PDQ-Masters 🧙♂️
Главный вектор атак с использованием ВПО — это фишинговые рассылки через электронную почту. Идеальный фишинг с малварью отличается от легитимного письма лишь содержимым вложенной нагрузки: он рассылается от доверенного отправителя в результате его компрометации и содержит ВПО. Но сегодня для примера рассмотрим фишинговую атаку с небольшой попыткой персонализации под цель, которая обошла базовые средства защиты и была остановлена на подступе к почте сотрудника более продвинутыми технологиями защиты почты.
Письмо от анонимного отправителя с легитимного домена —
На момент атаки ссылка была новой и не заблокировалась репутационным анализом. Она была автоматически запущена в изолированной браузерной среде, в результате чего удалось получить все перенаправления (скриншот 3) и прийти к итоговой ссылке на «документ» —
💁♂️ На этом можно было бы закончить — исполняемые файлы на почте можно легко заблокировать (главное, обратите внимание, чтобы в вашем средстве защиты блокировка осуществлялась по формату файла, а не исключительно по расширению), например, как показано на скриншоте 4 в случае с PT Sandbox. Но если вам нужна гибкая конфигурация, позволяющая обмениваться различными файлами и ссылками на них через почту, всегда важно понимать, что именно представляет собой файл. Для этого в базовых средствах защиты предусмотрена антивирусная проверка, а в продвинутых — проверка файла в песочнице, позволяющая обнаружить самые изощренные угрозы и новое ВПО, еще не засветившееся в антивирусных базах.
Песочница сразу дала понять поведение и сетевую суть семпла (скриншот 5) и заблокировала его за опасные трюки в PowerShell — внутри оказалась утилита PDQ Connect. «И что же тут вредоносного?!» — спросите вы. А мы ответим — несанкционированные политикой ИБ утилиты удаленного доступа сами по себе являются запрещенными🙅♂️
Но тут все чуть сложнее — исходный MSI-файл не просто обобщенный установщик ПО PDQ Connect, это «тихий» установщик PDQ Connect Agent, который генерируется индивидуально для пользователя, с уникальным токеном, и разворачивается в рамках инфраструктуры организации. Если злоумышленник сгенерирует такой установщик и установит его кому-то без его ведома, то данная утилита превращается в самый настоящий бэкдор. Анализ в песочнице позволил автоматически получить токен агента —
Таким образом, атакующий мог получить возможность управления компьютером жертвы через легитимный сервис удаленного доступа
🔍 Характерные строки YARA, которые помогут вам найти артефакты от подобных «агентов» в ваших системах:
Не забывайте контролировать конфигурацию ваших средств защиты: они должны блокировать, когда это возможно, а не только уведомлять об угрозах. Защищаться всегда проще, если ограничить поверхность атаки — возможные типы файлов и ссылок, которыми можно обмениваться по почте.
#phishing #malware #emailsecurity #sandbox #avlab
@ptescalator
Главный вектор атак с использованием ВПО — это фишинговые рассылки через электронную почту. Идеальный фишинг с малварью отличается от легитимного письма лишь содержимым вложенной нагрузки: он рассылается от доверенного отправителя в результате его компрометации и содержит ВПО. Но сегодня для примера рассмотрим фишинговую атаку с небольшой попыткой персонализации под цель, которая обошла базовые средства защиты и была остановлена на подступе к почте сотрудника более продвинутыми технологиями защиты почты.
Письмо от анонимного отправителя с легитимного домена —
info@koyoshobo.net, с явной попыткой привлечения внимания (тема: «Action Required: Document Review...», скриншот 1). Содержимое представляет собой HTML с закосом под форму системы ЭДО с кнопкой для перехода к документу (скриншот 2). Из страницы статически извлечена ссылка на «документ» по данной кнопке:https://click.convertkit-mail2.com/75u5pv4wxga8h69dp74fzhwl85666tnhrg6p3/m2h7h5h38zwp97cm/aHR0cHM6Ly93d3cubXRmcGxhc3RpY29zLmNvbS5ici9vb3BzL3NoYXJlZmlsZWRvYy5tc2kНа момент атаки ссылка была новой и не заблокировалась репутационным анализом. Она была автоматически запущена в изолированной браузерной среде, в результате чего удалось получить все перенаправления (скриншот 3) и прийти к итоговой ссылке на «документ» —
https://www.mtfplasticos.com.br/oops/sharefiledoc.msi, выкачав для проверки файл 04276b7f1cf487e52f8927134365ae55, очевидно являющийся исполняемым.💁♂️ На этом можно было бы закончить — исполняемые файлы на почте можно легко заблокировать (главное, обратите внимание, чтобы в вашем средстве защиты блокировка осуществлялась по формату файла, а не исключительно по расширению), например, как показано на скриншоте 4 в случае с PT Sandbox. Но если вам нужна гибкая конфигурация, позволяющая обмениваться различными файлами и ссылками на них через почту, всегда важно понимать, что именно представляет собой файл. Для этого в базовых средствах защиты предусмотрена антивирусная проверка, а в продвинутых — проверка файла в песочнице, позволяющая обнаружить самые изощренные угрозы и новое ВПО, еще не засветившееся в антивирусных базах.
Песочница сразу дала понять поведение и сетевую суть семпла (скриншот 5) и заблокировала его за опасные трюки в PowerShell — внутри оказалась утилита PDQ Connect. «И что же тут вредоносного?!» — спросите вы. А мы ответим — несанкционированные политикой ИБ утилиты удаленного доступа сами по себе являются запрещенными
Но тут все чуть сложнее — исходный MSI-файл не просто обобщенный установщик ПО PDQ Connect, это «тихий» установщик PDQ Connect Agent, который генерируется индивидуально для пользователя, с уникальным токеном, и разворачивается в рамках инфраструктуры организации. Если злоумышленник сгенерирует такой установщик и установит его кому-то без его ведома, то данная утилита превращается в самый настоящий бэкдор. Анализ в песочнице позволил автоматически получить токен агента —
0yfer-ks1g2uufaxwpfam81pmasj9bk5e-q7btltzsrkhvz4xxyoonu8cb7kokkd7fc6esztcx1uqccmabxn3w.Таким образом, атакующий мог получить возможность управления компьютером жертвы через легитимный сервис удаленного доступа
pdq.com.strings:
$a = "pdqconnectagent-setup" ascii wide
$s1 = "PDQ.com" fullword wide
$s2 = "CustomActions.StartService" wide
$s3 = "CustomActions.WriteToken" wide
$s4 = "CustomActions.DeleteEvent" wide
$s5 = "CustomActions.CreateEventSource" wide
$s6 = "CustomActions.CleanData" wide
condition:
(uint16(0) == 0x5a4d or (uint32be(0) == 0xd0cf11e0 and uint32be(4) == 0xa1b11ae1))
and $a
and 3 of ($s*)
Не забывайте контролировать конфигурацию ваших средств защиты: они должны блокировать, когда это возможно, а не только уведомлять об угрозах. Защищаться всегда проще, если ограничить поверхность атаки — возможные типы файлов и ссылок, которыми можно обмениваться по почте.
#phishing #malware #emailsecurity #sandbox #avlab
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍11❤5👌5🤝2🗿1
Чем занимались на этой неделе? 🤔
Anonymous Poll
16%
Разгребал снег ❄️
20%
Разгребал инциденты 🫡
4%
Помогал фурам и автобусам разгребать инциденты 🚚
3%
Стоял в пробке 🚗🚙🚕
24%
Боролся с желанием впасть в спячку 😐
11%
Не боролся с желанием впасть в спячку 🛌
10%
Спал с желанием разгребать инциденты 😴
5%
Серфил на Бали 🏄♂️
3%
Катался на санках 🛷
4%
Обновлял TrueConf 👌
☃6🤣5😭5🔥3😁3🤡1🌭1
Группа киберразведки PT ESC представила обзор кибератак за IV квартал 2025 года ✍️
В отчете проанализирована активность хакерских группировок, нацеленных на российские организации — от госсектора и ВПК до промышленности, финансов и телекоммуникаций.
Описана активность APT31, ExCobalt, QuietCrabs, Rare Werewolf, PseudoGamaredon, а также финансово мотивированных Werewolves, NetMedved, Silver Fox и Hive0117.
✉️ Основные векторы первоначального доступа:
• Таргетированный фишинг с легендами деловой переписки, уведомлений от государственных ведомств и закупочной документации;
• Запароленные архивы с LNK-, SCR-, EXE-загрузчиками и документами-приманками;
• Эксплуатация свежих RCE-уязвимостей с массовым сканированием внешних сервисов;
• Компрометация подрядчиков и открытых RDP-сервисов.
🔧 Ключевые тенденции и техники:
• Постоянная эволюция инструментария;
• Активное использование легитимных сервисов и облаков для скрытного управления;
• Новые способы закрепления;
• Стеганография и многоступенчатые цепочки;
• Быстрая эксплуатация уязвимостей нулевого и энного дня.
Ознакомиться с отчетом можно в нашем блоге.
#TI #APT #Malware #Phishing
@ptescalator
В отчете проанализирована активность хакерских группировок, нацеленных на российские организации — от госсектора и ВПК до промышленности, финансов и телекоммуникаций.
Описана активность APT31, ExCobalt, QuietCrabs, Rare Werewolf, PseudoGamaredon, а также финансово мотивированных Werewolves, NetMedved, Silver Fox и Hive0117.
• Таргетированный фишинг с легендами деловой переписки, уведомлений от государственных ведомств и закупочной документации;
• Запароленные архивы с LNK-, SCR-, EXE-загрузчиками и документами-приманками;
• Эксплуатация свежих RCE-уязвимостей с массовым сканированием внешних сервисов;
• Компрометация подрядчиков и открытых RDP-сервисов.
• Постоянная эволюция инструментария;
• Активное использование легитимных сервисов и облаков для скрытного управления;
• Новые способы закрепления;
• Стеганография и многоступенчатые цепочки;
• Быстрая эксплуатация уязвимостей нулевого и энного дня.
Ознакомиться с отчетом можно в нашем блоге.
#TI #APT #Malware #Phishing
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥11👏8❤3
Пришел, увидел, подал заявку 👍
Всем привет! Мы продолжаем сбор заявок на доклады в треке DEFENSE на нашем ежегодном киберфестивале Positive Hack Days, который пройдет с 28 по 30 мая в Москве.
Пример тем, которые можно подать на трек:
🎤 Формат доклада:
• 30 минут с вопросами
• до двух спикеров на доклад
• без рекламы продуктов и сервисов
• только практические доклады
✈️ Что мы предлагаем:
• входной билет для спикера и двух персон
• билет на самолет или поезд туда и обратно
• номер в гостинице на три ночи
• мерч
💡 Недавно также вышел небольшой гайд, как правильно составить заявку, чтобы ваша тема была понятна программному комитету и имела высокие шансы на одобрение.
Мы ждем ваши темы до 9 марта! Заявку можно оставить на сайте CFP.
#PHDays
@ptescalator
Всем привет! Мы продолжаем сбор заявок на доклады в треке DEFENSE на нашем ежегодном киберфестивале Positive Hack Days, который пройдет с 28 по 30 мая в Москве.
Пример тем, которые можно подать на трек:
Актуальные киберугрозы: расследование инцидентов, киберразведка (от тактического до стратегического уровня), OSINT, проактивное детектирование и отслеживание киберугроз, Threat Hunting, исследование Dark Web, исследование киберугроз для мобильных и промышленных систем.
Автоматизация и новые технологии: AI-агенты в исследовании киберугроз и мониторинге, автоматизация в расследовании инцидентов, автоматизация рутинных процессов в защите от киберугроз, автоматизированное написание детектирующих правил.
Новые методы детектирования киберугроз: детектирование аномалий в сетевом трафике, выявление фишинга и мошенничества во всех формах, детектирование угроз в облачных средах, Supply Chain Security.
Процессы управления уязвимостями: алгоритмы приоритезации устранения уязвимостей, in-house vulnerability management, контроль периметра.
Взгляд изнутри: как работает ваша команда по расследованию и реагированию, киберразведке, мониторингу и т.д. Любые процессы или технологии, которые вы используете у себя в компании в рамках борьбы с киберугрозами и которыми хотели бы поделиться.
🎤 Формат доклада:
• 30 минут с вопросами
• до двух спикеров на доклад
• без рекламы продуктов и сервисов
• только практические доклады
✈️ Что мы предлагаем:
• входной билет для спикера и двух персон
• билет на самолет или поезд туда и обратно
• номер в гостинице на три ночи
• мерч
💡 Недавно также вышел небольшой гайд, как правильно составить заявку, чтобы ваша тема была понятна программному комитету и имела высокие шансы на одобрение.
Мы ждем ваши темы до 9 марта! Заявку можно оставить на сайте CFP.
#PHDays
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15🔥12👍10🤡5💘2🌚1
Новая порция супа 🍜
Летом 2025 зарубежные коллеги уже писали про троян SoupDealer — атака специализированная под пользователей из Турции. У семпла было много особенностей, ключевая из которых — он представлял из себя JAR-файл с множественными техниками обфускации AllatoriObfuscator и защитами от динамического анализа. Например, он запускается исключительно на устройствах с турецкой локалью (скриншот 1). Не будем вдаваться во все подробности — семейство уже было подробно происследовано.
Сегодня мы заметили, что началась новая волна атак с использованием того же семейства (скриншот 2), заблокированная в нашей песочнице PT Sandbox. Все они соответствуют примерно одному паттерну: письмо со ссылкой на Google Drive с просьбой проверить документы; по ссылке находится вредоносный JAR-файл. И мы бы не стали обращать на это внимание (каждый день мы блокируем огромное множество семплов), но на текущий момент все еще не все семплы детектируются популярными защитными средствами (скриншот 3).
Поэтому — выкладываем индикаторы компрометации, чтобы средства защиты смогли оперативно доработать свою экспертизу.
Адреса отправителей:
C2:
Имена файлов:
Хеши файлов SHA-256:
#phishing #ti #ioc #avlab #emailsecurity #sandbox
@ptescalator
Летом 2025 зарубежные коллеги уже писали про троян SoupDealer — атака специализированная под пользователей из Турции. У семпла было много особенностей, ключевая из которых — он представлял из себя JAR-файл с множественными техниками обфускации AllatoriObfuscator и защитами от динамического анализа. Например, он запускается исключительно на устройствах с турецкой локалью (скриншот 1). Не будем вдаваться во все подробности — семейство уже было подробно происследовано.
Сегодня мы заметили, что началась новая волна атак с использованием того же семейства (скриншот 2), заблокированная в нашей песочнице PT Sandbox. Все они соответствуют примерно одному паттерну: письмо со ссылкой на Google Drive с просьбой проверить документы; по ссылке находится вредоносный JAR-файл. И мы бы не стали обращать на это внимание (каждый день мы блокируем огромное множество семплов), но на текущий момент все еще не все семплы детектируются популярными защитными средствами (скриншот 3).
Поэтому — выкладываем индикаторы компрометации, чтобы средства защиты смогли оперативно доработать свою экспертизу.
Адреса отправителей:
arslan@arsavukatlik.com
bilgi@dermamed.com.tr
C2:
gocmenkusgiller.blog
Имена файлов:
YENI URUNLER ICIN FIYAT TALEBI3.jar
FIYAT TEKLIFI BEKLENEN URUN LISTESI.jar
Хеши файлов SHA-256:
90ead7a262450a9bace5686f11fc39cbd607a0d681ef9ff39d8766d9b4c0de2e
8dc7f7d298291c042e9f51feff3c8d690f4889a9a141e9657d33da7bb8456c7f
#phishing #ti #ioc #avlab #emailsecurity #sandbox
@ptescalator
🔥16👍11❤9
Препарируем сетевой трафик с помощью ML в поисках новых вредоносов 📖
🧪 Мы — команда отдела сетевой экспертизы антивирусной лаборатории ESC и команда машинного обучения — однажды уже построили ML-модель на сетевом трафике, обучили ее на реальных сетевых сессиях и запустили в песочнице PT Sandbox для усиления возможностей по обнаружению вредоносов. Но мы решили не останавливаться на достигнутом — провели серию новых экспериментов, расширили набор входных признаков и протестировали модель на более сложных сценариях.
👾 Благодаря обновлению модель уже успела поймать несколько ранее неизвестных образцов: новую версию бэкдора Oyster, загрузчик APT GOFFEE, несколько стилеров (например, JustAskJacky) и еще ряд небольших, но подозрительных загрузчиков.
💡 Этот опыт подтверждает, что машинное обучение — отличный помощник традиционным сигнатурным решениям: оно видит скрытые паттерны и повышает общую детектируемость вредоносных сетевых сценариев.
Обо всем этом и не только рассказали в нашей статье на Хабре.
#network #avlab #ml
@ptescalator
👾 Благодаря обновлению модель уже успела поймать несколько ранее неизвестных образцов: новую версию бэкдора Oyster, загрузчик APT GOFFEE, несколько стилеров (например, JustAskJacky) и еще ряд небольших, но подозрительных загрузчиков.
Обо всем этом и не только рассказали в нашей статье на Хабре.
#network #avlab #ml
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👨💻10🆒9👍1
Засунь свои претензии в... PT Sandbox! 🫵
В конце января мы обнаружили вредоносную кампанию с рассылкой вредоносного PureRat (PureHVNC) по российским организациям финансового сектора.
Как и многие подобные рассылки, атака начиналась с письма под названием «Акт сверки и претензия» (скриншот 1).
В письме была ссылка на архив:
с причудливо обфусцированным bat-файлом (скриншот 2).
🕵️♂️ Его функционал прост — всего лишь декодирование из base64 огромного куска данных (перед этим каждое вхождение подстроки
Декодированные данные представляют собой PowerShell-скрипт (скриншот 4), который скачивает картинку с URL:
🖼 В картинке ищутся теги
AndeLoader запускает легитимный процесс
В этот раз C2 оказался по адресу
🚧 Покопавшись в репозитории sergo20261, мы нашли три проекта:
• proxihost
• proxi
• text
Файлов в них великое множество, самые интересные из них:
• написанные на Rust загрузчики вредоноса PureRat;
• исполняемые файлы PureRat;
• различные .txt-файлы, в которых содержатся закодированные данные в Base64 (файл
Напоследок хотелось бы отметить, что описанный здесь набор инструментов, запускавшихся с помощью Crypters and Tools, — PureRat и его rust-загрузчики — мелькал в сентябрьских атаках 2025 года и подробно описывался в статье.
IoCs
#avlab #sandbox #TI #ioc #malware
@ptescalator
В конце января мы обнаружили вредоносную кампанию с рассылкой вредоносного PureRat (PureHVNC) по российским организациям финансового сектора.
Как и многие подобные рассылки, атака начиналась с письма под названием «Акт сверки и претензия» (скриншот 1).
В письме была ссылка на архив:
https://github.com/sergo20261/proxi/raw/refs/heads/main/претензия.rar
с причудливо обфусцированным bat-файлом (скриншот 2).
🕵️♂️ Его функционал прост — всего лишь декодирование из base64 огромного куска данных (перед этим каждое вхождение подстроки
`h@` заменяется на `d`) и его последующий запуск, после чего он копирует себя в C:\ProgramData\avtoproxi.bat (скриншот 3).Декодированные данные представляют собой PowerShell-скрипт (скриншот 4), который скачивает картинку с URL:
firebasestorage.googleapis.com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?alt=media&token=c16438a4-4eeb-4116-adc7-373fbf7359b0
modaaura.store/image.jpg?12711343
🖼 В картинке ищутся теги
BASE64_START и BASE64_END, между которыми находится закодированный в base64 .NET-загрузчик AndeLoader, который скачивает exe с переданного ему URL:https://raw.githubusercontent.com/sergo20261/proxi/refs/heads/main/vc27012026upload.txt
AndeLoader запускает легитимный процесс
MsBuild.exe и внедряет в него полученный вредоносный код. Подобная схема характерна для инструмента Crypters and Tools, описанного нами ранее.В этот раз C2 оказался по адресу
62.84.98.217:56001 (скриншот 5). Естественно, подобные трюки не могли остаться незамеченными в PT Sandbox, и ВПО было заблокировано песочницей.🚧 Покопавшись в репозитории sergo20261, мы нашли три проекта:
• proxihost
• proxi
• text
Файлов в них великое множество, самые интересные из них:
• написанные на Rust загрузчики вредоноса PureRat;
• исполняемые файлы PureRat;
• различные .txt-файлы, в которых содержатся закодированные данные в Base64 (файл
vc27012026upload.txt, упоминаемый по ссылке выше, относится к ним же).Напоследок хотелось бы отметить, что описанный здесь набор инструментов, запускавшихся с помощью Crypters and Tools, — PureRat и его rust-загрузчики — мелькал в сентябрьских атаках 2025 года и подробно описывался в статье.
IoCs
Акт сверки и претензия.eml -> 71a8920aa71afde02a466e08508642561b98a99632351cdd1c1ce3ab805a10ba
pretenziya_27012026_akt_sverka_1C_PDF.bat -> 1d3e6b81479717282fb0f661fba3603b3f9f9c9d857a0f2fa8035b7015ab1f0a
vc27012026upload.txt -> 9abcfce5cb991f60652c4b410e45ad40f4b0eafe30c2209f0c6e6636b424d5db
Rust загрузчик -> 93e0fb947cff4ab361c307590a078549ab9e885d04e23b12a800296dd4d6c4a4
PureHVNC -> 49fde62919aec811780e67073a7e70566594477ef7b19905e1b8aa42438f6d98
62.84.98.217
firebasestorage.googleapis.com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?alt=media&token=c16438a4-4eeb-4116-adc7-373fbf7359b0
modaaura.store/image.jpg?12711343
#avlab #sandbox #TI #ioc #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥12👏7✍1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁20🤯9🤔3🤩3👎1
😁18❤9👍7👾1
QR не открылся? Напишите в поддержку 🆘
В середине января группа киберразведки PT ESC зафиксировала фишинговую кампанию под видом уведомлений от государственных ведомств.
1️⃣ Жертве приходит письмо с PDF-документом: внутри — QR-код для получения документов и контакт технической поддержки в Telegram на случай проблем.
2️⃣ При сканировании QR-кода страница оказывается недоступной — и это часть сценария: пользователя подталкивают перейти в диалог с мошенниками.
3️⃣ В переписке запрашивают ФИО и телефон отправителя, а затем выдают новую ссылку — якобы для оплаты доставки.
4️⃣ Сайт визуально копирует интерфейсы легитимных сервисов, но деньги уходят злоумышленникам 💰
В статье на Хабре подробно разобрали мошенническую схему и собрали простые рекомендации для быстрой проверки легитимности письма.
#TI #Phishing
@ptescalator
В середине января группа киберразведки PT ESC зафиксировала фишинговую кампанию под видом уведомлений от государственных ведомств.
В статье на Хабре подробно разобрали мошенническую схему и собрали простые рекомендации для быстрой проверки легитимности письма.
#TI #Phishing
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤10🔥9🗿2
pip install teligram 🧐 (лучше не запускайте)
Восьмого февраля была опубликована библиотека
Ее описание гласит:
Увы, как обычно у нас в постах, чудес не бывает — библиотека представлена самописным Remote Access Tool (RAT).
Его особенности:
• Есть следы использования LLM.
• Содержит в себе одну большую функцию
• Присутствуют следы индийского языка (
• Код не обфусцирован, и приветствие бота, отправляемое при использовании команд
Версия 1.0.0 не обладает функционалом запуска после установки. Остальные версии не успели выйти — пакет был отправлен в карантин, хотя и просуществовал 19 часов.
💬 К слову, читать ESCalator можно теперь и в MAX. И это не скам.
#pypi #ti #scs #pyanalysis
@ptescalator
Восьмого февраля была опубликована библиотека
teligram.Ее описание гласит:
Telegram-based friendly library.Увы, как обычно у нас в постах, чудес не бывает — библиотека представлена самописным Remote Access Tool (RAT).
Его особенности:
• Есть следы использования LLM.
• Содержит в себе одну большую функцию
khelo, в которой реализованы 16 подфункций.• Присутствуют следы индийского языка (
khelo переводится как «играть»; выбранное имя разработчика Om Devendra — индийское).• Код не обфусцирован, и приветствие бота, отправляемое при использовании команд
/help и /start администратором, отражает возможности:Available commands:
pwd - Show current directory
ls or ls -la - List files
cd <directory> - Change directory
whoami - Show current user
date - Show date and time
TAKE COMMANDS:
1. take <number> - Get the nth file
Example: take 1
2. take <file_name> - Get file by name
Example: take myfile.txt
3. take .<extension> - Get all files with extension
Example: take .jpg or take .py
4. take all - Get ALL non-empty files
5. /send - Upload files to current directory
Special features:
- Working directory saved between commands
- Empty files automatically skipped
Версия 1.0.0 не обладает функционалом запуска после установки. Остальные версии не успели выйти — пакет был отправлен в карантин, хотя и просуществовал 19 часов.
#pypi #ti #scs #pyanalysis
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡44💩18👍13🔥11❤8👏3🙏3🥰2😁2