенчмарках выяснили факт проблем с «суждением» у Mythos. ИИ-модель бывает слишком буквальной, консервативной и часто переоценивает практическую значимость своих находок.

✅Дэниэл Стенберг и комментаторы в его блоге подтверждают аналогичную позицию. Разработчикам приходится тратить массу времени на фильтрацию отчетов. ИИ-модель пока не обладает глубоким контекстным пониманием.

✅ XBOW отмечает скрытность многих уязвимостей при «простом взгляде на код», о чем говорил Гари Макгроу. Проблемы возникают в конфигурациях, деплое и связках зависимостей на живом сервере. При этом ИИ-модель сильна именно в чтении статичного кода.

✅ Стенберг фокусируется на проекте curl, который представляет собой сложную сетевую библиотеку. Успех ИИ-модели в поиске логической ошибки в коде совершенно не означает легкость ее эксплуатации в реальном мире. Пентестерам XBOW нужна реальная эксплуатация. Мейнтейнерам требуется понимание критичности программного дефекта.

Резюмируя позиции обеих сторон, можно отметить явное разделение мнений между специалистами по наступательной и оборонительной кибербезопасности. Пентестеры из компании XBOW высоко оценивают аналитические способности новой ИИ-модели при статичном аудите кода. Они видят в ней мощный инструмент поиска уязвимостей, которому не хватает лишь практической среды для автоматизированного тестирования эксплойтов. В противовес им мейнтейнеры во главе с ведущим разработчиком curl Дэниэлом Стенбергом испытывают смешанные чувства из-за огромного потока сгенерированных отчетов, которые приходится разгребать вручную. Разработчики признают общую пользу. Главные жалобы на отсутствие у ИИ-модели глубокого контекстного понимания и необходимость тратить массу времени на ручную фильтрацию ложных срабатываний. Перспектива волшебного искоренения багов и уязвимостей с помощью данной ИИ-модели в ближайшем будущем остается крайне маловероятной.

✋ @Russian_OSINT

Читать полностью…

👩‍💻OpenAI сообщила о компрометации репозиториев с материалами для подписи приложений после атаки 🎩Mini Shai-Hulud на TanStack npm

Представители OpenAI зафиксировали компрометацию 2 корпоративных устройств сотрудников. Атака связана с уязвимостью популярной открытой библиотеки TanStack npm. Данный инцидент произошел в рамках масштабной атаки на цепочку поставок под названием Mini Shai-Hulud, о которой говорилось ранее.

💻🥷Злоумышленники получили доступ к ограниченному набору внутренних репозиториев исходного кода и успешно похитили небольшую часть учетных материалов. Представители OpenAI заявили об отсутствии ущерба для остального кода и другой информации в данных репозиториях.

OpenAI привлекла стороннюю фирму по цифровой криминалистике и реагированию на инциденты. По итогам расследования компания заявила, что не обнаружила доказательств доступа к пользовательским данным, компрометации интеллектуальной собственности, производственных систем или изменения своего программного обеспечения.

Затронутые репозитории содержали материалы для подписи приложений OpenAI. Компания упомянула сертификаты подписи для продуктов на базе iOS, macOS и Windows. В разделе частых вопросов разработчики отдельно уточнили компрометацию ключей подписи для Windows, macOS, iOS и Android. Специалисты OpenAI ротируют сертификаты подписи кода и перевыпускают приложения с новыми ключами. Данные меры снижают риск распространения вредоносных программ под видом официальных продуктов компании.

Пользователям macOS необходимо обновить приложения OpenAI до 12 июня 2026 года. Это касается ChatGPT Desktop, Codex App, Codex CLI и Atlas. OpenAI указывает, что после этой даты старые версии macOS-приложений больше не будут получать обновления и поддержку и могут перестать работать. Последними выпусками, подписанными устаревшим сертификатом, названы ChatGPT Desktop 1.2026.125, Codex App 26.506.31421, Codex CLI 0.130.0 и Atlas 1.2026.119.1.

Инцидент произошел во время поэтапного внедрения новых защитных мер после предыдущего инцидента с Axios. OpenAI уточнила, что 2 затронутых устройства сотрудников еще не имели обновленных конфигураций, которые могли бы предотвратить загрузку нового пакета с вредоносным кодом.

✋ @Russian_OSINT

Читать полностью…

📊Денег на зарплаты нет: 80% компаниям в России не хватает ИБ-специалистов

Как сообщает Secpost.ru, большинство российских компаний испытывают дефицит ИБ-специалистов, при этом почти трети из них не хватает более 10 сотрудников.

↘️ По итогу первого квартала количество ИБ-вакансий сократилось на 20%
↘️ Эксперты считают, что к концу 2026 года количество открытых вакансий и уровень зарплат в ИБ еще сократятся.
↘️ Отмечается, что доля организаций, оценивающих нехватку более чем в 10 специалистов, за три года выросла с 17% до 32%.

«При этом реальный дефицит специалистов никуда не делся: компании перешли от массового найма к точечному. Вместо десятков открытых позиций бизнес формулирует более узкие требования и готов искать дольше»

— комментирует представитель площадки «Хабр Карьеры».

Среди причин называется кризис и оптимизация бюджетов. Компании скорее вкладываются в удержание и развитие текущей команды, чем в расширение штата.

По прогнозу «Хабр Карьеры», в 2026 году число ИБ-вакансий останется ниже прошлогоднего уровня, но конкуренция за узкопрофильных специалистов продолжит расти.

*Опрос проводился среди ИБ-руководителей в более чем 255 компаниях.

✋ @Russian_OSINT

Читать полностью…

Pentest award 2026 открыл прием заявок!

Каждый год у этичных хакеров появляется возможность заявить о себе, продемонстрировать свои навыки и творческий подход к решению задач в области тестирования на проникновение.

Главный приз за победу — статуэтка и макбук!
За вторые и третьи места призеры получат айфоны и смарт-часы.
Церемония награждения состоится 14 августа на Красном Октябре

Заявка на премию — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею.

Отправляйте заявки на сайте, участвуйте и побеждайте!
Реклама. ООО «Авилликс». erid:2VtzqvCi423

Читать полностью…

🇩🇪🥷 В Германии ущерб от киберпреступности достиг рекордного уровня и превысил €202 млрд

Согласно исследованию цифровой ассоциации Bitkom, в прошлом 2025 году экономический ущерб от киберпреступности вырос на €24 млрд и превысил €202 млрд. Общее число зарегистрированных Федеральным ведомством уголовной полиции киберпреступлений увеличилось незначительно и составило около 334 000 случаев. Эти данные приведены в отчете BKA о состоянии киберпреступности за 2025 год, представленном во вторник.

Министр внутренних дел Германии от партии ХСС Александр Добриндт назвал киберпреступность одним из главных вызовов для общественной безопасности. По его словам, уровень угрозы в киберпространстве остается неизменно высоким

Среди ключевых факторов роста угроз немецкие следователи называют более активное использование ИИ и атаки APT. Добриндт также сообщил, что в текущем месяце кабинет министров должен одобрить законопроект об активной киберобороне. Министр заявил, что немецкие власти хотят получить возможность не только защищаться, но и 🥷❗️разрушать или парализовывать инфраструктуру атакующих.

🥷 Согласно отчету, почти 2/3 преступлений совершаются из-за рубежа или местонахождение преступников остается неизвестным. Уровень раскрываемости подобных иностранных преступлений около 2%. Для преступлений, совершенных внутри Германии, показатель значительно выше и достигает 31,4%.

Заместитель руководителя 👮ВКА Мартина Линк добавила, что Германия регулярно входит в число главных мировых целей по всем видам киберпреступности. Отдельно в контексте ransomware Добриндт отметил, что Германия остается одной из наиболее заметных целей наряду с 🇺🇸США и 🇨🇦Канадой.

Главной угрозой остается вымогательство с использованием локеров (шифровальщики). Количество зарегистрированных атак выросло на 10% и превысило 1000 случаев. Реальное количество нераскрытых преступлений оценивается во много раз выше.

По словам Александра Добриндта средние предприятия сталкиваются с необходимостью выплачивать в среднем около €500 000.

✋ @Russian_OSINT

Читать полностью…

Канал 🔨SecAtor — @true_secator пишет интересное:

Microsoft представила Patch Tuesday за май 2026 года с исправлениями для 120 уязвимостей, при этом информация в отношении 0-day не разглашается.

В целом устранены 17 критических» уязвимостей, 14 из которых представляют собой RCE, 2 - EoP и 1 - приводящая к раскрытию информации со следующим распределением по категориям: 61 - EoP, 6 - обход функции безопасности, 31 - RCE, 14 - раскрытие информации, 8 - DoS и 13 - подмена данных.

Помимо указанных уязвимостей не включены проблемы в Mariner, Azure, Copilot, Microsoft Teams и Microsoft Partner Center, которые были исправлены Microsoft ранее в этом месяце, а также - 131 уязвимость в Microsoft Edge/Chromium.

В рамках текущего Patch Tuesday микромягкие не сообщили о каких-либо 0-day, однако и без них хватает проблем, которые требуют особого внимания со стороны пользователей.

Среди них многочисленные уязвимости в Microsoft Office, Word и Excel, которые могут привести к RCE, поскольку многие из них могут быть использованы через панель предварительного просмотра.

К числу других наиболее интересных уязвимостей относятся:

- CVE-2026-35421: RCE-уязвимость в Windows GDI, которую можно использовать, открыв вредоносный файл Enhanced Metafile (EMF) с помощью Microsoft Paint.

- CVE-2026-40365: RCE-уязвимость в Microsoft SharePoint Server. Авторизованный злоумышленник может осуществить сетевую атаку, которая удаленно выполняет код на сервере SharePoint.

- CVE-2026-41096: RCE-уязвимость в клиенте Windows DNS. Контролируемый злоумышленником DNS-сервер может отправить специально сформированный DNS-ответ уязвимой системе Windows, что приведет к некорректной обработке ответа клиентом DNS и повреждению памяти. Это позволит злоумышленнику удаленно запустить код на уязвимой системе.

Раскрывший в прошлом месяце 0-day BlueHammer и RedSun исследователь Nightmare Eclipse сообщает об обнаружении двух нулей в Windows спустя несколько минут после того, как Microsoft выпустила свой Patch Tuesday.

Они включают в себя ошибку повышения привилегий под названием GreenPlasma и ошибку обхода BitLocker под названием YellowKey.

Полное описание каждой уязвимости и затронутых ею систем - здесь.

Читать полностью…

Первый менеджер паролей с сертификатом ФСТЭК России

Персональные данные, финансовая документация, доступы к инфраструктуре — ошибки стоят слишком дорого. За выбором решения для защиты стоят репутация компании и её будущее.

Пассворк — первый российский менеджер паролей с сертификатом ФСТЭК по 4-му уровню доверия, наивысшему для коммерческих средств защиты информации.

Вместе с лицензиями ФСТЭК на ТЗКИ и СЗКИ, лицензией ФСБ и включением в реестр Минцифры — это полный регуляторный периметр, который закрывает один продукт.

Пассворк — сертифицированное средство защиты информации и основа информационной безопасности.

Протестировать Пассворк бесплатно
Подробнее о сертификате
#реклама
О рекламодателе

Читать полностью…

Первый заместитель председателя ИТ-комитета Госдумы и председатель правления РОЦИТ Антон Горелкин заявил, что российские пользователи всё чаще сталкиваются с проблемами доступа к GitHub. По его словам, доля неудачных соединений с платформой уже превысила 16%.

Российские разработчики заметили, что GitHub всё чаще оказывается недоступен. Процент неудачных соединений с платформой, которую многие отечественные программисты используют для совместной работы с кодом, превысил 16%. Интересно, что проблема коснулась только пользователей из РФ – и поскольку РКН сообщает, что не ограничивает работу GitHub, остается лишь один вариант: сознательная дискриминация российских пользователей администрацией платформы.

Понятно, что большинство программистов от политики далеки. Возможно, они не в курсе, что GitHub уже давно принадлежит Microsoft. Эта компания не просто ушла из России, но занимается откровенным вредительством (чего, например, стоит тенденциозное «исследование» уровня внедрения ИИ). Так что не нужно удивляться проблемам с доступом к GitHub с территории РФ – думаю, что количество неудачных соединений с 16% уже скоро достигнет всех 100%.

👆Российским разработчикам рекомендуется переносить проекты на альтернативные Git-репозитории, включая отечественные решения.

✋ @Russian_OSINT

Читать полностью…

🥷 Песчаный червь↔️Mini Shai-Hulud атакует популярную экосистему TanStack через npm

Специалисты по кибербезопасности обнаружили масштабную атаку на цепочку поставок в экосистеме TanStack через вредоносные релизы в npm. Инцидент также затронул экосистемы PyPI и Composer. По данным Socket, хакерская группировка TeamPCP успешно внедрила сетевого червя Mini Shai-Hulud, скомпрометировав 416 артефактов пакетов. Компрометации подверглись крупные проекты OpenSearch, UiPath, Mistral AI и 84 артефакта TanStack в 42 пакетах. Отдельные зараженные пакеты, включая tanstack/react-router, имеют более 12 млн скачиваний в неделю.

ИБ-исследователь Карлини одним из первых публично описал признаки компрометации, после чего TanStack, Socket и StepSecurity подтвердили ключевые выводы по данной атаке. Злоумышленники использовали слабости конфигурации GitHub Actions. Атака опирается на эксплуатацию паттерна pull_request_target и отравление кэша. Скрытая вредоносная нагрузка объемом 2,3 МБ запускалась автоматически при установке зависимостей. Специальный скрипт на языке 🐍 Python напрямую сканировал память процесса Runner.Worker в среде GitHub Actions для перехвата всех существующих секретных токенов. Вредоносная программа также закреплялась на локальных компьютерах разработчиков через механизмы постоянного присутствия в Claude Code и VS Code.

Программа функционирует как самораспространяющийся сетевой червь и агрессивный стилер учетных данных. Вредонос сканирует переменные окружения и локальные директории для перехвата ключей авторизации. Под угрозой находятся токены GitHub, npm, AWS, GCP, HashiCorp Vault и Kubernetes. Дополнительно код собирает файлы криптовалютных кошельков, конфигурации ИИ-моделей и сессионные данные мессенджеров. Червь автоматически ищет украденные токены npm с отключенной двухфакторной аутентификацией. При нахождении таких ключей он самостоятельно публикует зараженные обновления для других пакетов жертвы.

Киберпреступники выводили похищенную информацию через мессенджер Session и намеренно маскировали свои следы в GitHub терминами из фантастической вселенной Фрэнка Герберта «Дюна». На одном из своих командных серверов хакеры оставили публичное признание в массовой краже паролей и передали издевательский привет “With Love TeamPCP” всему сообществу разработчиков.

😘https://github.com/TanStack/router/issues/7383#issuecomment-4426008454
😘 https://www.stepsecurity.io/blog/mini-shai-hulud-is-back-a-self-spreading-supply-chain-attack-hits-the-npm-ecosystem
😘https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack

✋ @Russian_OSINT

Читать полностью…

👩‍💻 OpenAI может предоставить 🇪🇺Европейскому союзу доступ к новой "хакерской" ИИ-модели

В прошлом месяце компания OpenAI выпустила GPT-5.5 Cyber, конкурента Mythos. Стало известно, что OpenAI ведет переговоры с Европейской комиссией. Цель переговоров заключается в предоставлении властям ЕС доступа к модели для выявления уязвимостей в программном обеспечении.

Бывший министр финансов Великобритании и руководитель данной инициативы OpenAI Джордж Осборн в ночь с воскресенья на понедельник направил в Европейскую комиссию письмо с предложением предоставить доступ к передовой ИИ-модели. Осборн добавил о начале компанией процесса установления контактов с государствами-членами ЕС.

Расположенное в Греции агентство Европейской комиссии по кибербезопасности ENISA также подтвердило факт обращения со стороны OpenAI.

Все это происходит на фоне гонки Соединенных Штатов и Китая за создание превосходящих ИИ-технологий. Чиновники Европейского союза и правительственные надзорные органы могут получить доступ к версии модели Cyber с максимальными кибердопусками.

✋ @Russian_OSINT

Читать полностью…

В 2026 году нам понадобится (1) 🪪 государственное удостоверение личности, чтобы пользоваться нашим телефоном (2) специальное приложение от Google, чтобы просматривать «свободный и открытый» веб (3) мы должны регулярно отмечаться в рекламной компании Google, чтобы подтвердить наше поведение и действия при веб-серфинге с использованием их приложения.

Великолепный прогресс. 🤦‍♂️

Play Services собирает кучу данных (device ID, поведение, гео при проверках). Для обывателя это значит больше слежки под предлогом безопасности.

— пишут и негодуют пользователи в 🦆.

🤔Знаете, о чём подумалось?

С точки зрения ИБ внедрение сканирования QR-кодов может расширить поверхность атаки (особенно по части 🧠СИ). Речь идёт прежде всего о QR-фишинге и QRLJacking.

Приучая пользователей к постоянному 👍сканированию кодов для подтверждения сессии, Google формирует опасный паттерн слепого доверия к QR. Главный риск здесь — QR-фишинг. Пользователь привыкает сканировать код. В социальной инженерии самое сложное это заставить потенциальную жертву совершить нестандартное действие, но если корпорация уровня Google делает сканирование QR-кода для юзеров повседневной рутиной, то у людей вырабатывается условный рефлекс, как у собаки Павлова.

Видишь плашку 👉 "Подтверди, что ты человек» -> достаешь камеру -> сканируешь -> переходишь по ссылке". Критическое мышление отключается, потому что «это же обычная капча, которую я сканирую по десять раз на дню». Злоумышленники внедряют QR-код с перенаправлением на 🐠фишинговый сайт под видом стандартной проверки reCAPTCHA.

Не исключено, что злоумышленники также могут использовать видоизмененную плашку [cм.скрин пользователя] с требованием обновить 🎣Google Play Services до версии XYZ и выдать 📱 ссылку под видом ⚠️ обновления. Особенно опасно всё это, когда делается в спешке.

Решение корпорации 🌐 Google является весьма спорным с точки зрения безопасности рядового пользователя.

✋ @Russian_OSINT

Читать полностью…

🇷🇺 С Днём Победы!

✋ @Russian_OSINT

Читать полностью…

▫️ TaskExplorer — продвинутый системный монитор и диспетчер задач для Windows, который даёт глубокую видимость процессов, потоков, стеков вызовов, памяти, открытых handle-объектов, DLL-модулей и сетевых сокетов.

Task Explorer является мощным инструментом управления задачами для мониторинга и глубокого анализа активности запущенных приложений в режиме реального времени. Проект использует PHlib, библиотеку, исторически связанную с Process Hacker/System Informer, а также специально собранную версию драйвера systeminformer.sys из проекта System Informer.

💬Автор DavidXanatos, известный по проекту Sandboxie-Plus.

✋ @Russian_OSINT

Читать полностью…

🌐Исследователи нашли ⚠️критическую supply-chain уязвимость в ❗️Gemini CLI

Специалисты из Pillar выявили критическую уязвимость с оценкой ↔️CVSS 10.0 в связке Gemini CLI, run-gemini-cli и GitHub Actions workflow Google, которая открывала путь к полной компрометации цепочки поставок репозитория gemini-cli через CI/CD-инфраструктуру GitHub. Вектор атаки строился на внедрении промпта (prompt injection) в текст публичного тикета (issue), который автоматически обрабатывался агентом без предварительной санитизации входных данных.

Используя уязвимость в режиме автоматического одобрения --yolo, злоумышленник заставлял ИИ-агента считывать переменные окружения и файл .git/config, а затем эксфильтровать токен доступа и OIDC-секреты на сторонний сервер. Получив первичный токен, атакующий инициировал выполнение смежных рабочих процессов (workflows) для эскалации привилегий до уровня contents: write, получая возможность внедрять произвольный код напрямую в основную ветку репозитория.

Причиной уязвимости стала реализация так называемого «смертельного трио» (lethal trifecta) в CI/CD: одновременное наличие у агента доступа к конфиденциальным данным, обработка недоверенного контента и возможность внешней коммуникации.

К 24 апреля 2026 г. (после изначального отчета от 16 апреля 2026 г.) компания Google выпустила патчи, внедрив принудительную фильтрацию по белым спискам инструментов (tool allowlisting) и усилив санитизацию команд оболочки.

Для надежной защиты инфраструктуры, где используются ИИ-модели, эксперты настоятельно рекомендуют отключать сохранение учетных данных на диске (persist-credentials: false в actions/checkout) и выстраивать модель угроз (threat model) с фокусом на строгой архитектурной изоляции секретов и ограничении привилегий, а не полагаться исключительно на харденинг (защиту) самих промптов.

В дополнение к патчам кода, Google также обновила свою документацию, примеры рабочих процессов и рекомендации по безопасности, чтобы разработчики больше не копировали уязвимые шаблоны в свои репозитории.

✋ @Russian_OSINT

Читать полностью…

Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователи Лаборатории Касперского обнаружили в репозитории Python Package Index (PyPI) три пакета, предназначенные для скрытой доставки ранее неизвестного семейства вредоносных ПО под названием  ZiChatBot на системы Windows и Linux.

Несмотря на то, что эти пакеты wheel и реализуют функции, описанные на веб-страницах PyPI, их истинное предназначение - скрытая доставка вредоносных файлов.

В отличие от традиционного вредоносного ПО, ZiChatBot не взаимодействует с выделенным сервером C2, а вместо этого использует ряд REST API из общедоступного приложения для командного чата Zulip в качестве своей инфраструктуры C2.

Исследователи охарактеризовали эту деятельность как «тщательно спланированную и осуществленную атаку на цепочку поставок PyPI», затронувшую следующие пакеты (впоследствии были удалены): uuid32-utils (1479 загрузок), colorinal (614) и termncolor (387).

Все три пакета были загружены в PyPI в течение короткого периода времени с 16 по 22 июля 2025 года. При этом uuid32-utils и colorinal используют аналогичные вредоносные программы, termncolor - указывает colorinal в качестве зависимости.

В системах Windows после установки любого из первых двух пакетов вредоносный код извлекает DLL-файл-дроппер (terminate.dll) и записывает его на диск.

В момент импорта библиотеки в проект загружается DLL-файл, выступающий в качестве дроппера для ZiChatBot, после чего он создает запись автозапуска в реестре Windows и выполняет код для удаления себя с хоста.

Linux-версия дроппера разделяемых объектов (terminate.so) размещает вредоносное ПО в пути /tmp/obsHub/obs-check-update и настраивает запись в crontab.

Независимо от операционной системы, ZiChatBot предназначен для выполнения шеллкода, полученного от его C2-сервера. После выполнения команды вредоносное ПО отправляет в ответ эмодзи в виде сердца, сигнализируя серверу об успешном завершении операции.

Кто именно стоит за этой кампанией, пока неясно. Однако в ЛК отметили, что этот дроппер на 64% схож с другим дроппером, используемым APT OceanLotus (она же APT32), связанной с Вьетнамом.

Исследователи Лаборатори Касперского полагают, что если кампания по атаке на цепочку поставок PyPI действительно является операцией OceanLotus, то это отражает стратегию злоумышленников по расширению масштабов своих атак.

Хотя фишинговые электронные письма по-прежнему являются распространенным методом первоначального заражения OceanLotus, группа, по всей видимости, также активно изучает новые способы компрометации жертв посредством атак на различные цепочки поставок.

Читать полностью…