Взломаны npm-пакеты, которые еженедельно загружают более 2,6 млрд раз
Tue, 09 Sep 2025 08:30:37 +0000
Исследователи предупреждают о крупнейшей в истории атаке на цепочку поставок. Злоумышленники внедрили малварь в популярнейшие npm-пакеты, насчитывающие более 2,6 миллиарда еженедельных загрузок (включая такие библиотеки JavaScript, как chalk и strip-ansi). Ради этой атаки хакеры скомпрометировали аккаунт мейнтейнера с помощью фишинговой атаки.
Tue, 09 Sep 2025 08:30:37 +0000
Исследователи предупреждают о крупнейшей в истории атаке на цепочку поставок. Злоумышленники внедрили малварь в популярнейшие npm-пакеты, насчитывающие более 2,6 миллиарда еженедельных загрузок (включая такие библиотеки JavaScript, как chalk и strip-ansi). Ради этой атаки хакеры скомпрометировали аккаунт мейнтейнера с помощью фишинговой атаки.
Google может сделать ИИ-режим в поиске доступным по умолчанию
Mon, 08 Sep 2025 17:30:03 +0000
Компания Google планирует упростить пользователям доступ к ИИ-режиму, позволив устанавливать его в поиске по умолчанию (вместо традиционных ссылок).
Mon, 08 Sep 2025 17:30:03 +0000
Компания Google планирует упростить пользователям доступ к ИИ-режиму, позволив устанавливать его в поиске по умолчанию (вместо традиционных ссылок).
В роутерах TP-Link нашли неисправленную уязвимость
Mon, 08 Sep 2025 15:30:29 +0000
Компания TP-Link подтвердила существование неисправленной 0-day уязвимости, затрагивающей несколько моделей роутеров. В компании сообщили, что уже занимаются изучением проблемы и готовят патчи.
Mon, 08 Sep 2025 15:30:29 +0000
Компания TP-Link подтвердила существование неисправленной 0-day уязвимости, затрагивающей несколько моделей роутеров. В компании сообщили, что уже занимаются изучением проблемы и готовят патчи.
HTB Environment. Манипулируем переменными окружения при атаке на Linux
Mon, 08 Sep 2025 13:30:13 +0000
Для подписчиков
Сегодня я покажу, как можно повысить привилегии в Linux, используя настройку env_keep для sudo. Чтобы подобраться к ОС, нам сначала понадобится проэксплуатировать баг CVE-2024-52301 во фреймворке Laravel, обойти авторизацию и через функцию загрузки файла добавить веб‑шелл.
Mon, 08 Sep 2025 13:30:13 +0000
Для подписчиков
Сегодня я покажу, как можно повысить привилегии в Linux, используя настройку env_keep для sudo. Чтобы подобраться к ОС, нам сначала понадобится проэксплуатировать баг CVE-2024-52301 во фреймворке Laravel, обойти авторизацию и через функцию загрузки файла добавить веб‑шелл.
ИИ-шифровальщик PromptLock оказался исследовательским проектом
Mon, 08 Sep 2025 12:30:38 +0000
Выяснилось, что обнаруженный в прошлом месяце специалистами компании ESET ИИ-вымогатель PromptLock является академическим исследованием группы ученых из Нью-Йоркского университета.
Mon, 08 Sep 2025 12:30:38 +0000
Выяснилось, что обнаруженный в прошлом месяце специалистами компании ESET ИИ-вымогатель PromptLock является академическим исследованием группы ученых из Нью-Йоркского университета.
Правоохранители закрыли пиратскую стриминговую сеть Streameast
Mon, 08 Sep 2025 10:30:14 +0000
Египетские власти и Альянс творчества и развлечений (Alliance for Creativity and Entertainment, ACE) сообщают, что закрыли Streameast — крупнейшую в мире нелегальную стриминговую сеть спортивных трансляций. Арестованы двое предполагаемых операторов платформы.
Mon, 08 Sep 2025 10:30:14 +0000
Египетские власти и Альянс творчества и развлечений (Alliance for Creativity and Entertainment, ACE) сообщают, что закрыли Streameast — крупнейшую в мире нелегальную стриминговую сеть спортивных трансляций. Арестованы двое предполагаемых операторов платформы.
Apple предлагает исследователям протестировать безопасность iPhone
Mon, 08 Sep 2025 08:30:02 +0000
Компания Apple объявила о начале приема заявок на участие в программе Security Research Device Program 2026 года. White hat эксперты, заинтересованные в получении iPhone, специально настроенного для ИБ-исследований, могут подать заявку до 31 октября 2025 года.
Mon, 08 Sep 2025 08:30:02 +0000
Компания Apple объявила о начале приема заявок на участие в программе Security Research Device Program 2026 года. White hat эксперты, заинтересованные в получении iPhone, специально настроенного для ИБ-исследований, могут подать заявку до 31 октября 2025 года.
13 сентября в Москве пройдет FestTech — открытый фестиваль МФТИ
Mon, 08 Sep 2025 07:30:46 +0000
13 сентября на площадке музея «АТОМ» на ВДНХ состоится FestTech — открытый фестиваль МФТИ, посвященный науке, технологиям и юмору. Мероприятие проводится в пятый раз и объединяет любителей футуристических идей, адептов научной картины мира и мастеров критического мышления.
Mon, 08 Sep 2025 07:30:46 +0000
13 сентября на площадке музея «АТОМ» на ВДНХ состоится FestTech — открытый фестиваль МФТИ, посвященный науке, технологиям и юмору. Мероприятие проводится в пятый раз и объединяет любителей футуристических идей, адептов научной картины мира и мастеров критического мышления.
Семь лет истории в трех томах. Спецвыпуски «Хакера» в продаже
Fri, 05 Sep 2025 19:30:06 +0000
Все три бумажных спецвыпуска «Хакера» доступны для заказа. В них мы собрали лучшие статьи за 2015–2021 годы с комментариями авторов и редакторов. Тиражи ограничены, так что сейчас у тебя есть отличная возможность пополнить архив, начать коллекцию или найти крутой подарок для друзей и коллег.
Fri, 05 Sep 2025 19:30:06 +0000
Все три бумажных спецвыпуска «Хакера» доступны для заказа. В них мы собрали лучшие статьи за 2015–2021 годы с комментариями авторов и редакторов. Тиражи ограничены, так что сейчас у тебя есть отличная возможность пополнить архив, начать коллекцию или найти крутой подарок для друзей и коллег.
«Лаборатория Касперского» изучила хак-группы, атакующие Россию
Fri, 05 Sep 2025 19:00:41 +0000
Специалисты «Лаборатории Касперского» провели технический анализ активности 14 группировок, наиболее интенсивно атакующих организации в России, Беларуси и некоторых других странах. В их числе — хактивисты, которые появились в российском ландшафте угроз после 2022 года и публично называли себя «проукраинскими».
Fri, 05 Sep 2025 19:00:41 +0000
Специалисты «Лаборатории Касперского» провели технический анализ активности 14 группировок, наиболее интенсивно атакующих организации в России, Беларуси и некоторых других странах. В их числе — хактивисты, которые появились в российском ландшафте угроз после 2022 года и публично называли себя «проукраинскими».
Лучшее в «Хакере» за 2025 год. Предзаказы на бумажный спецвыпуск открыты!
Fri, 29 Aug 2025 17:30:39 +0000
В конце текущего года мы выпустим бумажный спецвыпуск, в который войдут лучшие статьи «Хакера» за 2025 год. Не упусти момент: ты можешь оказаться среди первых обладателей нового коллекционного сборника. Ранние предварительные заказы по специальной цене уже открыты!
Fri, 29 Aug 2025 17:30:39 +0000
В конце текущего года мы выпустим бумажный спецвыпуск, в который войдут лучшие статьи «Хакера» за 2025 год. Не упусти момент: ты можешь оказаться среди первых обладателей нового коллекционного сборника. Ранние предварительные заказы по специальной цене уже открыты!
Positive Technologies: атаки через GitHub и GitLab достигли рекордного уровня
Fri, 29 Aug 2025 16:30:44 +0000
Размещая фальшивые проекты на популярных платформах для разработчиков (GitHub и GitLab), злоумышленники обманом заставляют пользователей запускать вредоносные полезные нагрузки, отвечающие за извлечение дополнительных компонентов из контролируемого хакерами репозитория. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
Fri, 29 Aug 2025 16:30:44 +0000
Размещая фальшивые проекты на популярных платформах для разработчиков (GitHub и GitLab), злоумышленники обманом заставляют пользователей запускать вредоносные полезные нагрузки, отвечающие за извлечение дополнительных компонентов из контролируемого хакерами репозитория. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
Йон фон Течнер высказался против ИИ в браузерах
Fri, 29 Aug 2025 15:30:35 +0000
Йон фон Течнер (Jon von Tetzchner), глава норвежской компании Vivaldi Technologies, которая разрабатывает одноименный браузер, поделился своими мыслями по вопросу интеграции ИИ в браузеры. По мнению фон Течнера, попытки индустрии интегрировать ИИ-модели с веб-серфингом зашли слишком далеко.
Fri, 29 Aug 2025 15:30:35 +0000
Йон фон Течнер (Jon von Tetzchner), глава норвежской компании Vivaldi Technologies, которая разрабатывает одноименный браузер, поделился своими мыслями по вопросу интеграции ИИ в браузеры. По мнению фон Течнера, попытки индустрии интегрировать ИИ-модели с веб-серфингом зашли слишком далеко.
Бесконечный тупняк. Колонка главреда
Fri, 29 Aug 2025 14:30:48 +0000
Говорят, эволюция «изобретала» краба как минимум пять раз: то есть пять разных видов независимо эволюционировали в нечто вроде краба. Ученые называют это карцинизацией. Та же история произошла с соцсетями, только превращаются они, увы, не в краба, а в TikTok.
Fri, 29 Aug 2025 14:30:48 +0000
Говорят, эволюция «изобретала» краба как минимум пять раз: то есть пять разных видов независимо эволюционировали в нечто вроде краба. Ученые называют это карцинизацией. Та же история произошла с соцсетями, только превращаются они, увы, не в краба, а в TikTok.
MEGANews. Cамые важные события в мире инфосека за август
Fri, 29 Aug 2025 13:30:41 +0000
В этом месяце: всех разработчиков приложений для Android обяжут проходить верификацию, Роскомнадзор ограничил звонки в WhatsApp и Telegram, обновления Windows вызвали проблемы в работе SSD и HDD, Flipper Zero снова попытались связать с автоугонами, разработчики Max заверили, что мессенджер не использует камеру в фоновом режиме, а также другие события ушедшего августа.
Fri, 29 Aug 2025 13:30:41 +0000
В этом месяце: всех разработчиков приложений для Android обяжут проходить верификацию, Роскомнадзор ограничил звонки в WhatsApp и Telegram, обновления Windows вызвали проблемы в работе SSD и HDD, Flipper Zero снова попытались связать с автоугонами, разработчики Max заверили, что мессенджер не использует камеру в фоновом режиме, а также другие события ушедшего августа.
Twitch оштрафовали на 61 млн рублей
Fri, 29 Aug 2025 12:35:25 +0000
На этой неделе мировой судья Таганского района Москвы признал сервис Twitch виновным в «неисполнение обязанностей, предусмотренных законодательством о деятельности иностранных лиц в информационно-телекоммуникационной сети интернет на территории РФ».
Fri, 29 Aug 2025 12:35:25 +0000
На этой неделе мировой судья Таганского района Москвы признал сервис Twitch виновным в «неисполнение обязанностей, предусмотренных законодательством о деятельности иностранных лиц в информационно-телекоммуникационной сети интернет на территории РФ».
Предложение Минцифры сделает нормальную работу «Хакера» невозможной
Fri, 29 Aug 2025 11:00:50 +0000
В Минцифры РФ предложили пакет мер по борьбе с кибермошенничеством. Среди них — запрет на распространение информации, связанной с практикой ИБ. В случае вступления этих мер в силу более половины статей «Хакера» окажется вне закона. Подписчики потеряют к ним доступ, и новые материалы на эту тему появляться не будут. Архивы PDF нам тоже придется убрать.
Fri, 29 Aug 2025 11:00:50 +0000
В Минцифры РФ предложили пакет мер по борьбе с кибермошенничеством. Среди них — запрет на распространение информации, связанной с практикой ИБ. В случае вступления этих мер в силу более половины статей «Хакера» окажется вне закона. Подписчики потеряют к ним доступ, и новые материалы на эту тему появляться не будут. Архивы PDF нам тоже придется убрать.
Правоохранители закрыли сервис для создания фальшивых личностей VerifTools
Fri, 29 Aug 2025 10:30:05 +0000
ФБР и голландская полиция сообщают о закрытии маркетплейса VerifTools, специализировавшегося на создании поддельных документов. Правоохранители конфисковали серверы ресурса, находившиеся в Амстердаме.
Fri, 29 Aug 2025 10:30:05 +0000
ФБР и голландская полиция сообщают о закрытии маркетплейса VerifTools, специализировавшегося на создании поддельных документов. Правоохранители конфисковали серверы ресурса, находившиеся в Амстердаме.
NX стал жертвой атаки на цепочку поставок. В итоге хакеры похитили тысячи секретов
Fri, 29 Aug 2025 08:30:28 +0000
Мейнтейнеры NX предупредили пользователей об атаке на цепочку поставок. Компрометация токена одного из разработчиков позволила злоумышленникам опубликовать вредоносные версии популярного npm-пакета и других инструментов, а затем похитить данные пользователей.
Fri, 29 Aug 2025 08:30:28 +0000
Мейнтейнеры NX предупредили пользователей об атаке на цепочку поставок. Компрометация токена одного из разработчиков позволила злоумышленникам опубликовать вредоносные версии популярного npm-пакета и других инструментов, а затем похитить данные пользователей.
«Яндекс» оштрафовали на 10 000 рублей за непредоставление ФСБ доступа к системе умного дома «Алиса»
Thu, 28 Aug 2025 20:02:29 +0000
СМИ сообщили, что мировой судья судебного участка № 425 московского района Хамовники наложил штраф в размере 10 000 рублей на компанию «Яндекс» за невыполнение предписания о предоставлении ФСБ доступа к интернет-ресурсу yandex[.]ru/alice/smart-home.
Thu, 28 Aug 2025 20:02:29 +0000
СМИ сообщили, что мировой судья судебного участка № 425 московского района Хамовники наложил штраф в размере 10 000 рублей на компанию «Яндекс» за невыполнение предписания о предоставлении ФСБ доступа к интернет-ресурсу yandex[.]ru/alice/smart-home.
Уязвимость в Tunnelblick могла использоваться даже после его удаления
Wed, 20 Aug 2025 08:30:55 +0000
Специалист Positive Technologies Егор Филатов обнаружил и помог устранить уязвимость в Tunnelblick (графический интерфейс для работы с OpenVPN). Проблема позволяла повысить привилегии в системе и похитить данные. Примечательно, что эксплуатировать ее можно было даже в случае неполного удаления приложения.
Wed, 20 Aug 2025 08:30:55 +0000
Специалист Positive Technologies Егор Филатов обнаружил и помог устранить уязвимость в Tunnelblick (графический интерфейс для работы с OpenVPN). Проблема позволяла повысить привилегии в системе и похитить данные. Примечательно, что эксплуатировать ее можно было даже в случае неполного удаления приложения.
У оператора вымогателя Zeppelin изъяли 2,8 млн долларов в криптовалюте
Tue, 19 Aug 2025 17:35:26 +0000
Министерство юстиции США сообщило о конфискации более 2,8 млн долларов в криптовалюте у предполагаемого оператора вымогательской малвари Zeppelin Яниса Александровича Антропенко.
Tue, 19 Aug 2025 17:35:26 +0000
Министерство юстиции США сообщило о конфискации более 2,8 млн долларов в криптовалюте у предполагаемого оператора вымогательской малвари Zeppelin Яниса Александровича Антропенко.
Обнаружена новая волна атак кибершпионской хак-группы PhantomCore
Tue, 19 Aug 2025 16:35:59 +0000
С мая по июль 2025 года специалисты Positive Technologies обнаружили в российских организациях более 180 зараженных систем. Вредоносная активность исходила от группировки PhantomCore и была направлена исключительно на российскую критически значимую инфраструктуру.
Tue, 19 Aug 2025 16:35:59 +0000
С мая по июль 2025 года специалисты Positive Technologies обнаружили в российских организациях более 180 зараженных систем. Вредоносная активность исходила от группировки PhantomCore и была направлена исключительно на российскую критически значимую инфраструктуру.
TETRA:BURST возвращается. Полицейские радиостанции снова уязвимы
Tue, 19 Aug 2025 13:30:59 +0000
Для подписчиков
В 2023 году группа исследователей выявила серию опасных уязвимостей в стандарте связи TETRA, который используют правоохранительные органы, военные и операторы критической инфраструктуры по всему миру. Теперь эти же специалисты пришли к выводу, что появившееся с тех пор сквозное шифрование имеет схожие проблемы, а связь по‑прежнему уязвима для перехвата.
Tue, 19 Aug 2025 13:30:59 +0000
Для подписчиков
В 2023 году группа исследователей выявила серию опасных уязвимостей в стандарте связи TETRA, который используют правоохранительные органы, военные и операторы критической инфраструктуры по всему миру. Теперь эти же специалисты пришли к выводу, что появившееся с тех пор сквозное шифрование имеет схожие проблемы, а связь по‑прежнему уязвима для перехвата.
Бэкдор PipeMagic снова активен и использует новые уязвимости
Tue, 19 Aug 2025 12:30:22 +0000
Эксперты «Лаборатории Касперского» и BI.ZONE предупредили об активности бэкдора PipeMagic. «Лаборатория Касперского» отмечает развитие вредоноса и ключевые изменения в тактиках его операторов, а BI.ZONE провела технический анализ уязвимости CVE-2025-29824, которую злоумышленники использовали в атаках.
Tue, 19 Aug 2025 12:30:22 +0000
Эксперты «Лаборатории Касперского» и BI.ZONE предупредили об активности бэкдора PipeMagic. «Лаборатория Касперского» отмечает развитие вредоноса и ключевые изменения в тактиках его операторов, а BI.ZONE провела технический анализ уязвимости CVE-2025-29824, которую злоумышленники использовали в атаках.
Фишеры используют символ «ん», чтобы обмануть пользователей
Tue, 19 Aug 2025 10:30:48 +0000
Злоумышленники используют символ Unicode «ん», взятый из японской хираганы, чтобы фишинговые ссылки выглядели как легитимные. Дело в том, что в некоторых системах «ん» может выглядеть как слеш, из-за чего фишинговый URL будет казаться легитимным.
Tue, 19 Aug 2025 10:30:48 +0000
Злоумышленники используют символ Unicode «ん», взятый из японской хираганы, чтобы фишинговые ссылки выглядели как легитимные. Дело в том, что в некоторых системах «ん» может выглядеть как слеш, из-за чего фишинговый URL будет казаться легитимным.
Бумажная версия «Хакеров.RU» доступна для заказа
Tue, 19 Aug 2025 09:30:56 +0000
В этом году мы выпустили печатную версию книги Валентина Холмогорова «Хакеры.RU» с черно-белыми иллюстрациями. Желающих взять в руки бумажную версию этой истории оказалось так много, что нам пришлось допечатать дополнительный тираж. Поэтому ты по-прежнему можешь приобрести физический экземпляр романа о свободе и времени, когда интернет казался бесконечным миром возможностей.
Tue, 19 Aug 2025 09:30:56 +0000
В этом году мы выпустили печатную версию книги Валентина Холмогорова «Хакеры.RU» с черно-белыми иллюстрациями. Желающих взять в руки бумажную версию этой истории оказалось так много, что нам пришлось допечатать дополнительный тираж. Поэтому ты по-прежнему можешь приобрести физический экземпляр романа о свободе и времени, когда интернет казался бесконечным миром возможностей.
Mozilla предупреждает: блокировщики рекламы могут стать незаконными в Германии
Tue, 19 Aug 2025 08:30:07 +0000
Представители Mozilla сообщают, что недавнее решение Федерального верховного суда Германии (BGH) возобновляет старую судебную тяжбу, связанную с тем, нарушают ли браузерные блокировщики рекламы авторские права. В организации опасаются, что потенциально это может привести к запрету подобных инструментов в стране.
Tue, 19 Aug 2025 08:30:07 +0000
Представители Mozilla сообщают, что недавнее решение Федерального верховного суда Германии (BGH) возобновляет старую судебную тяжбу, связанную с тем, нарушают ли браузерные блокировщики рекламы авторские права. В организации опасаются, что потенциально это может привести к запрету подобных инструментов в стране.
Разработчики мессенджера Max заявили, что он не использует камеру в фоновом режиме
Mon, 18 Aug 2025 18:40:10 +0000
Сегодня в социальных сетях появилась жалоба пользователя, который писал, что десктопная версия мессенджера Max вызывает срабатывания антивируса «Лаборатории Касперского». Защитное ПО предупреждало, что Max использует камеру даже в неактивном состоянии. Разработчики заверили, что Max не запрашивает доступ к камере и не использует ее без активности со стороны пользователя.
Mon, 18 Aug 2025 18:40:10 +0000
Сегодня в социальных сетях появилась жалоба пользователя, который писал, что десктопная версия мессенджера Max вызывает срабатывания антивируса «Лаборатории Касперского». Защитное ПО предупреждало, что Max использует камеру даже в неактивном состоянии. Разработчики заверили, что Max не запрашивает доступ к камере и не использует ее без активности со стороны пользователя.
APT-группировки стали чаще использовать фишинг
Mon, 18 Aug 2025 17:30:01 +0000
Во втором квартале 2025 года специалисты Positive Technologies зафиксировали рост активности киберпреступных групп и хактивистов в отношении российских организаций. В качестве первоначального вектора злоумышленники чаще всего использовали фишинговые письма, причем как в распространенных сценариях, так и в 0-day атаках.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
Mon, 18 Aug 2025 17:30:01 +0000
Во втором квартале 2025 года специалисты Positive Technologies зафиксировали рост активности киберпреступных групп и хактивистов в отношении российских организаций. В качестве первоначального вектора злоумышленники чаще всего использовали фишинговые письма, причем как в распространенных сценариях, так и в 0-day атаках.