☁️ Вышел первый по-настоящему удобный инструмент для облачной разведки в GCP, аналог BloodHound, но для Google Cloud - #GCP-Hound

Он собирает все проекты, сервисные аккаунты, роли и ресурсы, строит связи и находит пути эскалации прав. Экспортируется прямо в BloodHound, где можно визуализировать всю облачную инфраструктуру так же, как мы привыкли это делать с AD.

В отличие от универсальных тулз типа ScoutSuite или Prowler, GCP-Hound делает акцент не просто на misconfig, а именно на IAM-связи и возможные атакующие пути - то, чего до этого не хватало.

🔗 github.com/F41zK4r1m/GCP-Hound

🛡️ LastPass предупреждает о новой кампании подделки GitHub-ресурсов под бренд менеджера паролей.

Злоумышленники с появлением AI пытаются делать удивительные вещи, направленные на неумелых или неопытных людей, которые ищут в Google информацию о том как установить то или иное ПО. На деле жертве подсовывают скрипт, который скачивает и запускает инфостиллер Atomic Stealer (AMOS).

📌 Подробности в кейсе исследователя и блоге LastPass.
Зафиксированы и другие поддельные проекты под бренды финкомпаний, криптокошельков и AI-сервисов.

🔒 Скачивайте ПО только с официальных сайтов. Не копируйте команды из непроверенных источников - GitHub полон не только полезного кода, но и вирусов/троянов. Проверяйте исходники перед установкой.

📌 IoC: e52dd70113d1c6eb9a09eafa0a7e7bcf1da816849f47ebcdc66ec9671eb9b350 (Atomic Stealer)
+ 107 фейковых ссылок приведены в статье LastPass.

🔥 В Microsoft Entra (бывший Azure AD) вскрылась бомба уровня supply-chain:

Исследователь Dirk-jan нашел критический баг - устаревший Azure AD Graph API неправильно валидировал служебные Actor-tokens. В связке это позволяло любому, у кого был такой токен, эскалировать привилегии до Global Administrator в любом тенанте.

Что это значит простыми словами: потенциальный полный контроль над любым облачным окружением Entra ID (пользователи, почта, SharePoint, OneDrive, SSO, конфигурации). Microsoft уже отключает старый Graph и внедряет контрмеры, но для админов это сигнал тревоги.

✅ Что делать прямо сейчас:
1. Срочно убрать использование graph.windows.net (старый Graph API) → переход на Microsoft Graph.
2. Перепроверить сервис-принципалы и их права (`Directory.ReadWrite.All, Application.ReadWrite.All` и пр.) - минимизировать.
3. Включить Token Protection / Conditional Access для привязки токенов к устройствам.
4. Мониторить журналы: неожиданные S2S-запросы, массовые изменения ролей, аномальные выдачи Global Admin.
5. Ротировать ключи/секреты у SP и приложений.

📌 SOC чек: просканируйте за последние 30 дней все операции повышения ролей и сервисные токены. Любое «левое» назначение Global Admin = инцидент уровня P1.

Полный разбор: dirkjanm.io

🚨 Обновление: Supply-chain атака в NPM не остановилась.
Если раньше речь шла о ~40 пакетах, то сегодня исследователи фиксируют уже около 500 заражённых.

Вредонос работает как «червь» - крадет креды у разработчиков и автоматически публикует зараженные версии следующих пакетов.

⚠️ Рекомендация: приостановить blind-обновления зависимостей, проверить package-lock.json/pnpm-lock.yaml и ротацию токенов в CI/CD.

https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages