Telegram statistics channel - @cybersecurefox

🚨 Ось історія, яка трохи лякає і одночасно захоплює. Anthropic тихо ганяє модель Claude Mythos по опенсорсу — і вона вже знайшла 23 000+ вразливостей у понад 1000 проєктах, з них 6200 high/critical, а точність після ручної перевірки — 90,6%. Для порівняння, класичні SAST-інструменти часто тонуть у фейкових спрацюваннях 🐛Я помітив цікаву деталь: частина команд прямо каже, що не встигає закривати все, що їм знаходить Mythos. Інструмент, який мав посилити захист, починає створювати інформаційний шок 🛡️ І тут виникає неприємний дисбаланс: зловмиснику достатньо однієї дірки, а захисникам треба закрити всі ⚖️Паралельно в інтерфейсах Claude Code уже сплив ідентифікатор claude-mythos-1-preview — виглядає так, ніби публічний реліз десь поруч, хоча офіційних дат немає 🧩 Якщо ви спираєтесь на open source, мені здається, саме час підтягнути SBOM, автоматизувати пріоритизацію й застосування патчів — бо кількість відомих багів може зрости на порядок. Як ви ставитеся до ідеї зробити такий «сканер світу» публічним: це більше про захист чи про новий буст для атакувальників?🔗 Докладніше:https://cybersecurefox.com/uk/anthropic-claude-mythos-project-glasswing-vrazlyvosti-oss#ai #кібербезпека #opensource #security #devsecops #anthropicCyberSecureFox

⚠️ Одна «зручність» у конфігу — і під загрозою вся екосистема застосунків.Натрапив на історію з японською LMS Digital Knowledge KnowledgeDeliver 🇯🇵. Вендор роздавав усім клієнтам однаковий machineKey в web.config, тож CVE-2026-5426 дає змогу виконувати код без логіну через підроблений ViewState. Фактично, зливши ключ з однієї інсталяції, можна бити по всіх, що стирчать в інтернет.Далі починається кібер-треш: через вебшел Godzilla 🐚 зловмисник розширює права, править JavaScript і показує юзерам фейкове «попередження безпеки». Люди ставлять «плагін автентифікації» — а насправді отримують Cobalt Strike Beacon 💻, ще й підготовлений під конкретну організацію 🧩.Мені здається, це ідеальний антиприклад для всіх, хто ще хардкодить ключі в шаблони. Чи перевіряли ви свої ASP.NET‑застосунки на стандартні machineKey, чи все ще «як розгорнули, так і працює»? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/cve-2026-5426-knowledgedeliver-viewstate-vrazlyvist#кібербезпека #vuln #lms #cobaltstrike #infosecuaCyberSecureFox

🔐 Коли вразливість виглядає «не дуже ймовірною», але може дати RCE з прав звичайного користувача — це вже історія, за якою я пильно стежу. Особливо коли йдеться про SharePoint, який у багатьох із нас живе в самісінькому центрі корпоративної інфраструктури.Microsoft тихенько залатала CVE-2026-45659 (CVSS 8.8) — десеріалізація недовірених даних, яка дозволяє будь-якому Site Member виконати довільний код на сервері по мережі 🧨. Мені здається, це особливо небезпечно там, де півкомпанії має базовий доступ до сайтів. Хоча Microsoft пише, що експлуатація «малоймовірна», історія попередніх атак на SharePoint говорить протилежне ⚠️.Оновлення вже доступні 🧑‍💻: SharePoint Server Subscription Edition (KB5002863), 2019 (KB5002870), 2016 (KB5002868). Я б ставив це в пріоритет: оновити сервери, зробити аудит акаунтів із правами Site Member+, проглянути логи на дивні запити й по можливості обмежити прямий доступ до SharePoint через проксі/WAF ✅. Як ви до такого ставитеся: розкатуєте подібні патчі одразу чи спершу чекаєте «офіційних експлойтів»? 🙂🔗 Докладніше:https://cybersecurefox.com/uk/vrazlyvist-cve-2026-45659-u-sharepoint-server#кібербезпека #sharepoint #infosec #адміністрування #windows #оновленняCyberSecureFox

😮 Flipper нарешті показала Flipper One!Ну як «показала» - скоріше виклала всю кухню і попросила допомоги. Їхня стаття починається з«Чесно? Нам реально страшно, і нам потрібна ваша допомога» і далі ніякого маркетингу - тільки архітектура, незакриті проблеми і відкриті задачі.Але одразу зазначимо: Flipper One це НЕ Flipper Zero 2.0🟡 Zero - протоколи фізичного доступу: NFC, RFID, Sub-1 GHz, інфрачервоний.🟡 One - планується як портативний комп'ютер на Linux для IP-мереж: два гігабітних Ethernet, Wi-Fi 6E, порт M.2 під модем 5G або SDR.👍 Архітектура двопроцесорна: RK3576 тягне Linux, а RP2350 окремо керує екраном, кнопками і живленням. Тобто навіть якщо Linux завис - ти бачиш що відбувається і можеш перезапустити Але є нюанс. Ціна не оголошена, дати немає, чипсет Wi-Fi ще тестують і не факт що залишать саме MT7921AUN. Flipper OS вони самі називають «extremely hard project», DDR trainer досі закритий, а криза на ринку пам'яті тисне на бюджет. Тобто це поки що концепт, не продукт.Я зробив докладний розбір - архітектура, основна гілка Linux, мережеві сценарії, ризики і де можна долучитися навіть без досвіду з кодом 🔗 Докладніше:https://cybersecurefox.com/uk/flipper-one-kiberdek-linux-vidkryta-rozrobka/Як вам взагалі ідея відкрити розробку заліза до того, як воно готове? 👇#flipperone #flipperzero #кібербезпека #linux #пентест

🔥 Натрапив на історію, яка виглядає як кросовер між supply-chain атаками й prompt injection для ШІ. Ім’я кампанії дуже влучне — TrapDoor: двері, через які у ваш код може зайти хто завгодно.Дослідники Socket знайшли 34+ шкідливі пакети в npm, PyPI і Crates.io, які прикидаються тулзами для крипти, DeFi, Solana та ШІ. Вони тягнуть криптогаманці, SSH‑ключі, AWS/GitHub токени, лазять по мережі через SSH і ховаються в postinstall, build.rs та автозапуску при імпорті. Мені здається, це вже новий рівень «довіряю registry» наосліп 😅Найцікавіше: атака ще й по ШІ‑асистентах. У репи підсовують файли .cursorrules і CLAUDE.md з прихованими інструкціями, щоб Cursor/Claude «для безпеки» самі почали шукати та зливати ваші секрети 🤯. Я б зараз точно перевірив package.json, requirements.txt, Cargo.toml + пошукав ці файли в корені проєктів і, за потреби, ротував усі ключі.Мені цікаво: ви взагалі довіряєте новим dev-пакетам з registry, чи у вас є свій фільтр/процес валідації? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/trapdoor-ataka-na-lancyug-postachannya-npm-pypi-crates#кібербезпека #розробка #devsecops #opensource #штучнийінтелект #криптаCyberSecureFox

🧨 Уявіть троян, який живе тільки в оперативці, не лишає файлів на диску й спокійно оминає більшість захисту. Саме таку іграшку, RemotePE, я щойно розбирав у звіті Fox-IT — і все це, ймовірно, справа рук Lazarus.Мені особливо зайшов їхній підхід: DPAPILoader шифрує все так, що вантаж працює лише на конкретній машині й юзері — аналіз у пісочниці стає болем 😅. Потім RemotePELoader через HTTP тягне основний модуль із C2-домену aes-secure[.]net і запускає його повністю в пам’яті, паралельно ріже телеметрію: прямі syscalls (Hell's Gate) + патчинг ETW.Фінальний RemotePE — це повноцінний RAT: файли, процеси, DLL, конфіг C2, ще й файли перед видаленням переписує сім разів (той самий патерн, що в PondRAT/POOLRAT). Мені здається, цей тулкит бережуть під дуже “жирні” цілі у DeFi та криптофінансах, плюс вхід через соціалку в Telegram виглядає вже як стандарт. Як думаєте, ваші засоби захисту реально побачать таку безфайлову історію — чи це все ще “сіра зона”?🔗 Докладніше:https://cybersecurefox.com/uk/remotepe-bezfailovyi-rat-lazarus-finansovyi-sektor#кібербезпека #malware #lazarus #crypto #dfir #aptCyberSecureFox

🔥 Кіберзлочинцям щойно вибили з рук один із улюблених інструментів — і це цікава історія про те, як виглядає «чорний» VPN зсередини. Я натрапив на деталі операції проти First VPN Service — і там є кілька моментів, які мене реально здивували.First VPN понад 10 років тихо працював у тіні, 32 вузли в 27 країнах, реклама на російськомовних хакерських форумах і мінімальні ціни — від 2$ за день. За даними ФБР, через нього ходили щонайменше 25 банд програм-вимагачів, включно з Avaddon: розвідка в мережі, злами, крадіжка даних — усе це маскувалося під «звичайний» трафік. 😶‍🌫️Технічно це був дуже «просунутий» сервіс: VLESS + Reality, маскування під HTTPS, свій Jabber, оплата бітком і через тіньові платіжки — і все це під гаслом «Анонімність, Стабільність, Безпека». Мені здається, ліквідація First VPN — це удар по інфраструктурі, але попит на подібні сервіси нікуди не дінеться. 🤔 А ви логуєте й відслідковуєте підозрілий HTTPS-трафік у своїх мережах, чи це ще «біла пляма» у моніторингу? 🕵️🔗 Докладніше:https://cybersecurefox.com/uk/likvidatsiia-first-vpn-service#кібербезпека #vpn #ransomware #інфраструктура #мережа #українаCyberSecureFox

🚨 От це так поворот: одна VS Code-розширюха — і GitHub ловить витік з ≈3800 внутрішніх репозиторіїв. Я чесно не очікував, що саме екосистема плагінів так голосно вистрілить.Сценарій простий і страшний одночасно 💻: розробник ставить шкідливе розширення з маркетплейсу, а воно має майже повний доступ до машини — SSH-ключі, токени до хмари, приватні репозиторії, всі ці «дрібниці». Через один скомпрометований ноутбук зловмисники пролізли в тисячі реп, а потім, імовірно, виставили дані на продаж від $50k 🧵. GitHub каже, що постраждали лише внутрішні репи, але розслідування ще триває.Мені здається, ця історія чітко показує: робоча станція розробника — це новий прод 🧩. Якщо у вас в команді стоїть VS Code, я б уже зараз переглянув розширення, права доступу й ротацію ключів 🔐. А ви як ставитеся до плагінів — ставите все підряд чи тримаєте жорсткий «білий список»?🔗 Докладніше:https://cybersecurefox.com/uk/github-ataka-lantsiuh-postachannia-vscode-3800-repozytoriiv#кібербезпека #github #vscode #розробка #devsecops #інфобезпекаCyberSecureFox

🚧 Мені здається, ми потроху переходимо від «зробили ІІ — потім перевіримо» до режиму, коли агентів ганяють по безпеці ще до запуску в прод.Microsoft викотила два опенсорс-інструменти — RAMPART і Clarity. Перший — це ніби «юнт-тести» для ІІ-агентів 🧪: можна ганяти їх через міжпромптові інʼєкції, витоки даних і дивні регресії поведінки, вбудувавши все це у CI/CD. Він сидить поверх Pytest, тож якщо ви вже живете в Python-екосистемі — поріг входу низький, а тести перетворюються на живі сценарії атаки, які можна повторювати.Clarity мені нагадує впертого продуктового аналітика на стероїдах 🧠: ІІ-партнер, який «сперечається» з вами на етапі дизайну. Він змушує чітко зафіксувати, чому ви даєте агенту такий доступ до інструментів і даних, ще до того, як написано код ⚙️ — коли змінювати курс не так боляче.Мені подобається зсув від разових аудитів до безперервного процесу з відтворюваними інцидентами й перевірюваними фіксами. 🤔 Як вам така ідея: treat-и для ІІ-агентів як обовʼязкова частина пайплайна, а не опція «якось потім»?🔗 Докладніше:https://cybersecurefox.com/uk/microsoft-rampart-clarity-bezpeka-ii-agentiv#ai #безпека #розробка #microsoft #агенти #devopsCyberSecureFox

⚠️ Схоже, що ми зараз спостерігаємо одну з найцікавіших атак на ланцюг постачання за останній час. GitHub розслідує несанкціонований доступ до внутрішніх репозиторіїв, а паралельно група TeamPCP тихо проходиться по екосистемі.Мене особливо зачепила історія з офіційним Python-пакетом durabletask 1.4.1–1.4.3 🐍. Пакет від Microsoft, ~417k завантажень на місяць, а шкідливий код запускається просто під час імпорту і тягне інфостілер для Linux, який збирає хмарні ключі, токени, SSH, менеджери паролів ☁️. Будь-яку машину чи CI/CD, де це добро імпортувалося, реально треба вважати повністю скомпрометованими й рутувати всі секрети.Фішка в тому, що черв’як уміє сам поширюватися в AWS та Kubernetes, а C2-адресу зловмисники можуть «підсовувати» навіть через публічні коміти на GitHub 🔥. Я б на вашому місці прямо зараз перевірив залежності, заблокував домени з репорту та глянув на логи SSM/kubectl. А ви як ставитеся до таких supply chain-атак — це вже нова норма чи ми ще можемо встигнути підтягнути практики безпеки? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/github-durabletask-mini-shai-hulud-supply-chain#кібербезпека #devsecops #supplychain #python #github #cloudCyberSecureFox