This media is not supported in your browser
VIEW IN TELEGRAM
NodeJS DOS с помощью битых HTTP/2 фреймов (CVE-2024-27983)
#nodejs #js #dos #http2 #CVE
Node.js сервер может быть положен на лопатки с помощью специального набора HTTP/2 фреймов. Уязвимость возникает, когда злоумышленник отправляет HTTP/2 фреймы, содержащие фреймы CONTINUATION, после чего внезапно завершает TCP-соединение. Это вызывает состояние гонки (race condition) в памяти библиотеки nghttp2, оставляя необработанные данные в памяти. Конкретно проблема возникает при обработке HTTP заголовков в момент закрытия соединения, что провоцирует сбой работы сессии HTTP/2.
😵 Проблема касается всех версий Node.js: 18.x, 20.x и 21.x.
🖥 Security Release
📱 Github PoC (а также в комментариях выложил сбилдженный эксплойт)
😈 HackerOne Отчёт
Также есть лаба, которую вы можете поднять себе в контейнере и потренироваться
📱 Github Лаба
Убедитесь, что у вас стоит docker. Запуск:
➡️ Советую почитать подробнее про HTTP/2 CONTINUATION Flood
🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча
#nodejs #js #dos #http2 #CVE
Node.js сервер может быть положен на лопатки с помощью специального набора HTTP/2 фреймов. Уязвимость возникает, когда злоумышленник отправляет HTTP/2 фреймы, содержащие фреймы CONTINUATION, после чего внезапно завершает TCP-соединение. Это вызывает состояние гонки (race condition) в памяти библиотеки nghttp2, оставляя необработанные данные в памяти. Конкретно проблема возникает при обработке HTTP заголовков в момент закрытия соединения, что провоцирует сбой работы сессии HTTP/2.
Также есть лаба, которую вы можете поднять себе в контейнере и потренироваться
Убедитесь, что у вас стоит docker. Запуск:
git clone https://github.com/lirantal/CVE-2024-27983-nodejs-http2.git ; cd CVE-2024-27983-nodejs-http2 ; chmod u+x ./start.sh ;./start.sh
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥1
Tsundere Botnet: злоупотребление Node.js и блокчейна Ethereum для устойчивого C2
#botnet #nodejs #js #ethereum #c2 #powershell #windows
В 2025 году исследователи столкнулись с новым этапом эволюции JavaScript-вредоносного ПО — ботнетом Tsundere, активно использующим экосистему Node.js и блокчейн Ethereum. В отличие от классических ботнетов, где C2-адреса жёстко зашиты в коде или меняются через доменные генераторы, Tsundere применяет смарт-контракты как распределённое хранилище командных серверов. Такой подход резко усложняет инфраструктурное противодействие и делает ботнет устойчивым к блокировкам и takedown-операциям.
♾️ Kill Chain♾️
🔗 blog.poxek
Всех с началомтрудовой трудной недели 💻
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#botnet #nodejs #js #ethereum #c2 #powershell #windows
В 2025 году исследователи столкнулись с новым этапом эволюции JavaScript-вредоносного ПО — ботнетом Tsundere, активно использующим экосистему Node.js и блокчейн Ethereum. В отличие от классических ботнетов, где C2-адреса жёстко зашиты в коде или меняются через доменные генераторы, Tsundere применяет смарт-контракты как распределённое хранилище командных серверов. Такой подход резко усложняет инфраструктурное противодействие и делает ботнет устойчивым к блокировкам и takedown-операциям.
Initial Access
├─ Fake MSI / PowerShell dropper
├─ RMM / pirated software
└─ Game lures (valorant.exe, cs2.msi)
Execution
├─ Node.js runtime (bundled or downloaded)
└─ Obfuscated JS loader
Persistence
├─ HKCU\...\Run
└─ pm2 autostart
C2
├─ Ethereum smart contract
└─ WebSocket (ws / wss)
Command Execution
└─ eval() arbitrary JS
Всех с началом
Please open Telegram to view this post
VIEW IN TELEGRAM