⚠️ Уявіть: ви просто створюєте issue в публічному репо — і AI-агент сам витягує README з приватного репозиторію компанії й публікує його в коментарі. Без зламаних акаунтів, без доступу в організацію.Я натрапив на атаку GitLost на GitHub Agentic Workflows і це виглядає досить дико. Якщо агенту дали токен з правами читання всіх приватних репо, достатньо хитро сформулювати issue — і через непряму інʼєкцію промптів змусити його злити чутливі дані. Дослідники навіть обійшли захист GitHub, додавши одне невинне слово «Additionally» перед шкідливою інструкцією 🫠Що мене тут лякає найбільше: агент — це вже не чатик, а авторизований актор усередині вашої інфри з реальними правами. Маємо класичну «смертельну тріаду»: доступ до приватних даних, публічний вхід і канал для виводу назовні. Тому, якщо граєтесь із Agentic Workflows, я б жорстко обмежував токени одним репо, мінімізував публічні відповіді й додавав ручне «ок» перед тим, як агент щось постить ✅Мені здається, це вже не баг, а архітектурна проблема всіх AI-агентів із постійними ключами. А ви даєте своїм AI-інструментам доступ до приватних репозиторіїв чи ще притримуєтеся старого доброго «read-only і подалі від продакшену»? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/gitlost-vytik-pryvatnykh-repozytoriiv-cherez-github-agentic-workflows#cybersecurity #github #ai-bezpeka #devsecops #prompt-injectionCyberSecureFox
🕵️ Я сьогодні натрапив на історію, яка змушує ще раз подивитись на домашні роутери. У деяких моделях Tenda знайшли недокументований бекдор, який дає повний адмін-доступ без справжнього логіну й пароля.Фішка в тому, що в прошивку вшитий прихований акаунт rzadmin: веб-сервер просто порівнює введений пароль із «секретним» значенням у конфігу в чистому вигляді, і навіть не перевіряє ім’я користувача. Тобто будь-який логін + цей пароль = роль адміна. Ні в інтерфейсі, ні в доках про це ні слова — виглядає як навмисне рішення, а не баг ⚠️Уразливість вже має CVE-2026-11405, але патча від Tenda немає. Якщо у вас Tenda (FH1201, W15E, AC10/AC5/AC6 та подібні) — я б щонайменше вимкнув віддалене керування з інтернету і подумав про заміну роутера 🛡️ Мені здається дивним, що виробник навіть не відповів досліднику… а ви як ставитеся до таких «прихованих входів» від вендорів? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/bekdor-u-marshrutyzatorah-tenda-cve-2026-11405#кібербезпека #tenda #маршрутизатор #бекдор #інфобезпека #приватністьCyberSecureFox
🧨 Уявіть: держструктура в США віддала хакерам майже $1 млн — і ніхто не зашифрував жодного файла. Просто вкрали дані й сказали: або платите, або все зливаємо.Я натрапив на кейс групи Kairos: вони витягли з мережі понад 2 ТБ даних — від номерів соцстрахування до відбитків пальців і паспортів. Округ (схоже, це Union County в Огайо) називає це «рансомварем», але не було ні шифрування, ні ключів, лише шантаж публікацією.💰 Починали торг із $3 млн, жертва благала про $100k як «маленький округ з обмеженим бюджетом», а закінчили платежем у ~9,44 BTC (близько $1 млн). У відповідь Kairos видали файл «доказу видалення» — по суті, список назв файлів, який доводить тільки те, що дані в них колись були.Мені здається, ми вже живемо в епосі, де шифрувати нічого й не треба: достатньо вкрасти чутливі дані й натиснути на страх. 🔐 І тут MFA, сегментація доступів та моніторинг відтоків трафіку виглядають не «опцією», а мінімальною гігієною. А ви як вважаєте — влада мала платити, чи краще було б піти у відкриту й не вестися на такий шантаж? 🤯🔗 Докладніше:https://cybersecurefox.com/uk/kairos-1-mln-vykup-bez-shyfruvannia-ssha#кібербезпека #викуп #державні #сервіси #дані #хакери #mfaCyberSecureFox
⚠️ Сьогодні натрапив на історію, від якої в адмінів мали б трохи посивіти. Є нова діра в Linux-ядрі CVE-2026-46331, яка дозволяє звичайному користувачу стати root — і все це вже з робочим експлойтом на GitHub 🐧Суть: через баг в act_pedit ядро може переписати сторінковий кеш і підмінити в пам’яті setuid-бінарник (типу /bin/su). Файл на диску чистий, всі AIDE/Tripwire мовчать, а змінена версія вже запускається з правами root 🔥 Уразливі RHEL 8–10, Ubuntu 18.04–26.04, Debian 11–13 — особливо боляче для багатокористувацьких серверів, Kubernetes-вузлів і CI/CD.Що я б зробив прямо зараз: оновити ядро й перезавантажити. Якщо не можете — хоча б відріжте експлойту руки командою echo 'install actpedit /bin/true' | sudo tee /etc/modprobe.d/disable-actpedit.conf 🧩 (без ребуту) або вимкніть непривілейовані userns, якщо готові пожертвувати частиною контейнерів 🔒 Як вам така тенденція з черговими «dirty»-експлойтами — вже нова норма чи ми просто погано оновлюємось?🔗 Докладніше:https://cybersecurefox.com/uk/cve-2026-46331-vrazlyvist-yadra-linux-root#безпека #linux #devops #інфраструктура #kubernetes #sysadminCyberSecureFox
🔥 Сьогодні натрапив на дуже дивну історію з ядра Linux: вразливість DirtyClone (CVE-2026-43503) дозволяє стати root, не змінюючи файл на диску взагалі. Уявіть бінарник типу /usr/bin/su, який виглядає чистим для всіх перевірок — але в пам’яті він уже з бекдором.Суть у тому, що через трюк з мережевими пакетами та IPsec ядро плутає «оптимізацію» з реальною можливістю запису у сторінковий кеш 🐧. Файл на диску лишається незайманим, зміни живуть тільки в кеші ядра — після перезавантаження все «магічно» зникає, але root-з доступ уже отримано. Найбільше страждають багатокористувацькі сервери, Kubernetes-вузли, CI-раннери ⚠️.Патч уже в основній гілці й дистрибути почали викочувати оновлення 🔐. Якщо оновитися не можете прямо зараз — хоча б обмежте непривілейовані user namespaces і подумайте, чи вам точно потрібен IPsec/AFS на цьому хості 🛡️. Мені здається, серія DirtyFrag/DirtyClone — сигнал, що з «нульовим копіюванням» у мережевому стеку ще буде багато пригод; а ви вже перевірили свої ядра?🔗 Докладніше:https://cybersecurefox.com/uk/dirtyclone-cve-2026-43503-vrazlyvist-linux-yadro#linux #security #cve #devops #kubernetes #sysadminCyberSecureFox
⚠️ Оце так ланцюжок: одна npm-залежність — і у ворога ключі від усього вашого CI/CD. Я натрапив на нову хвилю атак Mini Shai-Hulud / Miasma / Hades — виглядає трохи моторошно, бо б’ють саме по розробниках.Скомпрометовано 23 npm-пакети (LeoPlatform, RStreams, деякі hexo/serverless-плагіни) + Go-модуль Verana Blockchain 🧪. Ціль — вкрасти облікові записи девів, GitHub-токени, AWS-ключі й далі розповзатися через npm, GitHub і CI/CD. Прикол у тому, що замість scripts у package.json зло ховається в binding.gyp, який запускає код під час інсталяції, обходячи більшість чекерів.Далі шкідник ставить Bun, запускає стілер і підсуває в репо GitHub Actions-воркфлоу «Run Copilot», який тягне секрети з раннера 🛡️. Злиті дані летять у публічні репи з описом "Alright Lets See If This Works"; маркер "RevokeAndItGoesKaboom" вже світився у компрометації codfish/semantic-release-action — схоже на один і той самий кластер. Якщо у вас LeoPlatform/RStreams/serverless-конфіги, я б дуже не радив ігнорувати: перевірити версії, відкрутити підозрілі, зробити повну ротацію токенів 🔑 і пропіняти всі Actions на хеші. А ви вже фіксуєте GitHub Actions на коміт-хеші чи досі живете на тегах? 🙂🔗 Докладніше:https://cybersecurefox.com/uk/shai-hulud-miasma-ataka-na-lantsiug-postachannya#кібербезпека #devsecops #supplychain #github #nodejs #goCyberSecureFox
🚨 Уявіть, ви спите, а вашу «розумну» камеру чи роутер тихенько чистить канадська розвідка — цілком легально. Саме такий прецедент я щойно розкопав, і він дуже цікаво перевертає тему кібербезпеки вдома.Федеральний суд Канади дав CSIS ордер на віддалене втручання в домашні маршрутизатори, IoT-девайси та сервери, щоб знищити два ботнети, пов’язані з іноземними державами 🛰️. Агентам дозволили міняти, ламати й видаляти дані ботнету на чужих пристроях — формально це те саме, що комп’ютерне шкідництво, але з печаткою суду. Суд підкреслив: ціллю були пристрої, а не люди, не збирали особисті дані й не слухали трафік.Мені здається важливим інший момент: власники більшості цих девайсів, швидше за все, навіть не знали, що їхні камери, дзвінки Ring і роутери працювали як маскувальний шар для розвідки інших країн 🖥️. І тут держава ніби «прибралася за вас», але вразливості нікуди не зникли — старий роутер без оновлень, стандартний пароль і відкритий адмін-інтерфейс, як були, так і лишилися 🔐.Я для себе роблю висновок: або ми самі наводимо лад у своїх мережах, або це робитимуть за нас спецслужби, ще й не факт, що завжди так акуратно. А ви як ставитеся до такого «примусового прибирання» на чужих пристроях: окей заради безпеки чи вже занадто? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/federalnyi-sud-kanady-csis-zneshkodzhuye-botnety#кібербезпека #канади #розвідка #ботнет #iot #приватністьCyberSecureFox
🔍 Натрапив на цікаву історію: Kaspersky зафіксували тиху атаку через WhatsApp, і вона виглядає серйозніше, ніж “чергова вірусна розсилка”. Заражають не через лінки, а через скриптові файли .vbs, які приходять у приватні чати, маскуючись під «Financial Report» чи «Account Statement». Схема проста й підла: спочатку зловмисники ламають чийсь акаунт, а далі з нього шлють файли всім у контактах 😐. На Desktop-версії WhatsApp ці скрипти запускаються майже «зсередини» застосунку, тягнуть з інтернету інші модулі й врешті ставлять легітимний засіб віддаленого доступу ManageEngine RMM Central, який антивіруси часто сприймають як нормальний софт. Мені здається, зараз головне правило таке: ніколи не відкривати .vbs, .js, .bat та інші “дивні” вкладення з месенджерів, навіть якщо це колега чи друг. Краще перепитайте іншим каналом, чи людина справді щось надсилала, а в компаніях варто прямо заблокувати запуск таких файлів 🛑 і перевірити, чи не з’явилися невідомі RMM-агенти. Як ви до цього ставитеся: користуєтеся WhatsApp у робочих процесах чи для таких речей у вас є окремі, більш контрольовані інструменти? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/whatsapp-vbscript-rmm-kampaniiaCyberSecureFox
⚠️ Сьогодні натрапив на історію, від якої в мене реально стиснулося серце за всіх любителів «красивих вкладок».Дослідники Socket викопали 152 розширення в Chrome Web Store, які маскувалися під живі шпалери для нових вкладок. Аніме, ігрові герої, тачки, зірки – усе, що виглядає максимально безпечним 💻. В описі – «ми нічого не збираємо», а в політиці конфіденційності чорним по білому: IP, провайдер, кліки, джерела трафіку і передавання всього цього рекламним партнерам. Фішка в тому, що ці розширення ще й малювали фейковий трафік: при встановленні й видаленні самі відкривали сторінки з мітками, ніби це ви прийшли з пошуку Google. По факту – чисте рекламне шахрайство 🧩. І все це вже встановили понад 105 000 разів.Якщо ви ставили собі розширення з живими шпалерами/аніме/ігровими персонажами для нової вкладки – дуже раджу зараз же відкрити chrome://extensions/ 🔍, пройтися списком і вичистити все підозріле 🧹. Мені здається, ера «та поставлю, потім видалю» для браузерних розширень давно закінчилась. А ви як ставитеся до таких прикрас для браузера – ставите сміливо чи мінімізуєте все до базового набору? 😬🔗 Докладніше:https://cybersecurefox.com/uk/152-zlovmisni-rozshyrennia-chrome-zhyvi-shpalery#кібербезпека #chrome #браузер #розширення #приватність #рекламаCyberSecureFox
⚠️ Схоже, цей тиждень знову пройде під знаком оновлень: у NGINX піднялися одразу дві критичні вразливості з CVSS 9.2. І так, вони дають шанс на remote code execution без логіну, якщо співпадуть певні налаштування 😅Я помітив, що перша дира стосується HTTP/3 QUIC (ngxhttpv3module): якщо ви його вмикали, зловмисник може зловити use-after-free й спробувати виконати код, особливо якщо ASLR вимкнений. Друга — про HTTP/2-проксі (proxyhttpversion 2 / grpcpass), ігнорування невалідних заголовків і дуже великі largeclientheader_buffers 🧩F5 вже викотили патчі: для NGINX Open Source варто йти на 1.31.2 (mainline) або 1.30.3 (stable), Plus — на 37.0.2.1 / R36 P6, оновити Ingress Controller / Gateway Fabric, якщо у вас Kubernetes ☁️ Якщо апдейт не виходить прямо зараз — відключаємо HTTP/3, прибираємо ignoreinvalidheaders off і зменшуємо буфери менше 2 МБ 🛡️Мені здається, це хороший привід зробити міні-аудит конфігу саме зараз, особливо якщо ваш NGINX стоїть на вході в кластер чи корпоративну мережу. А ви вже дивилися, чи не крутиться у вас десь HTTP/3/HTTP‑2 з «тюненими» хедерами? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/krytychni-vrazlyvosti-nginx-f5-cve-2026-42530-42055#безпека #nginx #devops #kubernetes #cve #оновленняCyberSecureFox