home.social

#trufflehog — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #trufflehog, aggregated by home.social.

  1. #Breaking There's an active nodejs supply chain attack going around.

    From the looks of it many of these compromised packages have been mitigated but quite a few have not.

    helixguard.ai/blog/malicious-s

    #nodejs #cybersecurity #aws #github #npm #trufflehog #go #cyberattack #ShaiHulud #javascript #deno #browser #Sha1Hulud

  2. #Breaking There's an active nodejs supply chain attack going around.

    From the looks of it many of these compromised packages have been mitigated but quite a few have not.

    helixguard.ai/blog/malicious-s

    #nodejs #cybersecurity #aws #github #npm #trufflehog #go #cyberattack #ShaiHulud #javascript #deno #browser #Sha1Hulud

  3. #Breaking There's an active nodejs supply chain attack going around.

    From the looks of it many of these compromised packages have been mitigated but quite a few have not.

    helixguard.ai/blog/malicious-s

    #nodejs #cybersecurity #aws #github #npm #trufflehog #go #cyberattack #ShaiHulud #javascript #deno #browser #Sha1Hulud

  4. 🐒 Oh joy, another day, another NPM catastrophe: 40 packages compromised because apparently "sophisticated" now means "zero effort required." 🎉 The #hackers used #TruffleHog to snatch credentials—because why bother with real hacking skills when you can just piggyback off poorly-secured packages? 🐷💻
    stepsecurity.io/blog/ctrl-tiny #NPMcatastrophe #compromisedpackages #cybersecurity #HackerNews #ngated

  5. 🐒 Oh joy, another day, another NPM catastrophe: 40 packages compromised because apparently "sophisticated" now means "zero effort required." 🎉 The #hackers used #TruffleHog to snatch credentials—because why bother with real hacking skills when you can just piggyback off poorly-secured packages? 🐷💻
    stepsecurity.io/blog/ctrl-tiny #NPMcatastrophe #compromisedpackages #cybersecurity #HackerNews #ngated

  6. 🐒 Oh joy, another day, another NPM catastrophe: 40 packages compromised because apparently "sophisticated" now means "zero effort required." 🎉 The #hackers used #TruffleHog to snatch credentials—because why bother with real hacking skills when you can just piggyback off poorly-secured packages? 🐷💻
    stepsecurity.io/blog/ctrl-tiny #NPMcatastrophe #compromisedpackages #cybersecurity #HackerNews #ngated

  7. 🐒 Oh joy, another day, another NPM catastrophe: 40 packages compromised because apparently "sophisticated" now means "zero effort required." 🎉 The #hackers used #TruffleHog to snatch credentials—because why bother with real hacking skills when you can just piggyback off poorly-secured packages? 🐷💻
    stepsecurity.io/blog/ctrl-tiny #NPMcatastrophe #compromisedpackages #cybersecurity #HackerNews #ngated

  8. 🐒 Oh joy, another day, another NPM catastrophe: 40 packages compromised because apparently "sophisticated" now means "zero effort required." 🎉 The #hackers used #TruffleHog to snatch credentials—because why bother with real hacking skills when you can just piggyback off poorly-secured packages? 🐷💻
    stepsecurity.io/blog/ctrl-tiny #NPMcatastrophe #compromisedpackages #cybersecurity #HackerNews #ngated

  9. The newest wave of supply chain attacks hit #npm

    socket.dev/blog/tinycolor-supp

    This time #trufflehog is used to steal sensitive information.

    Some packages are marked as deprecated and have been archived on GitHub (for years).

    cc @GossiTheDog

  10. The newest wave of supply chain attacks hit #npm

    socket.dev/blog/tinycolor-supp

    This time #trufflehog is used to steal sensitive information.

    Some packages are marked as deprecated and have been archived on GitHub (for years).

    cc @GossiTheDog

  11. The newest wave of supply chain attacks hit #npm

    socket.dev/blog/tinycolor-supp

    This time #trufflehog is used to steal sensitive information.

    Some packages are marked as deprecated and have been archived on GitHub (for years).

    cc @GossiTheDog

  12. The newest wave of supply chain attacks hit #npm

    socket.dev/blog/tinycolor-supp

    This time #trufflehog is used to steal sensitive information.

    Some packages are marked as deprecated and have been archived on GitHub (for years).

    cc @GossiTheDog

  13. The newest wave of supply chain attacks hit #npm

    socket.dev/blog/tinycolor-supp

    This time #trufflehog is used to steal sensitive information.

    Some packages are marked as deprecated and have been archived on GitHub (for years).

    cc @GossiTheDog

  14. [Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов

    В прошлом посте я рассказал, как заработал $64 000, восстанавливая удаленные файлы в публичных репозиториях на GitHub. В этот раз я пошел еще дальше: исследовал все коммиты за последние пять лет, «стертые» разработчиками через git push --force . Спойлер: GitHub помнит их все. В этой статье покажу, как я вычислял такие коммиты с помощью GitHub Archive и вытаскивал из них секреты. А еще поделюсь open-source инструментом, который позволит вам самостоятельно искать подобные утечки.

    habr.com/ru/companies/bastion/

    #багбаунти_на_github #trufflehog #утечка_секретов #инструменты_багхантера #коммиты_Git #висячие_коммиты #dangling_commits #сканирование_репозиториев #история_комитов #Force_Push_Scanner

  15. [Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов

    В прошлом посте я рассказал, как заработал $64 000, восстанавливая удаленные файлы в публичных репозиториях на GitHub. В этот раз я пошел еще дальше: исследовал все коммиты за последние пять лет, «стертые» разработчиками через git push --force . Спойлер: GitHub помнит их все. В этой статье покажу, как я вычислял такие коммиты с помощью GitHub Archive и вытаскивал из них секреты. А еще поделюсь open-source инструментом, который позволит вам самостоятельно искать подобные утечки.

    habr.com/ru/companies/bastion/

    #багбаунти_на_github #trufflehog #утечка_секретов #инструменты_багхантера #коммиты_Git #висячие_коммиты #dangling_commits #сканирование_репозиториев #история_комитов #Force_Push_Scanner

  16. [Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов

    В прошлом посте я рассказал, как заработал $64 000, восстанавливая удаленные файлы в публичных репозиториях на GitHub. В этот раз я пошел еще дальше: исследовал все коммиты за последние пять лет, «стертые» разработчиками через git push --force . Спойлер: GitHub помнит их все. В этой статье покажу, как я вычислял такие коммиты с помощью GitHub Archive и вытаскивал из них секреты. А еще поделюсь open-source инструментом, который позволит вам самостоятельно искать подобные утечки.

    habr.com/ru/companies/bastion/

    #багбаунти_на_github #trufflehog #утечка_секретов #инструменты_багхантера #коммиты_Git #висячие_коммиты #dangling_commits #сканирование_репозиториев #история_комитов #Force_Push_Scanner

  17. [Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов

    В прошлом посте я рассказал, как заработал $64 000, восстанавливая удаленные файлы в публичных репозиториях на GitHub. В этот раз я пошел еще дальше: исследовал все коммиты за последние пять лет, «стертые» разработчиками через git push --force . Спойлер: GitHub помнит их все. В этой статье покажу, как я вычислял такие коммиты с помощью GitHub Archive и вытаскивал из них секреты. А еще поделюсь open-source инструментом, который позволит вам самостоятельно искать подобные утечки.

    habr.com/ru/companies/bastion/

    #багбаунти_на_github #trufflehog #утечка_секретов #инструменты_багхантера #коммиты_Git #висячие_коммиты #dangling_commits #сканирование_репозиториев #история_комитов #Force_Push_Scanner

  18. [Перевод] Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git

    Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты. В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

    habr.com/ru/companies/bastion/

    #удаленные_объекты_git #восстановление_файлов_в_git #bug_bounty #утечка_секретов #анализ_репозиториев #инструменты_багхантеров #багбаунти_на_GitHub #TruffleHog #сканирование_репозиториев #безопасность_github

  19. [Перевод] Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git

    Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты. В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

    habr.com/ru/companies/bastion/

    #удаленные_объекты_git #восстановление_файлов_в_git #bug_bounty #утечка_секретов #анализ_репозиториев #инструменты_багхантеров #багбаунти_на_GitHub #TruffleHog #сканирование_репозиториев #безопасность_github

  20. [Перевод] Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git

    Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты. В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

    habr.com/ru/companies/bastion/

    #удаленные_объекты_git #восстановление_файлов_в_git #bug_bounty #утечка_секретов #анализ_репозиториев #инструменты_багхантеров #багбаунти_на_GitHub #TruffleHog #сканирование_репозиториев #безопасность_github

  21. [Перевод] Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git

    Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты. В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

    habr.com/ru/companies/bastion/

    #удаленные_объекты_git #восстановление_файлов_в_git #bug_bounty #утечка_секретов #анализ_репозиториев #инструменты_багхантеров #багбаунти_на_GitHub #TruffleHog #сканирование_репозиториев #безопасность_github

  22. Поиск секретов в программном коде (по энтропии)

    Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.

    habr.com/ru/companies/globalsi

    #энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield

  23. Поиск секретов в программном коде (по энтропии)

    Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.

    habr.com/ru/companies/globalsi

    #энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield

  24. Поиск секретов в программном коде (по энтропии)

    Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.

    habr.com/ru/companies/globalsi

    #энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield

  25. Поиск секретов в программном коде (по энтропии)

    Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.

    habr.com/ru/companies/globalsi

    #энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield

  26. Поиск секретов в программном коде (по энтропии)

    Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.

    habr.com/ru/companies/globalsi

    #энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield

  27. Поиск секретов в программном коде (по энтропии)

    Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.

    habr.com/ru/companies/globalsi

    #энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield

  28. Поиск секретов в программном коде (по энтропии)

    Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.

    habr.com/ru/companies/globalsi

    #энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield

  29. Поиск секретов в программном коде (по энтропии)

    Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.

    habr.com/ru/companies/globalsi

    #энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield