Форум информационной безопасности - Codeby.net

Ловушка для разработчика: как фейковые AI-инструменты крадут ваши ключи и секреты

Набрали в Google «скачать Claude Code» — и первые три ссылки ведут на дроппер Lumma Stealer. Поставили MCP-сервер из npm — а за ним стоит сеть фейковых GitHub-аккаунтов с накрученными звёздами.

В статье — разбор трёх реальных векторов атак на разработчиков: malvertising через рекламу AI-инструментов, supply chain через троянизированные npm/PyPI-пакеты и фейковые «утечки» Claude Code с инфостилером внутри. С полной MITRE ATT&CK-матрицей, YARA/Sigma-правилами и KQL-запросами, которые можно раскатить на EDR уже завтра.

Практический чек-лист защиты + готовые детект-правила для security-инженеров и пентестеров.

В HackerLab запускается сертификация. На текущий момент сертификат доступен участникам, успешно завершившим курс SQL Injection Master и сдавшим итоговый экзамен.

Экзамен представляет собой практическую эксплуатацию уязвимостей в изолированной инфраструктуре. Вы не отвечаете на вопросы - вы атакуете систему, находите уязвимости и шаг за шагом развиваете атаку.

Это не просто «галочка», а результат, подтверждённый практикой.

В честь запуска сертификации дарим промокод на скидку 20% для подписки PRO. Действует до 30 апреля: PRO20

Нажмите, чтобы раскрыть...

Подробности и программа курса

Linux post-exploitation давно живёт не на "чудо-обходах", а на штатной механике системы. `bash`, `systemd`, `cron`, `ssh-agent`, `procfs`, память процесса, eBPF - всё это выглядит нормально для хоста, и именно поэтому вокруг этих зон у EDR начинаются самые неприятные провалы в наблюдаемости.

Мы рассказали, почему Living off the Land на Linux до сих пор работает, где защита теряет уверенность, как начинают расходиться `bash_history`, журналы, временные метки и process telemetry, и почему продвинутая пост-эксплуатация всё чаще упирается не в "невидимость", а в доверенный контекст и глубину видимости сенсора.

Отдельно пройдём по самым неудобным зонам: `SSH_AUTH_SOCK`, `/proc/[pid]/mem`, eBPF, `cron`, `systemd`, `LD_PRELOAD`, SUID и fileless-логике. Без лишней воды, с упором на то, где на Linux реально ломается простая детекция и почему эту тему уже нельзя разбирать на уровне одного IOC или одного suspicious...

В этом материале разберём, как Kyverno встраивается в admission pipeline Kubernetes и где именно он становится последним фильтром между kubectl apply и etcd. Без абстракций - mutating и validating webhook'и, failurePolicy, background scan и реальные сценарии, где политика либо спасает кластер, либо валит тебе деплой в самый неподходящий момент.

Пройдёмся по production-настройке: Helm values, таймауты вебхуков, HA, отчёты, PolicyReport, mutate/generate/validate политики и типовые запреты вроде privileged, hostNetwork, :latest, отсутствующих requests/limits. С прицелом не на лабораторию, а на живой кластер, где у политик есть цена ошибки.

В финале сведём всё к практическому результату: как сделать так, чтобы Kyverno не был декоративным YAML над кластером, а реально держал дисциплину, помогал аудиту и ловил мусор ещё до того, как он доедет до production.

В этом материале разберём, почему CNI в Kubernetes - это не вспомогательная сеть, а часть доверенной базы кластера. Пройдём путь от kubelet и CNI-вызова до datapath в ядре, чтобы стало понятно, где именно рождаются задержки, дыры в сегментации и сетевые сбои.

По косточкам разложим Cilium и Calico: архитектуру агентов, eBPF и iptables dataplane, L3/L4 и L7-политики, Hubble, BGP, GlobalNetworkPolicy, особенности observability и поведение под реальной нагрузкой. Без маркетингового тумана - только то, что влияет на прод.

В финале сведём всё к практическому выбору: когда брать Cilium, когда Calico, где упрёшься в ядро, где - в BGP, а где - в командную зрелость. Плюс бенчмарки, миграция с rollback-планом и список граблей, которые обычно всплывают уже после запуска.

В этом материале разбирается PowerShell не как язык для админских скриптов, а как полноценный LOTL-инструмент постэксплуатации. От легитимности powershell.exe и работы с .NET до роли AMSI, CLM и Script Block Logging - без мифов и с нормальным разбором того, почему этот стек до сих пор остаётся рабочим полем и для атакующего, и для защитника.

По ходу статьи автор проходит по ключевым узлам современной PowerShell-эксплуатации: ограничения новых версий Windows, телеметрия Defender, логирование, работа в памяти, постэксплуатация в домене и персистентность. Материал строится вокруг практики и мышления оператора, а не вокруг набора разрозненных трюков.

В финале текст сводит всё к самому важному: что именно видит Blue Team, какие события и цепочки реально палят активность, где offensive-техники упираются в защиту и почему в 2026 году PowerShell - это уже не история про "запустил IEX и полетел", а про точность...

[sizer=4] SSRF давно перестал быть багом из учебных лабораторок, где сервер просто идёт на localhost. В современных API он прячется в webhook'ах, PDF-рендерах, загрузке SVG/XML, импорте по ссылке и любых функциях, где приложение само ходит по сети от имени пользователя.

В статье разберём, почему в облаке такой дефект быстро становится намного тяжелее: metadata endpoints, IAM-credentials, attached identity, IMDSv2, Metadata-Flavor: Google и реальные последствия для AWS, Google Cloud и Yandex Cloud. Покажем, как одна "безобидная" интеграция превращается в доступ к внутреннему контуру и облачной плоскости управления.

Отдельно пройдёмся по обходам фильтров, на которых ломаются даже зрелые системы: IP obfuscation, DNS rebinding, URL parsing inconsistencies, redirect chains и ошибки allowlist/blacklist-логики. А в финале соберём практическую защиту - от сетевой изоляции и metadata hardening до code review, Semgrep и безопасной...

Rate limiting часто воспринимают как простую галочку на API-шлюзе: поставили порог, начали возвращать 429 - значит защита есть. В статье разбираем, почему на практике всё ломается раньше: на прокси-заголовках, разных ключах агрегации, дорогих GraphQL-операциях и тяжёлых endpoint’ах, которые формально укладываются в лимит, но всё равно жгут ресурсы системы.

Ты увидишь, как на самом деле устроены fixed window, sliding window и token bucket, где они дают слабину и почему один счётчик почти никогда не спасает API в живой архитектуре. Отдельно разберём, как ломается логика лимита между edge, gateway и приложением, почему считать только по IP давно мало и как дорогие операции вообще выпадают из наивной модели “N запросов в минуту”.

Это практический материал для API-пентестеров, backend-разработчиков, DevSecOps и SRE. Покажем, как нормально проверять rate limiting без вредных сценариев, что фиксировать в отчёте и как...

Глобальный privacy compliance в 2026 году - это уже не “юридический хвост”, а часть продуктовой архитектуры
В статье разберём, как думать о GDPR, CCPA/CPRA и LGPD не как о трёх отдельных кошмарах для юристов, а как о единой инженерной задаче: построить слой комплаенса, который выдержит несколько юрисдикций сразу и не превратит продукт в свалку исключений и легаси-логики. В центре внимания - не только права субъектов данных, но и то, как всё это реально ложится на backend, consent flows, DSR automation и data architecture.

Покажем, где именно у этих законов совпадает ядро, а где начинается болезненная дельта
Вы увидите, как отличаются подходы к access, deletion, portability, consent, opt-in и opt-out, почему GDPR заставляет мыслить legal basis, CCPA - sale/share и GPC, а LGPD добавляет свои локальные основания и более короткие сроки ответа. Это как раз тот уровень, где архитектору уже...