0-day / Зеродей ☣️

Ozon и Wildberries начали резать трафик за VPN. Помнишь новости о том, как Минцифры поставило ультиматум ИТ-гигантам... либо вы вычисляете и баните VPN-щиков к 15 апреля, либо лишаетесь ИТ-аккредитации. Так вот, эффективные менеджеры решили не ждать дедлайна и выкатили патч на прод заранее. СМИ и профильные чаты бурлят от жалоб: маркетплейсы и сервисы Яндекса начали глючить под туннелями. Если у тебя на телефоне 24/7 висит включенный WireGuard, VLESS или даже OpenVPN, покупка корма для кота на маркетплейсах превращается в увлекательный квест. Приложение Ozon, Wildberries, Авито или Кинопоиск либо уходит в бесконечный лоадер, либо не грузит картинки, либо тупо выплевывает ошибку соединения. Выключаешь туннель, переходишь на православный провайдерский IP - всё магическим образом начинает летать. Никакой уличной магии тут нет. В дело пошли тяжелые энтерпрайзные системы антифрода, которые раньше ловили кардеров и ботоводов, а теперь перепрофилированы на поиск нарушителей режима. Как балансировщики маркетплейсов понимают, что ты под VPN? ❌ Анализ ASN и репутация IP. Если твой айпишник принадлежит дата-центру (Hetzner, DigitalOcean), а не домашнему провайдеру - это сразу жирный красный флаг. ❌ Утечки и нестыковки. Браузер (или WebView приложения) отдает часовой пояс MSK и русскую локаль, а IP-адрес светится как Франкфурт? Срабатывает триггер. Сюда же плюсуем слив реального IP через WebRTC. ❌ Аномалии TCP/IP стека. Анализируется размер MTU (у туннелей он всегда ниже стандартных 1500 байт из-за оверхеда на шифрование) и значения TTL пакетов. Если антифрод-скоринг пробивает заданный порог, твой трафик просто начинают тихонько шейпить (резать скорость) или отправляют в /dev/null до тех пор, пока ты не отключишь обход блокировок. Самая мякотка в том, что под ковровые бомбардировки корпоративного детекта попадают абсолютно все. Работаешь на удаленке и сидишь через белый корпоративный Cisco AnyConnect? Антифроду маркетплейса наплевать, он видит туннель и дропает коннект. Корпорации так боятся вылететь из реестра аккредитованных ИТ-компаний, что готовы пожертвовать конверсией и лояльностью юзеров. Эпоха одной кнопки для VPN окончательно мертва. Если ты до сих пор заворачиваешь дефолтный маршрут (0.0.0.0/0) в туннель - страдай. Единственный трушный путь в 2026 году - это Split Tunneling. Настраиваем BGP-сессии, тянем списки antifilter и жестко роутим трафик... весь RU-сегмент, маркетплейсы и банки идут напрямую через провайдера, а заблокированная телега и инста - в VLESS-туннель. Учим таблицы маршрутизации, коллеги, иначе скоро даже трусы на Озоне не закажете 🤨 ☢️ @zeroday_log

Ozon и Wildberries начали резать трафик за VPN. Помнишь новости о том, как Минцифры поставило ультиматум ИТ-гигантам... либо вы вычисляете и баните VPN-щиков к 15 апреля, либо лишаетесь ИТ-аккредитации. Так вот, эффективные менеджеры решили не ждать дедлайна и выкатили патч на прод заранее. СМИ и профильные чаты бурлят от жалоб: маркетплейсы и сервисы Яндекса начали глючить под туннелями. Если у тебя на телефоне 24/7 висит включенный WireGuard, VLESS или даже OpenVPN, покупка корма для кота на маркетплейсах превращается в увлекательный квест. Приложение Ozon, Wildberries, Авито или Кинопоиск либо уходит в бесконечный лоадер, либо не грузит картинки, либо тупо выплевывает ошибку соединения. Выключаешь туннель, переходишь на православный провайдерский IP - всё магическим образом начинает летать. Никакой уличной магии тут нет. В дело пошли тяжелые энтерпрайзные системы антифрода, которые раньше ловили кардеров и ботоводов, а теперь перепрофилированы на поиск нарушителей режима. Как балансировщики маркетплейсов понимают, что ты под VPN? ❌ Анализ ASN и репутация IP. Если твой айпишник принадлежит дата-центру (Hetzner, DigitalOcean), а не домашнему провайдеру - это сразу жирный красный флаг. ❌ Утечки и нестыковки. Браузер (или WebView приложения) отдает часовой пояс MSK и русскую локаль, а IP-адрес светится как Франкфурт? Срабатывает триггер. Сюда же плюсуем слив реального IP через WebRTC. ❌ Аномалии TCP/IP стека. Анализируется размер MTU (у туннелей он всегда ниже стандартных 1500 байт из-за оверхеда на шифрование) и значения TTL пакетов. Если антифрод-скоринг пробивает заданный порог, твой трафик просто начинают тихонько шейпить (резать скорость) или отправляют в /dev/null до тех пор, пока ты не отключишь обход блокировок. Самая мякотка в том, что под ковровые бомбардировки корпоративного детекта попадают абсолютно все. Работаешь на удаленке и сидишь через белый корпоративный Cisco AnyConnect? Антифроду маркетплейса наплевать, он видит туннель и дропает коннект. Корпорации так боятся вылететь из реестра аккредитованных ИТ-компаний, что готовы пожертвовать конверсией и лояльностью юзеров. Эпоха одной кнопки для VPN окончательно мертва. Если ты до сих пор заворачиваешь дефолтный маршрут (0.0.0.0/0) в туннель - страдай. Единственный трушный путь в 2026 году - это Split Tunneling. Настраиваем BGP-сессии, тянем списки antifilter и жестко роутим трафик... весь RU-сегмент, маркетплейсы и банки идут напрямую через провайдера, а заблокированная телега и инста - в VLESS-туннель. Учим таблицы маршрутизации, коллеги, иначе скоро даже трусы на Озоне не закажете 🤨 ☢️ @zeroday_log

Telegram 6.7.2 починил отвалившиеся прокси Помните, пару дней назад начали хоронить MTProxy, потому что товарищ майор научился палить Телегу по кривому отпечатку TLS? Так вот, отменяем панихиду. Команда Дурова выкатила спасительный апдейт Telegram Desktop v6.7.2. Пропатчили сетевой стек и пофиксили тот самый баг в формировании пакета ClientHello. Алгоритмы ТСПУ научились дропать соединения не по IP-адресам, а по уникальному TLS-фингерпринту. Десктопная Телега здоровалась с прокси-сервером слишком специфично... набор и порядок cipher suites, а также расширения палили мессенджер. В новой сборке этот цифровой отпечаток наконец-то привели к нормальному виду. Теперь при использовании Fake-TLS (те самые ключи с префиксом ee) трафик десктопного клиента мимикрирует под обычный браузер (условный Chrome). Наступил классический цугцванг. Заблокировать этот новый ClientHello по старым сигнатурам физически невозможно, т.к. иначе ТСПУ начнет ковровыми бомбардировками класть весь легитимный HTTPS-трафик в стране. Юзеры уже рапортуют с полей... все забаненные ранее MTProxy-сервера магическим образом восстали из мертвых. Коннект устанавливается мгновенно, медиа грузится без затыков, TCP-пакеты с фейковыми RST от провайдеров больше не прилетают. Социальная инженерия и криптография снова победили грубую силу рубильника. Ждем, когда этот же патч долетит до мобильных версий ☢️ @zeroday_log

☠️ Как забытый дебаг-режим спалил мощнейший эксплойт-пак для iOS Google Threat Intelligence раскопала гигантский эксплойт-пак для iOS, названный Coruna. Пак пробивает айфоны, работающие на версиях от 13.0 до 17.2.1 включительно. Внутри крутятся 23 уязвимости. Заражение довольно постое: жертве достаточно просто зайти на скомпрометированный сайт, скрытый iFrame делает всю грязную работу, и устройство уходит под чужой контроль без единого клика. В качестве финальной нагрузки в систему залетает PlasmaLoader, который инжектится в системный демон powerd, получая рутовые права. Дальше малварь начинает пылесосить всё, что связано с деньгами: ищет в заметках Apple Memos сид-фразы BIP39 по ключевым словам, сканирует сохраненные картинки на наличие QR-кодов и вешает хуки на пару десятков криптокошельков, типа MetaMask и Trust Wallet 💰 Но главная драма развернулась вокруг авторства этого шедевра. В Coruna засветились уязвимости, которые ранее использовались в легендарном взломе Касперского и дипломатов, который связывали с АНБ США. Западные безопасники тут же подняли панику... мол, секретное кибероружие американских спецслужб утекло в даркнет и теперь находится в руках хакеров. Однако праздник конспирологии быстро испортили исследователи из GReAT (Kaspersky). Пояснив, что никакого копипаста кода АНБ там нет, а написать свой эксплойт под уже расковырянную сложную CVE может любая толковая APT-группировка без всяких краж исходников. Справедливо, кстати. Спалилась вся эта красота максимально нелепо. Очередная китайская группировка, раскатывавшая этот элитный инструмент на скам-сайтах для кражи крипты, тупо забыла выключить дебаг-режим. В итоге Гугл получил деобфусцированные исходники и все внутренние англоязычные кодовые имена эксплойтов. По итогу получается, что рынок 0-day эксплойтов превратили во вторичку, где государственные наработки оперативно реверсятся и уходят в низовым школьным хацкерам для банального воровства крипты. ☢️ @zeroday_log

🛡Первый 0-day года в Chrome. Google выкатил экстренный патч для десктопных версий Chrome. Закрыта первая в 2026 году уязвимость нулевого дня (CVE-2026-2441), которая уже активно эксплуатируется. Проблема настолько серьезная, что CISA (Агентство по кибербезопасности США) уже внесло её в свой каталог KEV и требует от госорганов срочно пропатчиться. Суть дыры кроется в движке рендеринга Blink, а конкретно в компоненте CSSFontFeatureValuesMap. Это тот самый код, который отвечает за обработку хитровыдуманных свойств шрифтов в CSS. Уязвимость возникает когда браузер пытается использовать кусок памяти, который уже был освобожден. Атакующему достаточно заманить жертву на специально созданную HTML-страницу с правильным CSS, чтобы вызвать падение вкладки или запустить произвольный код внутри песочницы браузера. Самое интересное видно в коммитах разрабов Chromium. Патч делали в дикой спешке, и он помечен как cherry-picked (взят из экспериментальной ветки и вручную влит в стабильную). Более того, в комментариях к коду авторы прямо пишут, что этот патч решает только непосредственную проблему, создавая снапшот карты шрифтов при итерации, чтобы не читать битые адреса. А вот глобальная починка этой архитектурной ошибки вынесена в отдельный, пока закрытый баг-репорт. То есть выкатили костыль, чтобы выиграть время. Детали эксплойтов держат в секрете пока большинство не обновится, но доказательство концепции уже гуляет по сети. В прошлом году Chrome словил восемь таких 0-day пробивов, видимо, этот год не станет исключением. ☢️ @zeroday_log

🇮🇷 Иранский файрвол ударил по своим. Хакеры две недели сидели без интернета из-за блокировок. SafeBreach выкатила расследование про хакерскую группу Prince of Persia... Исследователи заметили, что активность группировки, которая кошмарила жертв годами, внезапно обнулилась 8 января 2026 года. Именно в этот день власти Ирана дернули рубильник и устроили тотальный блэкаут. Как только интернет в стране начали включать (26-27 января), хакеры тут же проснулись и начали регистрировать новые C2-домены. Техническая часть противостояния тоже доставляет. Новая версия их малвари Tornado теперь использует данные из публичного блокчейна для деобфускации адресов управляющих серверов и распространяется через свежие эксплойты. Но прокололись они на Телеге. Группировка использовала приватный чат для сбора данных, где бот не имел прав на чтение сообщений. Исследователи нашли логическую дыру в API... читать историю нельзя, но метод forwardMessage работал безотказно, пересылая сообщения по ID. В итоге безопасники просто выкачали себе всю переписку и файлы жертв. Хацкеры, поняв, что в их уютном чатике сидят посторонние, попытались провести контратаку. Они скинули в этот же чат архив, замаскированный под данные жертвы, внутри которого лежал загрузчик ZZ Stealer. Анализ кода показал, что внутри малвари активно используются специфические строки типа 8==3 (да, это именно то, о чем вы подумали 👎) в качестве команд управления от C2. Кибервойна, которую мы заслужили... 8==3 ☢️ @zeroday_log

Хакеры платили за вход на форум, который, похоже, держали спецслужбы. Ханипот за $500. 🍯 На днях ФБР официально закрыло форум RAMP, повесив на домене свою любимую заглушку "This website has been seized". Для непосвященных это просто очередная победа над киберпреступностью. Но для тех, кто в теме, ситуация выглядит как финал грандиозной спецоперации, где главный злодей оказался двойным (или тройным) агентом. Админ форума под ником Stallman (не путать с Ричардом😁) - личность легендарная и мутная. Сообщество давно подозревало неладное... чувак открыто скупал доступы к критической инфраструктуре США, но... ничего не происходило. Компании не шифровались, данные не утекали. Складывалось ощущение, что он выкупал уязвимости, чтобы их патчить, а не эксплуатировать. При этом на других форумах (типа XSS) его банили за нарушение правил, но потом таинственным образом разбанивали, словно кто-то сверху звонил админу и просил не трогать нашего человечка 👮‍♂️ Самое интересное всплыло сейчас. В официальных отчетах ФБР о закрытии форума нет ни слова про арест или розыск самого Сталлмана. Его имя просто исчезло из документов, будто форум управлял сам собой. Комьюнити уверено, что Сталлман это либо проект спецслужб, либо завербованный хакер Severa, который уже давно сотрудничает с федералами. Схема гениальная... создать ханипот для элиты рансомвари, собирать с них досье при регистрации (вход стоил $500 + деанон профилей), скупать опасные доступы, чтобы их не купили реальные хакеры-отморозки, а потом красиво закрыть лавочку, когда база данных наполнилась 😗 Получается, если в даркнете кто-то слишком громко кричит о своей крутости, нарушает понятия и при этом не садится годами, то скорее всего, он носит погоны под худи. А те, кто регистрировался на RAMP, думая, что попали в закрытый клуб, на самом деле добровольно заполнили анкету для майора. OpSec высшего уровня... вот вам и илита 🧠 ☢️ @zeroday_log

🦫 Энергосети Польши атаковали на уничтожение. Контроллеры окирпичены. ИБшники из Dragos опубликовали отчет об инциденте, который произошел в конце декабря 2025 года в Польше. Атаке подверглись около 30 объектов распределенной энергетики (ветряки, солнечные станции, ТЭЦ). Оставлю поиск географического следа политикам и журналистам, потому что инженеру, у которого контроллер превратился в кирпич, абсолютно всё равно, на каком языке написан эксплойт. Куда важнее и страшнее сама техническая механика инцидента. В отличие от классических атак с целью простого выключения света, здесь целью было физическое оборудование. Хакеры, получив доступ в OT-сегмент через уязвимые RTU (Remote Terminal Units) и торчащие наружу интерфейсы, не стали просто дергать рубильники. Они начали методично уничтожать логику управления. Часть оборудования была перепрошита или сброшена так, что восстановить его удаленно стало невозможно... устройства получили статус «disabled beyond repair». Т.е. контроллеры буквально окирпичили, потребовав их физической замены на местах 😎 Любопытна и тактика разделения труда. По данным из отчета, сначала в сеть заходит группа KAMACITE (разведка, фишинг, первичный доступ), готовит плацдарм, и только когда звезды сходятся, передает управление ударной бригаде ELECTRUM, которая знает специфику промышленных протоколов. Саму атаку назвали оппортунистической и спешной... хакеры ломали всё, до чего могли дотянуться, вайпали Windows-станции управления, чтобы затруднить форензику, и убивали прошивки. Света поляки не лишились, но админы и инженеры провели незабываемые новогодние праздники, меняя железо в стойках 😭 Для нас это важный урок, т.к. вне зависимости от локации - хакеры косят всё подряд... Защищайте свои периметры, прячьте RTU за VPN и изолируйте технологическую сеть, потому что восстанавливать окирпиченные контроллеры можно только их физической заменой. А ждать поставки в текущих условиях придется долго. ☢️ @zeroday_log

🇨🇳 Китайская киберразведка в критической инфраструктуре. Ловушка в RDP и кража DLL Специалисты из Cisco Talos выпустили подробный разбор тактики группы UAT-8837, которая активно эксплуатируется. В качестве тарана использовалась уязвимость в системе управления сайтами Sitecore (CVE-2025-53690), которая на момент атак была неизвестна разработчикам. Любопытен их метод работы с RDP. Первым делом после закрепления взломщики через реестр принудительно отключают безопасный режим администрирования:

через реестр принудительно отключают режим RestrictedAdmin, устанавливая ключ DisableRestrictedAdmin в 0

Это делается намеренно... когда сисадмин подключается к зараженному хосту для проверки инцидента или обслуживания, его учетные данные останутся в памяти процесса LSASS в виде, пригодном для переиспользования. Фактически, зараженная машина превращается в ханипот для самих же админов, а утилита GoTokenTheft мгновенно дампит привилегированные токены для дальнейшего продвижения по сети. Кроме того, зафиксирована активная выгрузка проприетарных DLL, относящихся к продуктам жертв. Вероятно хакцеры готовятся к сложной атаке через цепочку поставок. Исполняемые файлы крадут для обратной разработки и последующего внедрения вредоносного кода. Велика вероятность, что в ближайшем будущем мы увидим эти же библиотеки, но уже с программными закладками, внедренные обратно в легальные каналы обновлений софта. ☢️ @zeroday_log

🚨 RondoDox штурмует ЦОДы. Массовая эксплуатация RCE в HPE OneView (CVSS 10.0) Пока админы выходили с праздников, ботнеты вышли на охоту. Check Point фиксирует масштабную кампанию по эксплуатации критической уязвимости CVE-2025-37164 в платформе управления инфраструктурой HPE OneView. Рейтинг уязвимости 10 из 10. Атаку атрибутировали ботнету RondoDox. Это Linux-based малварь, которая использует тактику ковровой бомбардировки известных уязвимостей. Телеметрия зафиксировала всплеск... более 40 000 попыток пробива всего за 4 часа. Сканеры работают в автоматическом режиме, пытаясь залить дроппер RondoDox для дальнейшего развертывания майнеров или DDoS-модулей. HPE OneView довольно важен. Через него управляют физическими серверами (ProLiant, Synergy), системами хранения и сетевыми фабриками. Компрометация OneView равносильна получению физического доступа к стойке. Атакующий получает контроль над всем железом, может перехватывать консоли, менять профили серверов и вайпать стораджи. Основной вектор атаки идет с пула IP-адресов в Нидерландах. Если ваш менеджмент-интерфейс OneView доступен из не доверенных сегментов сети (или не дай бог из интернета), то вы довольно рискуете. Патч вышел еще в середине декабря. Если не накатили - уже пора бы и накатить, ибо RondoDox не ждёт. ☢️ @zeroday_log

🚢 Взлом порта через флешку и кокаин. В Нидерландах суд утвердил семилетний приговор хакеру, который наглядно показал, почему физическая безопасность важнее программной. Этот специалист работал на кокаиновый картель 🧂 и должен был обеспечить зеленый коридор для контейнеров с грузом. Вместо того чтобы искать 0-day уязвимости в защищенном периметре порта, он пошел по пути наименьшего сопротивления... подкупил сотрудника терминала и передал ему USB-флешку с малварью. Одно движение руки инсайдера... и злоумышленники получили персистентный бэкдор в изолированной сети на несколько месяцев. Интересны технические детали, которые всплыли благодаря расшифровке переписки в мессенджере SkyECC (который Европол успешно ломанул еще в 2021 году). Хакер буквально вел прямой эфир взлома для своих заказчиков. Когда программный брутфорс паролей зашел в тупик, он не сдался, а просто передал инсайдеру аппаратный кейлоггер AirDrive. В чате он хвастался что (Антивирус не важен, эта штука невидима), и скидывал фотки, куда именно нужно воткнуть девайс. При этом он профессионально ныл, что местная IDS (система обнаружения вторжений) это боль в заднице, которая мешает работать быстро 😖 Защита пыталась разыграть карту приватности, утверждая, что полиция не имела права читать зашифрованные чаты и приобщать их к делу. Но судьи резонно заметили, что право на тайну переписки не распространяется на логистику наркотрафика. Итог... семь лет тюрьмы и штраф за очистку IT-инфраструктуры порта. ☢️ @zeroday_log

Разработчики Node.js выкатили экстренный патч для уязвимости, которая затрагивает практически каждое приложение в продакшене. Причиной, по которой ваш сервер может лечь от простейшего DoS, стали инструменты, призванные этот сервер мониторить. Проблема кроется в модуле async_hooks, на котором построены AsyncLocalStorage и вся магия контекста в Next.js, React Server Components, а также в агентах Datadog, New Relic, OpenTelemetry и прочих APM. Суть бага в том, как движок V8 обрабатывает переполнение стека при включенных асинхронных хуках. В нормальной ситуации бесконечная рекурсия вызывает ошибку RangeError, которую можно поймать через try-catch и обработать. Но если активны async_hooks, механизм обработки исключений ломается, и Node.js решает, что ситуация безнадежна. Процесс мгновенно умирает с Exit Code 7 (Internal Exception Handler Run-Time Failure), игнорируя любые обработчики ошибок. Атакующему достаточно отправить на эндпоинт JSON с дикой вложенностью массивов, чтобы вызвать рекурсию при парсинге и отправить сервис в нокаут. Получается, что если вы заботливо обвешали свой бэкенд мониторингом и используете модный Next.js, вы сами открыли ворота для DoS-атаки. Под раздачу попали все актуальные LTS-версии. Патчи уже доступны в 20.20.0, 22.22.0, 24.13.0. Обновляйтесь, пока хитрые умельцы не начали фаззить ваши API глубоко вложенными объектами, превращая графики в дашбордах в кардиограмму мертвеца☠️ ☢️ @zeroday_log

🩸 n8n снова пробил дно безопасности (CVE-2026-21858) Пока вы латали прошлую дыру в n8n (ту, что 9.9 балла), исследователи из Cyera Labs нашли новую. Ей дали имя Ni8mare, и она получила максимально возможный рейтинг CVSS 10.0. Уязвимость кроется в механизме обработки вебхуков. Разработчики n8n нагородили кастомную логику парсинга, которая слепо доверяет заголовку Content-Type. Если атакующий отправляет специально сформированный запрос, где в заголовке заявлен multipart/form-data, но структура тела запроса манипулирует внутренними объектами JSON, происходит перезапись свойств. В итоге хакер может заставить сервер сохранить произвольный файл в произвольное место. А дальше - классика. Заливаем веб-шелл, получаем доступ к файловой системе, выгребаем все API-ключи, креды от баз данных и токенов, которые так удобно хранят в переменных окружения n8n. И самое главное, что для этого не нужна авторизация. Инстанс, торчащий наружу для приема вебхуков, по сути, стоит с открытой дверью. Патч уже есть в версии 1.121.0. Если вы еще не обновились после прошлого раза, то сейчас самое время. Если обновились - обновляйтесь снова 😗. ☢️ @zeroday_log

🤖 Пока безопасники мучают живых людей сменой паролей каждые 90 дней и принудительным MFA, в наших сетях бесконтрольно плодится новая угроза... Non-Human Identities (NHI). Это все ваши сервисные аккаунты, CI/CD раннеры, боты, а теперь еще и ИИ-агенты. Ирония в том, что к цифровым сотрудникам мы относимся с преступной халатностью...у них часто есть админские права (потому что лень настраивать), а их креды это статичные API-ключи, которые годами лежат в где-нибудь в конфигах или переменных окружения. В облачных инфраструктурах количество таких нечеловеческих сущностей уже давно превысило число живых юзеров. И если условный менеджер может слить только свою переписку, то забытый сервисный аккаунт с правами админа это прямая дорога для хакера ко всей инфре. Атакующие это прекрасно понимают и теперь охотятся не за паролем админа, а за токеном дженкинса или ключом от S3, который кто-то по неосторожности запушил в репозиторий три года назад 😰 Теперь индустрия начинает судорожно внедрять Zero Trust для роботов. Идея правильная, нужно ротировать секреты автоматически, выдавать права только на момент выполнения задачи и логировать каждый запуск скрипта. Звучит красиво, но на практике это боль. Попробуйте объяснить легаси-монолиту, что его любимый токен теперь живет всего час. Скорее всего, первым, кто уронит прод при внедрении этой безопасности, будете вы сами, а не хакеры. Но выбора нет... роботы должны страдать так же, как и люди. ☢️ @zeroday_log

📦 Исследователи из Zscaler обнаружили в репозитории NPM очередную кампанию по доставке малвари, нацеленную на крипто-разработчиков. Злоумышленники загрузили пакеты bitcoin-main-lib, bitcoin-lib-js и bip40, которые умело маскировались под структуру популярной легитимной библиотеки bitcoinjs. Расчет был на классический тайпосквоттинг и невнимательность, когда разраб путает название, жмет Enter, и процесс заражения запускается автоматически через скрипт postinstall. Техническая реализация имеет интересную особенность... для закрепления в системе малварь использует популярный менеджер процессов PM2. Вредонос запускается в detached режиме, что позволяет ему тихо висеть в фоне, не блокируя установку остальных зависимостей и не вызывая подозрений у юзера. Если PM2 в системе нет, скрипт просто тихо завершается, чтобы не выдать себя ошибкой в консоли. Полезная нагрузка получила имя NodeCordRAT. В качестве командного центра (C2) используется API Discord, что позволяет вредоносному трафику сливаться с легитимным шумом и обходить простые фаерволы. Функционал трояна заточен на максимальный ущерб... он ворует профили Chrome, вытаскивает сид-фразы из расширения MetaMask, делает скриншоты и, самое неприятное, рекурсивно ищет и сливает файлы .env со всеми вашими секретами и токенами. Пакеты уже удалены, но несколько тысяч разработчиков успели утащить их к себе в проекты. ☢️ @zeroday_log

Судя по красным графикам NetBlocks, Иран снова ушел в цифровой сумрак. Международный трафик упал почти до нуля, мобильные операторы лежат, а связность рвется ковровым методом. Но теперь иранский великой фаервол заметно эволюционировал. Это уже не топорный BGP-шатдаун всей страны, как раньше, когда просто гасили бордеры и клали экономику. Теперь там развернули полноценную архитектуру многоуровневого интернета, которая делит людей на сорта даже на уровне маршрутизации пакетов. Власти наконец поняли, что полное отключение рубильника бьет по своим же банкам и госструктурам, поэтому внедрили технологию Белых SIM-карт. Технически это реализовано через списки разрешенных IMSI или отдельные APN на стороне оператора. Рядовой пользователь видит либо заглушку, либо стерильный внутренний интранет, отрезанный от мира. А вот чиновники, силовики и лояльные журналисты получают прямой шлюз в глобальную сеть без фильтрации, DPI и необходимости искать рабочие прокси. Занятно, что спалил эту схему классового неравенства бывший Твиттор. Соцсеть Х начала отображать реальную страну отправки твита, и внезапно выяснилось, что самые ярые борцы с внешним миром постят свои тексты с геолокацией (Iran). Для обычного жителя страны это технически невозможно, т.к. он вынужден пробиваться через ВПН, и для Твиттера он голландец или немец и тд. Если же у тебя в хедере светится реальный IP Ирана при доступе к заблокированному ресурсу, то значит, ты сидишь через тот самый блатной канал. В итоге мы наблюдаем рождение новой парадигмы, где свободный доступ к становится привилегией. Это уже не цензура, это буквально сегрегация трафика, где право на коннект выдается. ☢️ @zeroday_log

👺Как товарищи майоры любой страны могут вычислить админа канала за 15 минут без взлома. Почему анализ трафика деанонимизирует даже Signal. Пока люди спорят о стойкости алгоритмов шифрования в MTProto или Signal Protocol, исследователи из UMass доказали, что математика бессильна против физики передачи данных. В их работе (Practical Traffic Analysis Attacks) детально разобрана механика деанона админов и участников каналов через пассивный анализ метаданных. Проблема кроется в фундаментальном принципе работы пакетных сетей, когда данные передаются взрывами (называют это bursts), и форма этих взрывов уникальна для каждого события. Когда админ постит картинку размером 50 Кб, она разбивается на серию пакетов по MTU (обычно 1500 байт), создавая специфический паттерн нагрузки во времени. Техническая реализация атаки строится на корреляции двух потоков данных... эталонного, который атакующий записывает, просто подписавшись на целевой канал, и подозреваемого, который снимается через Mirror-порт у провайдера или на магистрали. Алгоритм Shape-Based Detector анализирует два ключевых параметра, это размеры пакетов и задержки между сообщениями. Даже если весь пэйлоад зашифрован в кашу, временные метки начала передачи и объем переданных байт остаются открытыми. Статистическая модель накладывает график активности в канале на график сетевой активности конкретного юзера, и если пики совпадают с учетом сетевого джиттера, то совпадение подтверждается с точностью до 94% всего за 15 минут наблюдения (длительность наблюдения увеличивает процент). Самое печальное для параноиков то, что классические методы обфускации вроде VPN или Tor здесь работают крайне слабо. Туннелирование добавляет оверхед к заголовкам и немного размазывает тайминги, но не меняет общую форму трафика. Если вы отправили 10 Мб видео, то через VPN пролетят те же 10 Мб (плюс заголовки) примерно за то же время. Чтобы реально защититься от такого анализа, мессенджеры должны внедрять добивание пакетов мусором до фиксированного размера и искусственные задержки, превращая трафик в монотонный шум. Но это увеличит потребление трафика и батареи в разы, на что вендоры в угоду UX никогда не пойдут. В сухом остатке мы имеем ситуацию, когда уровень приложения защищен идеально, но сетевой уровень сдает с потрохами. Любая активность, отличающаяся от фонового шума keep-alive пакетов, создает уникальную сигнатуру. Фактически, мы вернулись во времена радистов, где перехватить шифровку нельзя, но по почерку морзянки и времени выхода в эфир можно безошибочно определить передатчик. 📡 ☢️ @zeroday_log

🏴‍☠️ KMSAuto с сюрпризом В Южной Корее приняли предпринимателя из Литвы, который преподал индустрии мастер-класс по монетизации человеческой жадности. Он умудрился заразить 2.8 миллиона компьютеров, используя самый популярный софт в мире... активатор KMSAuto. Схема атаки как эталонная социальная инженерия, помноженная на техническую безграмотность пользователей. Жертва сама находит софт, сама скачивает его и, самое главное, сама отключает Defender или добавляет файл в исключения, потому что... ну это же кряк, он всегда детектится 🤔 Софт запускается от имени Админа (иначе службу KMS и драйвер не поставить), и в этот момент вместе с ключом активации в систему залетает Клиппер. Зловред тихо висит в процессах, хукает буфер обмена через WinAPI и ждет своего часа. Как только регулярное выражение (RegEx) детектит строку, похожую на адрес криптокошелька (BTC, ETH, TRC20 и тд), скрипт на лету подменяет её на кошелек злоумышленника 🤑 Заметить подмену глазами практически нереально. Большинство людей проверяют только первые и последние 4 символа адреса, а современные генераторы позволяют хакерам создавать тысячи кошельков с похожими хвостами специально для таких атак. В итоге пользователь копирует адрес, вставляет, жмет Отправить... и деньги улетают в никуда. Таким нехитрым способом автор кряка заработал $1.2 млн, не написав ни строчки сложного эксплойта. Если в вашей сети есть машины, активированные народными методами через бинарники с торрентов, то не лишним будет прочекаться. KMS-активатор это идеальный троянский конь, которому вы сами открываете ворота. ☢️ @zeroday_log

IBM API Connect забыл спросить пароль. Критический баг с рейтингом 9.8 В мире дорогого энтерпрайза снова пожар. IBM выпустила экстренный бюллетень для своей платформы API Connect, и ситуация там выглядит скверно. Уязвимость CVE-2025-13915 получила рейтинг 9.8 из 10, что на языке безопасников переводится как... бросай всё и беги фиксить. Суть проблемы в полном обходе аутентификации. Удаленному злоумышленнику не нужно подбирать креды, перехватывать сессии или искать инсайдеров. Ошибка в коде позволяет просто обойти механизмы входа и получить несанкционированный доступ к приложению. Учитывая, что API Connect используется как центральный шлюз в крупных банках и авиакомпаниях, взлом такого узла равносилен получению мастер-ключей от всей API-инфраструктуры. Под угрозой находятся версии 10.0.8.x и 10.0.11.0. Если возможности накатить патч прямо сейчас нет, вендор предлагает временный костыль... отключить самостоятельную регистрацию (self-service sign-up) на портале разработчиков. Это снизит поверхность атаки, но полноценным решением не является. Тот случай, когда софт за миллионы долларов защищен хуже, чем домашний роутер. ☢️ @zeroday_log

n8n автоматизировал собственный взлом. Критическое RCE (9.9 баллов). Любители связывать сервисы стрелочками и программировать без кода, у меня для вас плохие новости. В популярнейшей платформе автоматизации n8n нашли дыру размером с Эверест. Уязвимость CVE-2025-22631 получила почти максимальный рейтинг опасности 9.9 из 10 😗 Проблема кроется в механизме песочницы, который должен был изолировать исполняемый пользователем JavaScript-код. Разработчики n8n использовали встроенный модуль Node.js vm, который, как написано даже в официальной документации Node.js (но кто её читает?), не является механизмом безопасности. Хакеры нашли способ совершить Sandbox Escape (побег из песочницы). Злоумышленник может создать вредоносный воркфлоу, который выберется за пределы изоляции и начнет исполнять произвольные команды в хост-системе. Масштаб катастрофы сложно переоценить. n8n это обычно связка ключей от всей инфраструктуры. Там хранятся API-токены, доступы к базам данных, ключи от ботов телеги и прочее, которое нужно для автоматизации. Получив RCE на таком узле, атакующий получает ключи от всего. А учитывая, что многие запускают n8n в Докере под рутом (потому что так проще монтировать вольюмы), взлом контейнера происходит мгновенно. Под угрозой находятся все версии от 1.0.0 до 1.71.2. Разработчики уже выкатили патч в версии 1.71.3, и обновляться нужно было еще вчера. Если ваш n8n торчит наружу интерфейсом (а он часто торчит, чтобы принимать вебхуки), то вы сейчас сидите на пороховой бочке, к которой уже поднесли спичку 💥 Автоматизация... это прекрасно, особенно когда она автоматизирует слив ваших данных 🤡 ☢️ @zeroday_log