Итоги канала из под одеяла

[ РОСТ ] Я всегда по жизни старался расти сначала количественно, а потом качественно. К каналу я отношусь также, потому со следующего года буду стараться расти качественнее и больше внимания уделить другим медиа проектам, а также более интересным коллобам с компаниями. Думаю на PHD Fest 2026 стоит ждать что-то интересное 🌚

[ КОМЬЮНИТИ ] Хочется выразить огромную благодарность всем вам за активность, веселость, мемность, взаимопомощь и интересные беседы) Без вас канал бы безжизненным и возможно у меня не было бы мотивации столько лет развивать это всё

[ КОНТЕНТ ] Много разного слышал про контент на канале, скажу так. Он развивается вместе со мной, поэтому развитие, деградация, стагнация и снова развитие все отражаются, это не плохо, просто есть как есть. Ближе к концу года я нашел двух людей, которые стали возмезжно помогать мне в ведении канала, за что я им очень благодарен) Надеюсь мои небольшие шаги в попытках делегирования продолжаться, без потери в качестве

[ ПАРТНЕРЫ ] Отдельная благодарность компаниям, которые поверили в мой канал и получили за это соизмеримый плюс. На ваши деньги я могу себе позволить делать мерч и другие активности, по типу сходок Похека. Надеюсь на продолжение сотрудничества в следующем году!

[ ОТ СЕБЯ ] В этом году исполнилось 22 года, не могу сказать что было много изменений в жизни, но не планирую останавливаться в росте (надеюсь не в ширину)). Открыл для себя интересное направления с AI и не бросаю попыток учиться манагерству по чуть-чуть. Посмотрим куда заведет меня следующий год, но должно быть интересно))

[ МЕСТО ДЛЯ ТЕБЯ ] Поделись, чем именно тебе запомнился этот год

❤️ Made by Poxek

Европейское космическое агентство под прицелом: Хакер "888" продает 200 ГБ исходного кода и API-ключей
#ESA #databreach #cybersecurity #hack #infosec

Пока все доедали новогодние салаты, кто-то усердно "бекапил" данные из Европейского космического агентства (ESA). Агентство официально подтвердило инцидент, но, как всегда, с оговорками. Давайте разберемся, стоит ли верить успокаивающим заявлениям или же это "космический" провал.

➡️Что случилось?
Хакер под ником "888" заявил о взломе и выставил на продажу более 200 ГБ данных. ESA подтвердило факт инцидента, уточнив, что скомпрометированы были внешние серверы, не связанные с основной корпоративной сетью. Звучит не так страшно, правда?

➡️Что утащили?
А вот тут начинается самое интересное. Хакер утверждает, что в его руках оказались:
- Приватные репозитории Bitbucket
- Исходный код различных проектов
- CI/CD пайплайны
- API-токены и учетные данные

Весь этот набор продается за скромную сумму в криптовалюте Monero. ESA настаивает, что затронута только "неклассифицированная" информация. Но исходный код и API-ключи, даже от второстепенных проектов, — это уже серьезно.

➡️Почему это важно?
Заявление о "неклассифицированной" информации — классическая отмазка, чтобы не паниковали и государство не бонькнуло сверху. Однако, исходный код может содержать уязвимости, которые можно использовать для атак на другие, более важные системы агентства. API-ключи могут открыть доступ к партнерским сервисам, создавая угрозу для всей цепочки поставок.

По сути, даже если это не чертежи нового марсохода, утечка такого масштаба — это золотая жила для атакующих и огромный репутационный удар.

P.s. накиньте бустов https://xn--r1a.website/boost/poxek

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

MacSync Stealer: Как подписанное Apple приложение обходит Gatekeeper
#macos #malware #stealer #gatekeeper #cybersecurity

Думали, что Gatekeeper и нотаризация Apple — это непробиваемая стена? Как бы не так. Новый вариант стилера MacSync показывает, что даже "проверенное" приложение может оказаться трояном, который система macOS с радостью пропустит без единого предупреждения.

➡️ Как это работает?
Вредонос распространяется под видом установщика мессенджера zk-call-messenger-installer-3.9.2-lts.dmg. Жертва скачивает, монтирует образ и запускает приложение. И тут начинается самое интересное:

1. Обход Gatekeeper: Приложение подписано легитимным (уже отозванным) Apple Developer ID (GNJLS3UYZ4) и нотариально заверено. Gatekeeper видит валидную подпись и не показывает никаких страшных окон. Пользователь спокоен.

2. Загрузка полезной нагрузки: После запуска приложение, написанное на Swift, проверяет доступ в интернет и незаметно скачивает с C2-сервера (gatemaden.space) вторую стадию — обфусцированный zsh-скрипт.

3. Исполнение: Скрипт сохраняется в /tmp/runner, с него снимается атрибут карантина, и он запускается. Этот скрипт — и есть сам стилер, который работает в памяти, воруя пароли, куки и данные из Keychain.

❗️Эволюция угрозы
Раньше подобные стиллеры требовали от пользователя ручных действий (перетащить скрипт в терминал, вставить команду). Теперь всё автоматизировано. Это показывает, что авторы малвари становятся хитрее и профессиональнее. А с приходом AI атаки становятся проще, масштабнее и иногда быстрее.

😉 Apple уже отозвала сертификат, но это не мешает атакующим получить новый и повторить атаку. Техника остаётся рабочей.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Самые вкусные атаки из номинаций PortSwigger 2025: Мой личный топ
#webresearch #hacking #bugbounty #appsec #infosec

PortSwigger открыл номинации на лучшие техники веб-хакинга 2025. Там уже 17 исследований, но я выбрал 5, которые зацепили меня больше всего. Это не рейтинг — это то, что я бы хотел попробовать на ближайшем скоупе.

➡️ 1. Eclipse on Next.js (CVE-2025-32421)

Race condition в promise batcher'е Next.js. Два одновременных запроса с одинаковым cacheKey (/_error-0) — первый вызывает ошибку, второй получает pageProps в text/html. Если в pageProps отражаются данные из запроса (User-Agent, Cookie) — получаем Stored XSS.

Почему вкусно: Next.js везде. Условия эксплуатации специфичные, но когда они совпадают — это джекпот. Single-packet attack от Кеттла в помощь.


➡️ 2. Next.js, cache, and chains (stale elixir)

Ещё один подарок от того же исследователя. Подмена заголовка x-nextjs-data: 1 заставляет Next.js вернуть JSON с pageProps. При stale-while-revalidate кэш может отдать этот JSON как text/html — и снова XSS или DoS.

Почему вкусно: Два исследования по Next.js за год — это тренд. Фреймворк популярный, кэши сложные, а значит багов будет ещё больше.


➡️ 3. Under the Beamer (DOM Clobbering + DOMPurify bypass)

DOM Clobbering в Chromium + гаджет на удаление DOM-ноды в сторонней библиотеке = зануление функции экранирования DOMPurify в рантайме. Итог — XSS через innerHTML в атрибуте iframe, несмотря на "защиту".

Почему вкусно: DOMPurify — это святое. Когда его обходят, это всегда красиво. Плюс DOM Clobbering — недооценённая техника, которую мало кто проверяет.


➡️ 4. ORM Leaking More Than You Joined For

Исследование от elttam показывает, как разработчики сливают данные через ORM-фильтрацию. Баг в парсере выражений Beego ORM позволил обойти защиту в Harbor и фильтровать по полям password и salt. Плюс — обход аутентификации в Prisma через type confusion: пользовательский ввод превращается в объект оператора через стандартные парсеры запросов (Express.js qs).

Почему вкусно: ORM Leak — это не SQL-инъекция, но позволяет вытаскивать чувствительные данные посимвольно. Работает на Django, Prisma, Beego, Entity Framework. Авторы даже выложили semgrep-правила для детекта.


➡️ 5. Cross-Site WebSocket Hijacking (CSWSH) in 2025

Исследование показывает, что Private Network Access (PNA) НЕ распространяется на WebSocket. Это значит: с внешнего сайта можно открыть WebSocket к устройству в локальной сети жертвы. Если там GraphQL API — обходим CSRF и делаем что хотим.

Почему вкусно: Локальные сервисы (роутеры, NAS, IoT) часто имеют WebSocket API и никакой защиты. А PNA, оказывается, не спасает. Огромный attack surface.

———

Полный список номинаций — на сайте PortSwigger. Голосование скоро, финальный топ-10 выйдет 3 февраля.

🔗Источник: PortSwigger Research

———
P.s. а какие вы атаки считаете интересными?

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

🚩 DUCKERZ CTF

Зима в самом разгаре, а значит настало время для DUCKERZ CTF, онлайн соревнования по информационной безопасности от нашей команды.

🐥Формат task-based
🐥Команды до 5 человек
🐥С 12:00 7 февраля по 12:00 8 февраля (МСК)

Участвовать могут все желающие независимо от уровня подготовки, а призы получат топ 3 команды.

Собирайте свою команду, тренируйтесь на нашей платформе, обсуждайте задания и предстоящий ивент в нашем чате.

👉 Регистрация

Все анонсы и апдейты будем публиковать в нашем канале.

🐥 Канал | 🐥 Чат | 🐥 Платформа | 🐥 Регистрация

OWASP ModSecurity CRS WAF Bypass: Когда последний чарсет решает всё (CVE-2026-21876)
#waf #bypass #modsecurity #crs #cve #infosec

Иногда лучшие баги находятся, когда того совсем не ожидаешь. Подписчик @based_monke скинул историю, как он "ткнул пальцем в небо" и нашёл байпасс OWASP ModSecurity Core Rule Set. История простая и забавная, а импакт — обход WAF с CVSS 9.3.

♾️Суть проблемы: CVE-2026-21876♾️

WAF не блокирует закодированный payload, потому что он не матчится по сигнатурам. Для защиты от таких атак правило 922110 проверяет charset по белому списку (utf-8, iso-8859-1, iso-8859-15, windows-1252) и блокирует опасные кодировки вроде utf-7. Проблема в том, как ModSecurity обрабатывает multipart/form-data с несколькими частями. Из-за особенностей работы capture-переменных (TX:1), правило проверяет только последний чарсет в запросе.

Как сказал автор: "Я предположил, что чарсет для WAF перед проверкой может перезаписываться от части multipart к другой. Смешно, что в итоге так и оказалось".

♾️Как работает обход?♾️

1. Отправляем payload в невалидной кодировке (например, utf-7 для XSS), которую WAF должен блокировать.
2. Отправляем любую легитимную часть с разрешённой кодировкой (например, utf-8).

WAF видит charset=utf-7, но тут же перезаписывает его значением charset=utf-8 из второй части. В итоге, правило проверяет только utf-8, считает, что всё в порядке, и пропускает запрос. А бэкенд уже обрабатывает первую часть с вредоносной нагрузкой.

| CVE       | CVE-2026-21876                 |
|-----------|--------------------------------|
| CVSS      | 9.3 (Critical)                 |
| CWE       | CWE-794 (Incomplete Filtering) |
| Затронуты | CRS < 4.22.0 и < 3.3.8         |
| Фикс      | CRS 4.22.0 и 3.3.8             |

♾️Вывод♾️

Мультипарт — недооценённый вектор, а блэкбокс-тестирование всё ещё может приносить критические уязвимости. Всем, кто использует ModSecurity с Core Rule Set, срочно обновляться!

Я давно планировал начать собственные исследования, но начал только совсем недавно. И спустя не такое уж большое количество времени я нашел свою первую багу! В итоге стоило просто перестать откладывать на потом. ©️daytrift newgen

♾️Источники♾️
• Анонс от CoreRuleSet
• GitHub Advisory
• PoC от автора

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Tsundere Botnet: злоупотребление Node.js и блокчейна Ethereum для устойчивого C2
#botnet #nodejs #js #ethereum #c2 #powershell #windows

В 2025 году исследователи столкнулись с новым этапом эволюции JavaScript-вредоносного ПО — ботнетом Tsundere, активно использующим экосистему Node.js и блокчейн Ethereum. В отличие от классических ботнетов, где C2-адреса жёстко зашиты в коде или меняются через доменные генераторы, Tsundere применяет смарт-контракты как распределённое хранилище командных серверов. Такой подход резко усложняет инфраструктурное противодействие и делает ботнет устойчивым к блокировкам и takedown-операциям.

♾️Kill Chain♾️

Initial Access
 ├─ Fake MSI / PowerShell dropper
 ├─ RMM / pirated software
 └─ Game lures (valorant.exe, cs2.msi)

Execution
 ├─ Node.js runtime (bundled or downloaded)
 └─ Obfuscated JS loader

Persistence
 ├─ HKCU\...\Run
 └─ pm2 autostart

C2
 ├─ Ethereum smart contract
 └─ WebSocket (ws / wss)

Command Execution
 └─ eval() arbitrary JS

🔗blog.poxek

Всех с началом трудовой трудной недели 💻

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Фаззинг телекома с генетическим алгоритмом: как тестировать продукт на безопасность, если обычных методов недостаточно
#fuzzing #telecom #appsec #yadro

Что делать, если сложная высоконагруженная система уже полностью покрыта базовыми тестами, используется фаззинг без модификаций, но выявить удалось не все критические уязвимости? Поможет внедрение генетического алгоритма.

Сотовая сеть — это высоконагруженная система, которая должна обеспечивать бесперебойную связь круглосуточно. Нам нужно развивать тесты и учитывать самые неожиданные сценарии, которые могут привести к неполадкам. Для выявления негативных сценариев и генерации вредоносных тестовых входных данных мы используем фаззинг.

Фаззинг без модификаций, однако, не всегда позволяет найти критические уязвимости. Когда мы это выяснили, то решили не увеличивать мощности и создавать фаззинг-фермы, а сделать тесты более умными. Обычно фаззинг представляют как набор мусорных данных, но их можно сделать более интерпретируемыми.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

React Fiber Forensics: эксгумация исходного кода из оперативной памяти
#reverse #react #ReactFiber #webpack #vite #bugbounty #appsec

Принято считать, что минификация и бандлинг (Webpack/Vite) надежно скрывают логику фронтенда. Но, как выяснил разработчик David Fant, прибывающих в браузер артефактов (JS-бандл, runtime-данные, структура UI) вполне достаточно, чтобы реконструировать исходный код React-компонентов с высокой точностью, используя только runtime-слепки памяти и LLM.

♾️Техническая суть♾️

React использует структуру данных Fiber — Linked List узлов, представляющий состояние UI. В отличие от Call Stack, Fiber-дерево хранится в куче постоянно для поддержки асинхронного рендеринга и Reconciliation. Каждый DOM-элемент в React-приложении содержит ссылку на свой Fiber-узел, получив доступ к которому можно получить и доступ к приватным данным компонента:
memoizedProps — актуальные входные данные
memoizedState — внутреннее состояние (связный список хуков: useState, useReducer, useContext)
stateNode — инстанс класса или ссылка на DOM
type — ссылка на оригинальную (минифицированную) функцию-компонент

♾️Типичный пайплайн атаки♾️

▪️Скрипт-имплант находит корневой контейнер приложения и рекурсивно обходит дерево Fiber, следуя по указателям child и sibling.
▪️Для каждого узла сериализуется текущее состояние. В отличие от статического анализа бандла, здесь есть динамические значения в момент исполнения.
▪️Сдампленная структура скармливается LLM. Модель, обученная на миллионах строк React-кода, выполняет обратное преобразование: Fiber Node ▪️Snapshot -> Idiomatic JSX, восстанавливает имена пропсов (они часто не минифицируются) и логику рендера.

♾️Для чего♾️

▪️Быстрый pixel-perfect фишинг, когда воспроизводятся состояния, тексты ошибок и поведение форм
▪️Реверс бизнес-логики на клиенте: валидации, feature-flags, проверки ролей, алгоритмы расчета — все, что ошибочно сочли неинтересным для атакующего
▪️Для поиска багов, поскольку восстановленный компонент проще анализировать на небезопасные паттерны (XSS/DOM XSS, небезопасные редиректы, утечки токенов в URL/логах, логика «только на фронте»).

♾️Защита♾️

Минификация бесполезна. Что поможет:
▪️Перенос чувствительной логики в серверные компоненты. Их код исполняется на бэкенде, а клиенту прилетает только сериализованный результат (JSON-подобная структура) без логики обработки.
▪️Использование инструментов типа Jscrambler, которые ломают не только имена, но и поток управления, затрудняя работу LLM по восстановлению логики.

🔗Подробнее

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Практический разбор деобфускации и anti-analysis техник современного infostealer-ПО

AuraStealer — активно развивающийся infostealer-as-a-service, появившийся на подпольных форумах летом 2025 года. Несмотря на сравнительно недолгую историю, данный образец демонстрирует зрелый подход к обфускации, anti-analysis и обходу защитных механизмов Windows, характерный для современных коммерческих MaaS-платформ.

Класс угрозы: Infostealer (MaaS)
Платформа: Windows 7–11
Язык реализации: C++
Размер билдов: ~500–700 KB

Ключевая особенность AuraStealer — агрессивная защита от анализа, выраженная не только в стандартных анти-debug и anti-VM проверках, но и в нетривиальных инженерных решениях:
▪️косвенное управление потоком выполнения (indirect control flow);
▪️exception-driven API hashing;
▪️динамическая генерация mutex;
▪️обход Application-Bound Encryption Chromium-браузеров;
▪️Heaven’s Gate для вызова NTDLL из WOW64-контекста.

Цель данной статьи — показать практический путь анализа AuraStealer, а не просто перечислить техники.

🔗blog.poxek

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK