Codeby

Твой AMSI-bypass уже в сигнатурной базе — и ты об этом знаешь 🔴 Бикон ожил, но через 30 секунд — тишина. EDR срезал соединение, SOC смотрит на алерт. В 2025 классика «AmsiScanBuffer patch + Invoke-Mimikatz» не работает. ⚙️ Три вещи, которые меняют картину: • Hardware breakpoints — обход AMSI без единого байта записи в память amsi.dll • Для shellcode AMSI bypass вообще не нужен — лишний IoC, лишний шум • Главный вектор детекта патчинга — не сам патч, а вызов VirtualProtect на страницу amsi.dll 📖 Разбор четырёх слоёв защиты — AMSI, ETW, userland hooks, kernel callbacks — с рабочим кодом на C/C++ и PowerShell, проверенным против конкретных EDR. Полный разбор с кодом: https://codeby.net/threads/obkhod-amsi-i-antivirusnykh-khukov-prakticheskoye-rukovodstvo-dlya-offensive-razrabotchika-2025-2026.92620/

☁️ Пятничный опрос Проверим, насколько ты понимаешь JWT и его безопасность 🔑

JWT (JSON Web Token) — это компактный токен в формате JSON, который используется для передачи данных (чаще всего для аутентификации) между клиентом и сервером и защищается цифровой подписью.

😁😆😁 напомнить в канале что запись на курс «Профессия SOC-аналитик» — продлится до 27 апреля

🔍 80% успешных атак рождаются до запуска эксплойта Эксплойт — вишенка. Разведка — весь торт. Пять лет пентестов подтверждают: кто криво просканировал периметр — дальше можно не продолжать. 🛠 Цепочка из четырёх инструментов для полного цикла разведки: 1. masscan — прочёсывает /16-подсети за минуты, но с --rate=1000 — иначе положишь клиентскую сеть 2. nmap — верифицирует результаты и вытаскивает версии сервисов (masscan даёт ложноположительные) 3. tcpdump — перехватывает NTLM-хэши и пароли в открытом трафике пассивно 4. netcat — баннеры, проверка портов, простые туннели 💡 Каждый шаг привязан к технике MITRE ATT&CK — это сразу поднимает уровень отчёта. Заказчик видит не «открытый порт», а «Network Service Discovery (T1046)» с критичностью и вектором. Полный разбор с командами, типичными ошибками джуниоров и готовыми сценариями: https://codeby.net/threads/setevaya-razvedka-iz-linux-nmap-masscan-netcat-i-tcpdump-prakticheskiye-stsenarii-dlya-pentesta.92622/

WebSift

WebSift — это мощный инструмент для этичного хакинга и OSINT, предназначенный для извлечения адресов электронной почты, номеров телефонов, ссылок на социальные сети и другие ссылки с веб-сайтов. Он разработан для систем на базе Termux и Linux. Этот инструмент идеально подходит для специалистов по безопасности и исследователей, которым необходимо собирать общедоступную информацию в этических и правовых целях.

📐Функции 📉Собирает адреса электронной почты с заданного веб-сайта. 📉Извлекает номера телефонов в стандартных форматах. 📉Собирает ссылки на социальные сети и другие URL-адреса с веб-сайтов для расширения возможностей OSINT. 🖱Сохраняет извлеченную информацию для дальнейшего анализа. ⬇️Установка: 🔗Клонируем репозиторий и переходим в рабочую директорию:

git clone https://github.com/s-r-e-e-r-a-j/WebSift.git

cd WebSift/

cd WebSift/

⛓️‍💥Запуск:

bash websift.sh

#web #pentest #OSINT 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🧠deep-eye

Усовершенствованный сканер уязвимостей на основе искусственного интеллекта и инструмент для тестирования на проникновение, который объединяет в себе различные ИИ-сервисы (OpenAI, Grok, OLLAMA, Claude) с комплексными модулями тестирования для автоматического поиска уязвимостей, интеллектуальной генерацией полезной нагрузки и составления профессиональных отчетов.

📐Возможности 📉Поддержка нескольких поставщиков AI: Динамическое переключение между OpenAI, Grok, OLLAMA и Claude; 📉Интеллектуальная генерация полезной нагрузки: контекстно-зависимые полезные нагрузки на базе искусственного интеллекта; 📉Комплексное сканирование: 45+ методов атаки с помощью тестов, специфичных для конкретной платформы; 📉Расширенная разведка: пассивный OSINT, перечисление DNS, обнаружение поддоменов; 📉Отчетность: Отчеты в формате PDF / HTML / JSON с аналитикой OSINT и кратким резюме; 📉Совместное сканирование: распределенное сканирование с возможностью управления сеансами; 📉Система пользовательских плагинов: поддерживает возможность добавления собственных сканеров уязвимостей; 🖱Многоканальные уведомления: Оповещения в режиме реального времени по электронной почте, Slack и Discord. ⬇️Установка

git clone https://github.com/zakirkun/deep-eye.git
cd deep-eye
pip install -r requirements.txt
# Редактируйте config.yaml в соответствии с вашими API-ключами
cp config/config.example.yaml config/config.yaml

Все опции сканирования настраиваются в файле config/config.yaml: 🛡Использование 1️⃣Простое сканирование цели через CLI.

python deep_eye.py -u https://example.com

2️⃣Полное сканирование цели и генерация отчета.

python deep_eye.py -u https://testsite.com --recon --full-scan --format pdf -o full_report.pdf

3️⃣Сканирование через прокси с указанием конкретного AI-провайдера.

python deep_eye.py -u https://testsite.com --ai-provider claude --proxy http://127.0.0.1:8080

#tools #scanner #pentesting 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Какой сертификат пентестера реально стоит денег? CEH стоит в вакансиях рядом с OSCP — но это как сравнивать вождение в симуляторе с реальной трассой. Один экзамен проверяет умение ткнуть в правильный вариант из четырёх, другой — взломать машину и написать отчёт за 48 часов. 🔐 Автор лично сдал OSCP и eJPT, готовился к PNPT и видел CEH у коллег. Вот его вывод: • OSCP — минимальный порог для консалтинга и red team. Без него резюме часто не открывают. • CEH — нужен для госсектора и compliance, а не для реального взлома. • eJPT/PNPT — старт для тех, кто ещё не готов к OSCP, но хочет практики. ⚡ В OSCP+ 2025 убрали бонусные баллы за курс — теперь всё решает только экзамен. Жёстче, но честнее. Полный разбор форматов, цен и рекомендаций: https://codeby.net/threads/sertifikatsiya-po-pentestu-oscp-vs-ceh-vs-ejpt-vs-pnpt-chestnoye-sravneniye-ot-praktika.92610/

💻 Living Off The Land Active Directory

Exploiting Native AD Techniques for Security

😉 LOLAD Проект предоставляет обширную коллекцию методов, команд и функций 💻 Active Directory, которые можно использовать для операций по обеспечению безопасности и тренировки Redteam Некоторые примеры:

# Collect Domain SID
Get-ADDomain | Select-Object SID

# Users with Delegation Privileges
Get-ADUser -Filter {TrustedForDelegation -eq $true}

# Get Domain Users Last Logon Time
Get-ADUser -Filter * -Properties LastLogonDate | Select Name, LastLogonDate

# List Users in Specific Group
Get-ADGroupMember -Identity "Domain Admins" | Select-Object Name, SamAccountName

# List Service Principal Names (SPNs)
Get-ADUser -Filter {ServicePrincipalName -ne "$null"} | Select-Object Name, ServicePrincipalName

# Check for Kerberos Pre-Authentication Disabled Accounts
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} | Select Name, SamAccountName

💻 Repo #lolad #redteam #ad #windows 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Один граф — и весь домен как на ладони 🔍 Получил учётку рядового пользователя в домене? У тебя есть минуты, чтобы найти путь до Domain Admin — пока SOC не среагировал. BloodHound превращает тысячи объектов Active Directory в читаемый граф атак. Никакой магии — только математика на графах. ⚡ Что внутри: 1. SharpHound.exe -c DCOnly — минимум шума, максимум данных с контроллера 2. bloodhound-python — сбор с Linux без файлов на цели 3. Cypher-запросы под нестандартные сценарии — когда стандартных путей нет 🎯 ACL-права типа GenericAll или WriteDACL на нужном объекте — это уже готовый вектор атаки, который большинство команд защиты не видит в упор. Полный разбор от запуска коллектора до эксплуатации ACL: https://codeby.net/threads/bloodhound-active-directory-razvedka-domena-postroyeniye-grafa-atak-i-ekspluatatsiya-acl.92606/

🧠sickle-pdk

Набор инструментов для создания полезной нагрузки. В инструменте реализован модульный подход, позволяющий добавлять новые функции с минимальными затратами времени на изучение структуры инструмента.

Возможности 1️⃣Генерация шелл-кода - поддерживает генерацию шелл-кода с помощью Keystone Engine. 2️⃣Sickle включает модуль diffing, изначально разработанный для анализа заглушек шелл-кода. Оригинальный режим asm выполняет линейное сравнение различий дизассемблированного кода как на уровне ассемблера, так и отдельно на уровне опкодов. Кроме того, Sickle предлагает различные режимы сравнения, что делает его полезным не только при разработке шелл-кода 3️⃣Выполнение шелл-кода. Одна из распространенных задач, которую часто приходится выполнять, — это тестирование шелл-кода. Этот процесс обычно состоит из следующих этапов: ▶️Компиляция кода на языке ассемблера. ▶️Извлечение шелл-кода и форматирование его в соответствии с выбранной оболочкой. ▶️Компиляция и запуск оболочки. Sickle упрощает процесс, автоматически оборачивая шелл-код для быстрого тестирования, а модуль run в настоящее время поддерживает как Windows, так и Unix 4️⃣Дизасемблирование - Sickle также может преобразовывать двоичный файл в извлеченные опкоды, а затем преобразовывать их в машинные инструкции (ассемблер). 5️⃣Извлечение шелл-кода - основная функция Sickle, поскольку опкоды интерпретируются по-разному в зависимости от используемой оболочки. Например, JavaScript не хранит и не интерпретирует шелл-код так же, как программы на языке C. 6️⃣Выявление недопустимых символов. Хотя в 64-битных эксплойтах это встречается реже, могут быть случаи, когда эксплойт ограничивает использование определённых символов. Именно здесь модуль pinpoint особенно полезен, так как он напрямую определяет и выделяет инструкции ассемблера, ответственные за обнаруженные недопустимые символы. ⛓️‍💥Использование ➡️Сравнение

sickle-pdk -m diff -r calc.exe BINFILE=calc2.exe MODE=htxdump

➡️Выполнение шелл-кода

sickle-pdk -m run -r shellcode.bin

➡️Дизасемблирование

sickle-pdk -r generic_sc -m disassemble

➡️Извлечение шелл-кода

sickle-pdk -r generic_sc -f rust 

#tools #payload #assemler 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

От доменного пользователя до Domain Admin за 15 минут 🔍 Не хвастовство — воспроизводимая цепочка. Типовые мисконфиги до сих пор живут в продакшене, и путь наверх часто короче, чем кажется. ⚔️ Полный цикл AD exploitation — от nmap-скана до DCSync — с командами и разбором флагов: • BloodHound строит граф атаки: три-четыре промежуточных объекта до Domain Admin, которые руками не найти • Kerberoasting и AS-REP Roasting — с настройкой уязвимой лабы на PowerShell • В SYSVOL до сих пор лежат GPP-пароли: ключ шифрования Microsoft сама опубликовала 📖 Команды, флаги, разбор ошибок — полный гайд: https://codeby.net/threads/pentest-active-directory-polnyi-gaid-ot-razvedki-do-domain-admin-v-2026.92603/

Qu1cksc0pe: Многофункциональный инструмент для статического и динамического анализа вредоносного ПО

Qu1cksc0pe — это универсальная платформа с открытым исходным кодом для статического и динамического анализа вредоносного программного обеспечения. Инструмент предназначен для исследования широкого спектра файлов: от исполняемых binaries Windows, Linux и macOS до документов, APK-файлов, архивов и сценариев PowerShell. Основная цель — предоставить исследователям безопасности максимальный объем информации о подозрительных файлах, помогая понять их функциональность и потенциальные угрозы.

🧿Поддерживаемые форматы файлов - Windows (.exe, .dll, .msi, .bin) - Linux (.elf, .bin) - macOS (mach-o) - Android (.apk, .jar, .dex) - Документы (.doc, .docm, .docx, .xls, .xlsx, .pdf, .rtf, .one) - Скрипты (VBScript/VBA (.vbs, .vbe, .vba), PowerShell) - Архивы (.zip, .rar) ⬇️Установка

pipх install quickscope

Проверка

quickscope -h

⏺️Базовый анализ

python quickscope --file suspicious_file.exe --analyze

⏺️Быстрый анализ подозрительного EXE-файла

python quickscope --file unknown_sample.exe --analyze --vtFile

⏺️Глубокий анализ документа с извлечением макросов

python quickscope --file invoice.doc --docs

⏺️Проверка APK на наличие вредоносного поведения

#cтатический анализ
python quickscope --file malicious.apk --analyze

#динамический анализ (с подключенным устройством)
python quickscope --file malicious.apk --watch

⏺️Пакетное сканирование коллекции образцов

python quickscope --folder ./malware_collection --hashscan

⏺️Извлечение индикаторов компрометации

python quickscope --file suspicious_sample.exe --analyze --report | jq '.iocs'

#Qu1cksc0pe #StaticAnalysis #DynamicAnalysis #tool #pentest #MITRE 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🌐STEWS — инструмент для тестирования и перечисления WebSockets. 🎯Возможности ⏺️Нахождение конечных точек WebSockets, путем тестирования перечня доменов. Использует модифицированную версию ZGrab2 для проверки URL-адресов на поддержку WebSocket путем отправки первой части процедуры установления соединения WebSocket. ⏺️Определение, какой сервер WebSockets работает на конечной точке: использует различия на уровне реализации в популярных реализациях WebSocket, чтобы попытаться идентифицировать запущенные серверы WebSocket. STEWS использует функции сервера как в процессе установления соединения WebSocket (с использованием протокола HTTP), так и в рамках протокола WebSocket (с использованием протокола WebSocket). ⏺️Проверка, не подвержен ли сервер WebSockets известным уязвимостям CVE или другим уязвимостям WebSockets: CSWSH (перехват межсайтовых веб-сокетов), CVE-2020-27813,CVE-2020-7662 и CVE-2020-7663, CVE-2021-32640. Что такое WebSockets❓ WebSocket обеспечивает постоянное соединение между клиентом и сервером. Данные передаются в обе стороны без задержек - сообщения в чате приходят сразу, а игровые действия синхронизируются в реальном времени. Появление WebSocket стало прорывом для сервисов, где важна мгновенная реакция. ➡️Установление соединения. Соединение WebSocket начинается с обычного HTTP-запроса, в который включается заголовок Upgrade,сообщающий о желании перейти на протокол Websocket. Этот процесс называется Websocket-handshake ➡️Обмен данными. После успешного “рукопожатия” устанавливается постоянное соединение и данные могут передаваться в реальном времени в обе стороны без необходимости отправлять новый запрос. Использование 1️⃣Поиск уязвимостей представляет собой выбор из четырех возможных тестов. Ниже представлен выбор четвертого теста для проверки CVE-2020-27813.

python3 STEWS-vuln-detect.py -4 -n -u 127.0.0.1:8084

2️⃣Запуск всех тестовых сценариев с флагом -a обеспечивает наиболее точное сопоставление отпечатков, что может занять много времени и потребовать отправки большого объема данных на конечную точку, для которой выполняется снятие отпечатка.

python3 STEWS-fingerprint.py -1 -k -u streamer.finance.yahoo.com

3️⃣Для нахождения конечных точек WebSockets в файле known-endpoints.txt необходимо указать целевые домены и запустить следующий сценарий.

STEWS-discovery.sh

#tools #websockets #network 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

JWT_TOOL

jwt_tool - это набор инструментов для проверки, подделки, сканирования и изменения JWT (JSON Web Tokens).

📐Функциональность: 📉Проверка действительности токена 📉Проверка на наличие уязвимостей - (CVE-2015-2951, CVE-2016-10555, CVE-2018-0114 и т.д) 📉Проверка на наличие некорректных настроек или известных уязвимостей. 📉Выявление слабых ключей с помощью высокоскоростной словарной атаки 🖱Генерация и восстановление ключей RSA и ECDSA (из файлов JWKS) ⬇️Установка: 0️⃣Клонирование репозитория:

git clone https://github.com/ticarpi/jwt_tool.git

1️⃣Переход в рабочую директорию:

cd jwt_tool/

⛓️‍💥Запуск: ➡️Разведка:

python3 jwt_tool.py <JWT_TOKEN>

➡️Сканирование:

python3 jwt_tool.py -t <URL> -rc "jwt=<JWT_TOKEN>;anothercookie=hack" -M pb

➡️Эксплуатация:

python3 jwt_tool.py -t <URL> -rc "jwt=<JWT_TOKEN>;anothercookie=hack" -X i -I -pc name -pv admin

➡️Фаззинг (более глубокий анализ):

python3 jwt_tool.py -t <URL> -rc "jwt=<JWT_TOKEN>;anothercookie=hack" -I -hc kid -hv custom_sqli_vectors.txt

#web #jwt 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

PentetsAgent ⏺️ PentestAgent — это передовой фреймворк для автоматизированного пентеста, который использует большие языковые модели (LLM) и мультиагентную архитектуру для выполнения задач по тестированию на проникновение с минимальным участием человека. Существует две основные версии продукта: академическая (исследовательский проект) и практическая (инструмент для реального использования). 🧠 Академическая версия: Это оригинальный проект, представленный на конференции ACM AsiaCCS группой исследователей из Северо-Западного университета, Чжэцзянского университета и Ant Group. Фреймворк построен на мультиагентной коллаборации, где каждый агент отвечает за свой этап пентеста в соответствии со стандартом PTES (Penetration Testing Execution Standard): Reconnaissance Agent, Search Agent, Planning Agent и Execution Agent Исследователи создали бенчмарк на основе 67 целей из VulHub и HackTheBox (различные CWE и уровни сложности). Результаты при использовании GPT-4 : ➡️ Общая успешность: 74.2% (у GPT-3.5 — 60.6%) ➡️ Простые задачи: 100% завершения на этапах разведки и анализа ➡️ Сложные задачи: успешность снижается до 50% на этапе разведки Сравнение с PentestGPT показало значительное преимущество в скорости: этап разведки занял 220 секунд против 1199 секунд. 🔑 Практическая версия: Параллельно с академическим проектом существует активно развивающийся open-source инструмент от сообщества GH05TCREW на GitHub. ❗️ Требования: Python 3.10+, API ключ OpenAI, Anthropic или другого провайдера (поддерживается LiteLLM)

git clone https://github.com/GH05TCREW/pentestagent.git
cd pentestagent
./scripts/setup.sh 

⛓️‍💥 Запуск:

pentestagent -t 192.168.1.1 

Режим работы: ⏺️ /assist - Единичный запрос с выполнением инструментов ⏺️ /agent - Автономное выполнение одной задачи ⏺️ /crew - Мультиагентный режим ⏺️ /interact - Интерактивный режим с подсказками ❓ Как считаете, способен данный продукт полностью автоматизировать пентест? #pentestagemt #ai #pentest #python #openai 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

PacketSender: Утилита для отправки и приема сетевых пакетов

PacketSender — это кроссплатформенное приложение с открытым исходным кодом, предназначенное для отправки и приема TCP, UDP, SSL-пакетов, а также HTTP/HTTPS-запросов. Инструмент предоставляет графический интерфейс и возможности командной строки, позволяя тестировать сетевое взаимодействие, отлаживать серверные приложения и выполнять диагностику сетевых протоколов.

🎇Основные функции - Поддержка протоколов (TCP, UDP, SSL (TLS), HTTP/HTTPS) - Режимы работы - клиент (отправка) и сервер (прослушивание) - Генератор интенсивного трафика (нагрузочное тестирование с настраиваемой скоростью) - Поддержка макросов (подстановка даты, времени, счетчика и случайных значений) - Панели управления - создание кнопочных панелей для быстрого выполнения команд ⬇️Установка

sudo apt install packetsender

Проверка

packetsender —h

1️⃣Примеры использования CLI ⏺️Отправка UDP

packetsender -u 192.168.1.100 8080 "Hello UDP"

⏺️Режим сервера (прослушивание TCP)

packetsender -l -t -b 8080

⏺️Генератор интенсивного трафика (20 Гц)

packetsender --rate 20 --name "Test Packet"

⏺️Отладка сетевого сервера

#режим сервера для приема данных
packetsender -l -t -b 9999

#отправка тестовых данных из другого окна
packetsender -t localhost 9999 "TEST"

⏺️Проверка SSL/TLS соединения

packetsender -s expired.packetsender.com 443 "GET / HTTP/1.0\r\n\r\n"

⏺️Нагрузочное тестирование

packetsender --bps 1000000 --num 10000 --name "Status Check"

2️⃣Использование графического интерфейса (GUI). Основные элементы: ▶️Поля ввода (имя пакета, данные (ASCII/HEX), адрес, порт) ▶️Выбор протокола (TCP, UDP, SSL, HTTP GET, HTTP POST) ▶️Таблица сохраненных пакетов - двойной клик для редактирования ▶️Кнопка отправки - выполнение выбранного пакета ▶️Лог трафика (отображение отправленных и полученных данных) ▶️Индикаторы серверов (UDP, TCP, SSL серверы с отображением портов) #PacketSender #NetworkTesting #TCP #UDP #pentest #tool 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Бэкап — цель номер один 🎯 Шифровальщик отработал за 47 минут. Когда команда полезла восстанавливаться — репозиторий Veeam зашифрован, каталог tape-библиотеки удалён, VSS-снимки стёрты за двое суток до запуска payload. Это не баг шифровальщика — это Recovery Denial: атакующие методично уничтожают бэкапы до старта шифрования. По данным Mandiant M-Trends 2025, уничтожение возможностей восстановления — одна из самых частых тактик ransomware-группировок. Бэкап — не страховка, а первая мишень. 🔥 Что делают атакующие в первую очередь: • vssadmin delete shadows — VSS за дни до шифрования • Останавливают службы Veeam и удаляют SQL-каталог • Ищут Veeam-серверы через AD и ломятся по доменным учёткам Правило 3-2-1 не учитывало сценарий, когда https://codeby.net/threads/recovery-denial-zashchita-rezervnykh-kopii-ot-ransomware-taktiki-atakuyushchikh-i-metody-protivodeistviya.92571/

Zero-click через стикер: 9.8 и молчание Telegram Получил стикер — устройство скомпрометировано. Без клика, без уведомления. Именно это описывает ZDI-CAN-30207 — и именно это Telegram отрицает. 🔍 Оценка CVSS 9.8 — не маркетинг. Математика за ней конкретна: метрика UI:N (zero-click) даёт коэффициент 0.85 вместо 0.62 при клике. Разница — 9.8 против 8.1. Оба сценария критичны, но zero-click означает массовую эксплуатацию без единого действия жертвы. ⚙️ Аналог по вектору — CVE-2019-3568, buffer overflow в WhatsApp VoIP: идентичный CVSS, идентичная схема. Статус ZDI-CAN-30207 сейчас — disputed: ZDI верифицировал, вендор отрицает. Разбираем CVSS-математику, хронологию disclosure и методы инструментирования клиента для мониторинга. Полный разбор: https://codeby.net/threads/zero-day-v-telegram-zdi-can-30207-razbor-uyazvimosti-telegram-zero-day-s-otsenkoi-cvss-9-8.92557/

Разработчик — идеальная цель 💀 SSH-ключи, токены GitHub, .env с API-ключами облаков, доступ к CI/CD — всё это у одного человека. Скомпрометировал разработчика — и ты внутри компании. ⚙️ Атакующие давно это знают. Схема простая: купить рекламу по запросу «Cursor AI download», поднять клон сайта, подсунуть установщик с Lumma Stealer внутри. Инфостилер не ждёт: собрал данные за 30–60 секунд — и всё уже на C2. 🔍 Три вектора, которые реально работают прямо сейчас: 1. Malvertising через Google Ads 2. Троянизированные npm/pip-пакеты 3. Фейковые установщики с валидной цифровой подписью Каждый вектор — с разбором реальных кампаний, маппингом на MITRE ATT&CK и правилами детекта, которые можно внедрить сегодня. Полный разбор: https://codeby.net/threads/ataki-na-ai-instrumenty-razrabotchikov-malvertising-supply-chain-i-infostealer-cherez-feikovyye-ustanovshchiki.92575/