Mastodawn

nullagent Nov 25

#Breaking There's an active nodejs supply chain attack going around.

From the looks of it many of these compromised packages have been mitigated but quite a few have not.

https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24

#nodejs #cybersecurity #aws #github #npm #trufflehog #go #cyberattack #ShaiHulud #javascript #deno #browser #Sha1Hulud

HelixGuard

Supply chain security, vulnerability intelligence, and malware detection.

RedPacket Security Oct 20

CVE Alert: CVE-2025-41390 - Truffle Security Co. - TruffleHog - https://www.redpacketsecurity.com/cve-alert-cve-2025-41390-truffle-security-co-trufflehog/

#OSINT #ThreatIntel #CyberSecurity #cve-2025-41390 #truffle-security-co #trufflehog

CVE Alert: CVE-2025-41390 - Truffle Security Co. - TruffleHog - RedPacket Security

An arbitrary code execution vulnerability exists in the git functionality of Truffle Security Co. TruffleHog 3.90.2. A specially crafted repository can lead

RedPacket Security

N-gated Hacker News Sep 16, 2025

🐒 Oh joy, another day, another NPM catastrophe: 40 packages compromised because apparently "sophisticated" now means "zero effort required." 🎉 The #hackers used #TruffleHog to snatch credentials—because why bother with real hacking skills when you can just piggyback off poorly-secured packages? 🐷💻
https://www.stepsecurity.io/blog/ctrl-tinycolor-and-40-npm-packages-compromised #NPMcatastrophe #compromisedpackages #cybersecurity #HackerNews #ngated

Shai-Hulud: Self-Replicating Worm Compromises 500+ NPM Packages - StepSecurity

The Shai-Hulud worm has infected over 500 NPM packages including @ctrl/tinycolor in an unprecedented self-propagating supply chain attack. The malware harvests AWS/GCP/Azure credentials using TruffleHog, establishes persistence through GitHub Actions backdoors, and automatically spreads to other maintainer packages - marking the first successful worm attack in the NPM ecosystem.

Show thread

Pontiff Fractal Tiam Sep 16, 2025

The newest wave of supply chain attacks hit #npm

https://socket.dev/blog/tinycolor-supply-chain-attack-affects-40-packages

This time #trufflehog is used to steal sensitive information.

Some packages are marked as deprecated and have been archived on GitHub (for years).

cc @GossiTheDog

Popular Tinycolor npm Package Compromised in Supply Chain At...

Malicious update to @ctrl/tinycolor on npm is part of a supply-chain attack hitting 40+ packages across maintainers

Socket

Habr Jul 15, 2025

[Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов

В прошлом посте я рассказал, как заработал $64 000, восстанавливая удаленные файлы в публичных репозиториях на GitHub. В этот раз я пошел еще дальше: исследовал все коммиты за последние пять лет, «стертые» разработчиками через git push --force . Спойлер: GitHub помнит их все. В этой статье покажу, как я вычислял такие коммиты с помощью GitHub Archive и вытаскивал из них секреты. А еще поделюсь open-source инструментом, который позволит вам самостоятельно искать подобные утечки.

https://habr.com/ru/companies/bastion/articles/926994/

#багбаунти_на_github #trufflehog #утечка_секретов #инструменты_багхантера #коммиты_Git #висячие_коммиты #dangling_commits #сканирование_репозиториев #история_комитов #Force_Push_Scanner

«Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов

Разработчики часто используют принудительные пуши ( git push --force ), чтобы переписать историю коммитов — например, когда случайно закоммитили секреты и хотят удалить их из репозитория. На...

Хабр

Habr Jun 10, 2025

[Перевод] Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git

Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты. В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

https://habr.com/ru/companies/bastion/articles/916752/

#удаленные_объекты_git #восстановление_файлов_в_git #bug_bounty #утечка_секретов #анализ_репозиториев #инструменты_багхантеров #багбаунти_на_GitHub #TruffleHog #сканирование_репозиториев #безопасность_github

Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git

TL;DR : я построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты. В каждом репозитории я восстанавливал удаленные файлы, находил...

Хабр

Show thread

Valentin B.

Sep 9, 2024

Guess I'll just do it myself then... https://github.com/trufflesecurity/trufflehog/pull/3278 #golang #trufflehog

fix(git): config normalization for git sources by beeb · Pull Request #3278 · trufflesecurity/trufflehog

Description: When normalizing the git source config, the base and head refs should be normalized to commit hashes, in case a branch or tag name was used. The resolveAndSetCommit function was return...

GitHub

Habr Aug 25, 2024

Поиск секретов в программном коде (по энтропии)

Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.

https://habr.com/ru/companies/globalsign/articles/838438/

#энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield

Поиск секретов в программном коде (по энтропии)

Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой...

Хабр

Habr Aug 16, 2024

Поиск секретов в программном коде (по энтропии)

Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.

https://habr.com/ru/companies/globalsign/articles/836622/

#энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield

Поиск секретов в программном коде (по энтропии)

Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой...

Хабр

Habr Nov 27, 2023

Как в Ozon следят за чувствительной информацией в логах и при чем тут Толкиен?

Летом 2023 года во время выступления на одной из ИБ-конференций представителю вендора задали вопрос: «А как бороться с секретами и другой чувствительной информацией в логах? Контролировать миллионы записей в сутки довольно трудно». К моему удивлению, вендор ответил, что на текущий момент в России нет таких решений. Удивился я потому, что мы уже отладили к тому времени инструмент для решения именно этой проблемы. Но давайте обо всем по порядку.

https://habr.com/ru/companies/ozontech/articles/776198/

#информационная_безопасность #ozon #ozon_tech #trufflehog #logging #security #infosec

Как в Ozon следят за чувствительной информацией в логах и при чем тут Толкиен?

Летом 2023 года во время выступления на одной из ИБ-конференций представителю вендора задали вопрос: «А как бороться с секретами и другой чувствительной информацией в логах? Контролировать...

Хабр