اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
رفتن به کانال در Telegram
Все самое полезное по инфобезу в одном канале. Как запустить своего ии-агента: https://clc.to/tvpmDQ Для обратной связи: @proglibrary_feeedback_bot По рекламе: @proglib_adv РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf
نمایش بیشتر📈 تحلیل کانال تلگرام Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
کانال Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность (@hackproglib) در بخش زبانی روسی بازیگری فعال است. در حال حاضر جامعه شامل 12 815 مشترک است و جایگاه 9 917 را در دسته فناوری و برنامهها و رتبه 51 684 را در منطقه روسيا دارد.
📊 شاخصهای مخاطب و پویایی
از زمان ایجاد در невідомо، پروژه رشد سریعی داشته و 12 815 مشترک جذب کرده است.
بر اساس آخرین دادهها در تاریخ 17 ژوئن, 2026، کانال فعالیت پایداری دارد. در ۳۰ روز گذشته تغییر اعضا برابر -24 و در ۲۴ ساعت گذشته برابر -1 بوده و همچنان دسترسی گستردهای حفظ شده است.
- وضعیت تأیید: تأیید نشده
- نرخ تعامل (ER): میانگین تعامل مخاطب 5.98% است و در ۲۴ ساعت نخست پس از انتشار، محتوا معمولاً 3.18% واکنش نسبت به کل مشترکان کسب میکند.
- دسترسی پستها: هر پست به طور میانگین 767 بازدید دریافت میکند. در اولین روز معمولاً 407 بازدید جمعآوری میشود.
- واکنشها و تعامل: مخاطبان بهطور فعال حمایت میکنند؛ میانگین واکنش به هر پست 7 است.
- علایق موضوعی: محتوا بر موضوعات کلیدی مانند хакер, навигация, htb, linux, шпаргалка تمرکز دارد.
📝 توضیح و سیاست محتوایی
نویسنده این فضا را محل بیان دیدگاههای شخصی توصیف میکند:
“Все самое полезное по инфобезу в одном канале.
Как запустить своего ии-агента: https://clc.to/tvpmDQ
Для обратной связи: @proglibrary_feeedback_bot
По рекламе: @proglib_adv
РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf”
به لطف بهروزرسانیهای پرتکرار (آخرین داده در تاریخ 18 ژوئن, 2026)، کانال همواره بهروز و دارای دسترسی بالاست. تحلیلها نشان میدهد مخاطبان بهطور فعال با محتوا تعامل دارند و آن را به نقطه اثرگذاری مهم در دسته فناوری و برنامهها تبدیل کردهاند.
12 815
مشترکین
-124 ساعت
-57 روز
-2430 روز
آرشیو پست ها
🔥 Вопрос с собеседования
Как можно развить атаку после доступа к CI/CD runner?
👇Правильный ответ:
Runner — это не просто машина для сборки. Часто он имеет доступ к секретам, registry, облакам и внутренней сети.
Что проверять дальше:
— переменные окружения и CI/CD secrets;
— токены GitHub / GitLab / cloud-провайдеров;
— доступ к Docker socket или Kubernetes config;
— какие internal-сервисы видит runner;
— можно ли подменить артефакты сборки;
— есть ли доступ к container registry;
— куда pipeline может деплоить код.
⚡️ Сильный ответ:
«После доступа к runner я оцениваю blast radius: какие секреты доступны, куда можно двигаться дальше и можно ли повлиять на supply chain.»
📍 Навигация: [Вакансии]
👍 — хороший вопрос
🔥 — забрал в копилку
🐸 Библиотека хакера
#ctf_challenge
⌨️ DLL Side-Loading — любимый приём APT
Подписанный .exe выглядит безопасно, антивирус видит известный процесс, а вредоносный код quietly запускается через подложенную библиотеку.
🔜 После кейса MuddyWater собрали короткую шпаргалку по DLL Side-Loading:
— как работает техника; — почему её сложно замечать; — что искать в логах; — как детектить через Sysmon и PowerShell.Сохраняйте в избранное ⚡️ 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #cheat_sheet
🇮🇷 MuddyWater превращает доверенные EXE в загрузчики малвари
Symantec и Carbon Black раскрыли новую кампанию MuddyWater (Seedworm / Static Kitten), связанной с Министерством разведки Ирана.
🔜 Под удар попали 9 организаций на 4 континентах:
аэропорт, финансовый сектор, промышленность, образование и крупный производитель электроникиГлавная техника — DLL Side-Loading через доверенные бинарники: 🔴
fmapp.exe → загружает вредоносную fmapp.dll
🔴 sentinelmemoryscanner.exe → грузит sentinelagentcore.dll
😳 После закрепления внутри сети использовались:
— Node.js runtime для PowerShell;
— dump SAM и повышение привилегий;
— SOCKS5 reverse proxy;
— эксфильтрация через sendit.sh.
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#breach_breakdownRepost from Азбука айтишника
А как у вас в компании обстоят дела с кибербезом?
❤️ — Всё строго: флешки заблокированы, раз в месяц проходим тесты от ИБ
🔥 — Периодически шлют фишинговые письма для проверки, ловимся всей командой
🔹 Курс разработка AI-агентов
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
🏃♀️ Азбука айтишника
#режимразраба
👀 Практический курс «Разработка AI-агентов для автоматизации задач, работы и собственных проектов» со скидкой 40% до конца мая!
Мы поговорили с десятками разработчиков, учли главные боли индустрии и запускаем полностью обновленный курс «ИИ-агенты 5.0». 🎉
Что вы узнаете?
- Как радикально оптимизировать траты на токены.
- Как на практике оценивать качество и точность работы агента.
- Как «докручивать» RAG-системы без потери качества.
- Как обеспечить устойчивость агента к сбоям внешних сервисов без падения всей системы, и про многое-многое другое.
Спикеры — практики с опытом в AI и Data Science в крупных IT-компаниях, таких как Яндекс, Сбер, Raft и Газпромбанк др.
Длительность: 6–12 недель в зависимости от тарифа.
👉 Занимайте место на главном агентском интенсиве по лучшей цене
❓ Ffuf vs Gobuster — что выбирает комьюнити для фаззинга веба
Оба инструмента решают одну задачу — перебор директорий, файлов и vhost'ов. Но подход разный.
🈁 Ffuf (Go)
— Мультирежимный фаззинг (URL, headers, POST-body) — Гибкая фильтрация ответов (-fc, -fs, -fw, -fl) — Поддержка pipe и рекурсии — Вывод в JSON для автоматизации — Более сложный синтаксис для новичковℹ️ Gobuster (Go)
— Простой CLI — запустил и забыл — Режим dns для субдоменов из коробки — Быстрый старт, минимум флагов — Отличная документация — Меньше гибкости в фильтрации — Нет встроенного POST-фаззинга💡 Gobuster — если нужно быстро прогнать дирбастинг. Ffuf — если нужен полноценный фаззер с тонкой настройкой. А чем пользуетесь вы? Голосуйте: 👍 — Ffuf 🔥 — Gobuster 💬 — свой вариант в комментариях 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #tool_vs_tool
🕷 Топ GitHub-репозиториев для web scraping
Подборка инструментов для crawling, scraping и обхода антибот-защиты.
🈶 Crawl4AI — AI-first crawler для LLM pipeline
🈶 Firecrawl — превращает сайты в clean markdown/JSON для AI
🈶 Scrapy — классика scraping на Python
🈶 Crawlee — мощный crawler от Apify
🈶 Playwright — автоматизация браузера и anti-bot обходы
🈶 Scrapegraph AI — scraping через AI-граф обработки данных
🈶 Browser Use — автоматизация браузера с помощью ИИ
🈶 Katana — сверхбыстрый краулер от ProjectDiscovery
🈶 Maxun — nno-code инструмент для извлечения данных с сайтов
Полезно для:
— OSINT
— bug bounty
— recon
— AI-agents
— массового сбора данных
— automation pipeline
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#resource_drop
⚡️ Знакомьтесь с экспертом Proglib Academy: AI-архитектор Антон Будняк
Антон — мастер превращения сырых AI-идей в отказоустойчивые системы. Он знает, как запустить MVP за неделю и масштабировать его так, чтобы архитектура не рассыпалась под нагрузкой в сотни тысяч юзеров.
За что его ценит IT-комьюнити:
🟣 Опыт в финтехе и крупном бизнесе
Руководил разработкой ML-моделей в финтехе с экономическим эффектом более 100 млн ₽🟣 Запуск продуктов на 6.000+ пользователей
Антон строит сервисы, которыми пользуются тысячи людей в реальном проде.🟣 Ускоряет разработку
Оптимизировал ML-пайплайны и кратно сократил время от начала разработки до релиза📚 Где Антон черпает знания (рекомендации эксперта): - X (Twitter) — главный источник новостей. Рекомендую блог Бориса Черни (создателя Claude Code) — там база про использование ИИ в разработке. - Нетворкинг в ТГ: чаты LLM под капотом и AI-чат — здесь можно найти ответ почти на любой технический вопрос. - Новости AI: каналы Сиолошная и Denis Sexy IT. На курсе Agentops Антон учит строить «неубиваемый» бэкенд: работать с очередями, таймаутами и балансировкой нагрузки, чтобы ваши агенты работали стабильно 24/7. 🎁 Майские СКИДКИ в Proglib Academy! До конца мая на все курсы академии (включая AgentOps и разработку ИИ-агентов) действует скидка -40%. Это лучший момент, чтобы войти в AI-разработку под присмотром практиков. Узнать больше о программе и обучении у Антона: 👉 Курс о том, как внедрять AI-логику в бэкенд и сохранять стабильность сервиса Продолжаем знакомить вас с командой? 👍 — Да, ждем новых лиц 🔥 — Пойду подпишусь на каналы из списка Антона 🏃♀️ Proglib Academy
🔥 Топ-вакансий недели для хакеров
Эксперт отдела киберрисков — офис (Москва)
Security Engineer (Pentester) — hybrid/relocation (Cyrpus)
Лидер направления ИБ (B2B digital-платформа) — от 6 000 €, офис (Сербия)
➡️ Больше офферов в канале: @hackdevjob
🐸 Библиотека хакера
🦾 Карта инструментов для пентеста
Большая шпаргалка с инструментами для пентеста: recon, web, wireless, reverse engineering, post-exploitation и brute force.
🔜 Внутри — Nmap, Metasploit, Burp Suite, Hashcat, BloodHound, Frida, Ghidra, Kismet и другие классические тулзы.
Часть списка уже олдскул, но как карта направлений offensive security — всё ещё полезно.
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#cheat_sheet
🍊 Экзотические протоколы
HTTP и API тестируют все, а вот целые пласты протоколов остаются «за кадром». Именно там часто встречаются дыры — от отсутствия TLS до полного доступа к данным.
Подборка материалов для тех, кто хочет копнуть глубже:
1️⃣ MQTT в модели удалённого управления
Русское исследование о том, как работают MQTT и CoAP, где хромает авторизация и контроль доступа.
2️⃣ Large-Scale Security Analysis of IoT Protocols
Массовый анализ реальных backend-развёртываний: тысячи сервисов на MQTT, CoAP и XMPP без шифрования и с дырявой аутентификацией.
3️⃣ Attacks on CoAP
Формализованный список атак на Constrained Application Protocol: манипуляции фрагментами, задержки, ретрансляция.
4️⃣ DoS Detection в MQTT-сетях
Лёгкий IDS-подход для выявления DoS и подозрительных паттернов в MQTT. Полезно, чтобы понимать, как строят защиту.
5️⃣ RedisRaider
Разбор кампании, где публичные Redis-инстансы использовали для майнинга. Пример того, как простая мисконфигурация превращается в эксплойт.
🔜 Эти протоколы редко трогают в баунти и на пентестах. А зря — именно тут часто попадаются «золотые находки».
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#resource_drop
🚨 Megalodon: массовый бэкдор через CI/CD
За 6 часов атакующие отправили 5718 вредоносных коммитов в 5561 GitHub-репозиторий.
Коммиты выглядели максимально обычно: ci-bot, build-bot, pipeline-bot, сообщения вроде:
> ci: add build optimization stepПосле merge в .github/workflows/ запускался вредоносный GitHub Actions workflow с Base64-encoded bash payload. Дальше малварь начинала вытаскивать секреты из CI/CD-окружения:
🔵 AWS / GCP / Azure credentials 🔵 GitHub OIDC tokens 🔵 SSH-ключи 🔵 Docker / Kubernetes configs 🔵 Vault / Terraform secrets 🔵 .env и service-account файлы 🔵 API keys, JWT и PEM-ключиАтака почти не использовала эксплойты. Весь компромисс строился вокруг доверия к automation и CI/CD-процессам. GitHub Actions сам выполнял код внутри инфраструктуры жертвы после “безобидного” CI-коммита. 🦾 Что стоит проверить прямо сейчас: — .github/workflows/* — suspicious workflow_dispatch — Base64/bash payloads — fake bot commits — PAT / deploy keys — OIDC trust policies — прямые push в main/master 🔗 Расследование SafeDep 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #breach_breakdown
🛠 Пассивная разведка беспроводных сетей
Kismet — сниффер, WIDS и инструмент для wardriving. Работает с Wi-Fi, Bluetooth, Zigbee, RF-сенсорами и другими беспроводными источниками.
🈁 Что умеет:
— пассивно собирать данные из эфира;
— находить точки доступа, клиентов и подозрительную активность;
— работать с удалёнными сенсорами;
— сохранять пакеты, устройства и координаты в kismetdb;
— автоматизироваться через REST API.
Полезен для wireless-аудита, IoT/OT-разведки, wardriving и blue team monitoring.
🔗 GitHub
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_of_the_week
❓ Вопрос к комьюнити
Что чаще всего приводит к полноценному компромиссу инфраструктуры не через RCE, а через «обычную» внутреннюю логику?
👍 — service account без ограничений
🔥 — debug endpoint в проде
👾 — забытый internal API
🥰 — CI/CD token с лишними правами
🌚 — «временный» bypass для разработчиков
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#ask_the_community
🚨 В Android-сборке Telegram с APKPure обнаружили признаки шпионского трояна
После запуска APK в песочнице приложение установило соединение с неизвестным сервером в Гонконге, а
ANY.RUN пометил образец как Malicious activity.
Файл уже добавили в MalwareBazaar с тегами FakeTelegram и spyware ⌨️
⚠️ Пока нет подтверждения, что переписки действительно утекали, но сама ситуация выглядит крайне подозрительно.
Если устанавливали Telegram через APKPure:
— удалите APK — переустановите Telegram из официального источника — проверьте активные сессии — включите 2FASHA-256 образца:
7d44e0009d251ae4983f5bf29f7d8aa9af668df88dba05a17a7a314f6780ceff📎 Источник 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #cve_bulletin
До 31 мая можно забрать любой курс Proglib Academy со скидкой 40%
Если давно хотели прокачаться в Python, ML, алгоритмах или AI-агентах, сейчас самое время выбрать программу и начать обучение по сниженной цене.
🎁 Разработка AI-агентов — от 49.000 ₽ (вместо 69.000 ₽)
Практический курс по разработке AI-агентов для автоматизации задач, работы и собственных проектов
🎁 Курс AgentOps — 129.000 ₽ (вместо 149.000 ₽)
Для разработчиков и LLM-инженеров, которые хотят внедрять AI-логику в бэкенд и сохранять стабильность сервиса.
🎁 Математика для разработки AI-моделей — 23.990 ₽ (вместо 31.990 ₽)
Практическая база по математике для анализа данных, ML и дальнейшего развития в AI.
🎁 Математика для Data Science — от 29.990 ₽ (вместо 39.990 ₽)
Курс для тех, кто хочет решать задачи, которые дают на собеседованиях на позицию дата-сайентиста в бигтехе.
🎁 ML для старта в Data Science — 28.990 ₽ (вместо 38.990 ₽)
Разберётесь в машинном обучении: от базовых понятий и линейных моделей до ансамблей, бустинга и рекомендательных систем.
🎁 Основы IT для непрограммистов — 16.990 ₽ (вместо 28.990 ₽)
Курс для IT-рекрутеров, маркетологов, проджектов, продактов и всех, кто работает с IT, но не пишет код.
🎁 Архитектуры и шаблоны проектирования — 27.990 ₽ (вместо 37.900 ₽)
Освоите основные паттерны проектирования и прокачаете навыки архитектора программного обеспечения.
🎁 Специалист по ИИ — 89.000 ₽ (вместо 113.900 ₽)
Курс для тех, кто хочет получить профессию в сфере ИИ, собрать портфолио из 5 проектов и научиться разрабатывать сложных AI-агентов.
🎁 Алгоритмы и структуры данных — 33.990 ₽ (вместо 57.990 ₽)
Подготовитесь к алгоритмическим собеседованиям, разберёте структуры данных и научитесь писать более эффективный код.
🎁 Программирование на языке Python — 27.990 ₽ (вместо 47.390 ₽)
Освоите Python на практике: без сухой теории, с пошаговой прокачкой навыков и итоговым проектом в портфолио.
🙌 Выбирайте курс по ссылке, оставляйте заявку, и менеджер поможет подобрать программу под ваши цели — https://clc.to/cV45KQ
📌 John the Ripper — классика для работы с хэшами
Инструмент помогает проверять стойкость паролей и подбирать их к разным типам хэшей: от системных учёток до архивов, документов, кошельков и баз данных.
🔵 Поддерживает словарные атаки, перебор, маски, правила, incremental-режим и десятки конвертеров формата *2john.
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#cheat_sheet
🙀🙀
🐸 Библиотека хакера
#hack_humor
🛠 Ashok — быстрый recon-комбайн для пентестеров
Инструмент заточен под reconnaissance-фазу: сбор информации, поиск поддоменов, анализ технологий и работу с историческими данными через Wayback Machine.
🔴 Что умеет:
— Google Dorking без лимитов;
— поиск поддоменов;
— GitHub OSINT по username;
— DNS lookup и Nmap-сканирование;
— определение CMS и технологий;
— Wayback crawling с JSON-выгрузкой.
Установка:
git clone https://github.com/ankitdobhal/Ashok