32258
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Обнаружены расширения VSCode, содержащие инфостилеры
На маркетплейсе Microsoft для Visual Studio Code нашли два вредоносных расширения, которые заражают машины разработчиков стилерами. Малварь умеет делать скриншоты, воровать пароли и криптокошельки, а еще перехватывать браузерные сессии.
https://xakep.ru/2025/12/10/vscode-stealer/
Поставщика Asus атаковали вымогатели. Хакеры заявляют, что украли 1 ТБ данных
Компания Asus сообщила, что один из ее поставщиков пострадал от хакерской атаки. При этом вымогательская группировка Everest заявила, что похитила терабайт данных сразу у трех компаний — Asus, Qualcomm и ArcSoft. По словам злоумышленников, утечка затрагивает не просто документы, а исходники ПО для камер смартфонов, ИИ-модели и внутренний софт.
https://xakep.ru/2025/12/09/asus-leak/
🎄 HackerLab и «Хакер» проведут новогодний CTF
С 21 по 30 декабря, совместно с HackerLab, мы запустим новогодний CTF в формате «задача дня»!
Каждый день в нашем боте будет появляться новый таск. Решил задачу — получил ключ. Чем больше ключей ты соберешь, тем выше шансы выиграть призы.
Как это работает:
❄️ 10 дней — 10 задач.
❄️ Каждая задача активна сутки, потом появляется следующая.
❄️ Решил задачу → забрал ключ 🗝.
❄️ 31 декабря — подведение итогов и розыгрыш призов через рандомайзер.
Что мы разыгрываем:
Деньги: 10 000 рублей.
Подписки: HackerLab Plus и Pro, годовая подписка на журнал «Хакер».
Мерч: футболки HackerLab, бумажная книга «Хакеры.РУ».
Обучение: 10 промокодов на скидку 10% на курсы Академии Кодебай.
➡️ Переходи в бота и лови первую задачу 21 декабря!
Реклама. ИП Попов Алексей Сергеевич. ИНН 312733955673.
Эксперты заметили, что стилер Lumma заразил устройство северокорейского хакера
Во время анализа логов стилера Lumma исследователи из компании Hudson Rock обнаружили, что вредонос заразил устройство северокорейского хакера, связанного с кражей криптовалюты на 1,4 млрд долларов с биржи Bybit. Вредонос раскрыл инструменты, инфраструктуру и ошибки в операционной безопасности атакующего.
https://xakep.ru/2025/12/09/apt-machine/
МВД сообщило о задержании разработчика и администратора малвари на базе NFCGate
Правоохранительные органы сообщают, что задержали разработчика и администратора панели управления неназванного вредоноса, построенного на основе опенсорсного инструмента NFCGate. С помощью такой NFC-малвари злоумышленники похитили у российских пользователей более 200 млн рублей.
https://xakep.ru/2025/12/08/nfcgate-arrest/
Терминал под контролем: защита от саботажа и утечек
🗓 10 декабря в 12:00 (МСК)
➡️ Регистрация
Терминалы ввода команд — один из самых мощных инструментов администрирования и одновременно источник критических рисков.
На вебинаре разберем, как контролировать действия привилегированных пользователей, предотвращать саботаж и утечки данных, а также выявлять аномалии до того, как они приведут к инциденту.
Что обсудим:
• Контроль действий пользователей в терминале
• Выявление неправомерных команд и скриптов
• Отслеживание изменений прав доступа
• Реакция на редактирование конфиденциальных файлов
• Анализ действий администраторов и поиск аномалий
• Ранжирование рисков по уровню угрозы
Спикер:
Максим Чеплиев — менеджер продукта Staffcop (входит в экосистему Контур)
Реклама. ООО "Экспо-Линк". ИНН 6670051499
ФБР предупреждает о росте количества виртуальных похищений
ФБР сообщает, что мошенники придумали новый способ обмана пользователей: преступники используют фотографии из соцсетей, обрабатывают их с помощью ИИ и применяют в схемах «виртуального похищения», требуя выкуп за якобы захваченных родственников. На самом деле людей, разумеется, не похищают.
https://xakep.ru/2025/12/08/virtual-kidnapping/
Минцифры еще раз расширило «белые списки»
Министерство цифрового развития, связи и массовых коммуникаций РФ сообщает, что дополнило перечень российских сервисов и сайтов, которые остаются доступными в периоды отключений мобильного интернета по соображениям безопасности.
https://xakep.ru/2025/12/08/whitelistv3/
Пора выбирать подарки: бумажные спецвыпуски «Хакера» в продаже
Конец года приближается быстрее, чем ты обновляешь ленту, а значит, самое время подумать о подарках. Первый бумажный спецвыпуск «Хакера» полностью распродан, но сборники с лучшими статьями 2017-2021 годов по-прежнему доступны для заказа. Если хочешь успеть положить под елку что-то крутое и редкое, советуем не затягивать с заказом: логистика в праздники работает медленнее обычного.
https://xakep.ru/2025/12/05/specials-paper/
Реклама. ИП Яковлева А.В. ИНН 503806735948. Erid: 2SDnjcpxuFd
Хостинг Aeza просить пользователей удалить VPN-серверы по требованию Роскомнадзора
Пользователи Aeza начали получать предупреждения о необходимости удаления с хостинга «сервисов, посредством которых обеспечивается доступ к информации или информационным ресурсам в сети интернет, доступ к которым ограничен на территории Российской Федерации». В противном случае компания обещает заблокировать пользователей через 24 часа.
https://xakep.ru/2025/12/05/aeza-vpn/
У компании Leroy Merlin произошла утечка данных
Французский ритейлер Leroy Merlin уведомил клиентов об утечке персональных данных, произошедшей в результате хакерской атаки. Сообщается, что инцидент затронул только пользователей из Франции.
https://xakep.ru/2025/12/05/leroy-merlin/
Ботнет Aisuru ответственен за DDoS-атаку мощностью 29,7 Тбит/с
Всего за три месяца ботнет Aisuru провел более 1300 DDoS-атак, а одна из них установила новый рекорд — ее пиковая мощность достигла 29,7 Тбит/с. По оценкам аналитиков Cloudflare, в распоряжении операторов ботнета находятся от одного до четырех миллионов зараженных устройств по всему миру. В основном это роутеры и IoT-устройства, которые были взломаны через известные…
https://xakep.ru/2025/12/05/aisuru-record/
Критические уязвимости в React и Next.js приводят к удаленному выполнению кода без аутентификации
В React обнаружили серьезную уязвимость CVE-2025-55182, получившую 10 баллов из 10 возможных по шкале CVSS. Она позволяет удаленно выполнить код на сервере без аутентификации. Проблема получила имя React2Shell и вызвала настоящую панику в индустрии, ведь под угрозой находятся миллионы ресурсов.
https://xakep.ru/2025/12/05/react2shell/
Роскомнадзор сообщил, что заблокировал FaceTime в России
Представители Роскомнадзора сообщили СМИ, что работа сервиса видеозвонков FaceTime ограничена в России. В ведомстве говорят, что причиной для блокировки стало использование FaceTime для организации терактов, вербовки исполнителей и мошенничества.
https://xakep.ru/2025/12/04/facetime-blocked/
Испарение SSD. Разоблачаем миф о потере данных при долгом хранении
Недавно сразу несколько сайтов «откопали стюардессу», выпустив статьи о том, что SSD теряют данные, если долго пролежат без питания. В этих текстах выдумки, городские легенды и просто недопонимание настолько тесно переплетены с реальностью, что неспециалисту разобраться становится тяжело. А вот специалистов такие тексты только бесят.
https://xakep.ru/2025/12/04/ssd-loosing-data/
Google добавляет новую защиту для агентного ИИ в Chrome
Разработчики Google объявили о запуске многоуровневой защиты для браузерных ИИ-агентов, которые скоро смогут самостоятельно работать в сети. Новая платформа включает изолированную модель-критика, ограничение доступа к веб-ресурсам и детектор вредоносных промптов.
https://xakep.ru/2025/12/09/agentic-browsing-protect/
«Лаборатория Касперского»: половина скомпрометированных в 2025 году паролей утекла повторно
Специалисты «Лаборатории Касперского» провели масштабный анализ крупных утечек паролей по всему миру за период с 2023 по 2025 годы. Результаты исследования показали тревожную тенденцию: пользователи продолжают использовать ненадежные пароли и годами не меняют их даже после компрометации.
https://xakep.ru/2025/12/09/passwords-leak/
Обратный enumeration. Изучаем атакующих по их трафику
В арсенале безопасников — множество инструментов для анализа сетевой активности и выявления атак, но иногда можно обойтись без них и получить не менее впечатляющие результаты. В этой статье мы разберем, как по одному лишь сетевому трафику восстановить портрет атакующего: понять, откуда он пришел, какой техникой пользуется и как ведет разведку.
https://xakep.ru/2025/12/09/attacker-enumeration/
ЕС оштрафовал социальную сеть X на 140 000 000 долларов
Еврокомиссия оштрафовала социальную сеть X на 120 млн евро (около 140 млн долларов США) за нарушение требований прозрачности по Digital Services Act (DSA). В частности, в ЕС сочли, что платформа Илона Маска вводит пользователей в заблуждение галочками верификации, имеет непрозрачную рекламную базу и затрудняет исследователям доступ к данным.
https://xakep.ru/2025/12/09/x-dsa/
Китайские хакеры уже эксплуатируют критический баг React2Shell
Всего через несколько часов после раскрытия информации о критической уязвимости React2Shell злоумышленники начали использовать проблему в атаках. Более того, уже подтверждены атаки на более чем 30 организаций из разных секторов, а количество уязвимых серверов, по оценкам исследователей, превышает 77 000.
https://xakep.ru/2025/12/08/react2shell-attacks/
HTB Editor. Эксплуатируем уязвимость в Netdata для повышения привилегий на сервере
В этот раз проэксплуатируем RCE в XWiki. Получив учетные данные системного пользователя, используем уязвимость типа RCE в Netdata и повысим привилегии до root.
https://xakep.ru/2025/12/08/htb-editor/
В Apache Tika исправлена критическая XXE-уязвимость
Разработчики предупреждают о критической уязвимости в Apache Tika. Уязвимость получила идентификатор CVE-2025-66516 и 10 баллов из 10 возможных по шкале CVSS. Баг позволяет осуществлять XXE-инъекции через специально подготовленные XFA-файлы внутри PDF.
https://xakep.ru/2025/12/08/tika-xxe/
На этой неделе пройдут международные CTF-соревнования по кибербезопасности Киберколизей IV
🕚 Когда: 13 декабря 2025 года в 10:00. Продолжительность 24 часа.
👥 Формат: Jeopardy (Classic) — участвуют команды до 5 человек.
🏆 Призы для команд-победителей:
1 место — 45 000 рублей;
2 место — 30 000 рублей;
3 место — 15 000 рублей;
4-10 места — электронный сертификат участника, подписка Plus на HackerLab.
Также первая тройка победителей получит 50% скидку на любой курс Академии Кодебай, месяц подписки PRO на HackerLab и скидку 50% на годовую подписку.
«Хакер» подарит командам из топ-3 годовую подписку на журнал и книгу Валентина Холмогорова «Хакеры.РУ». Команды, занявшие 4–10 места, получат в подарок подписку на месяц.
➡️ Подробности и регистрация команд: https://cybercoliseum.hackerlab.pro/.
Принять участие могут все желающие, независимо от уровня подготовки. Приглашай друзей, боритесь за победу вместе!
Реклама. ИП Попов Алексей Сергеевич. ИНН 312733955673.
Microsoft незаметно исправила 0-day-уязвимость, связанную с файлами LNK
Эксперты обнаружили, что летом 2025 года компания Microsoft закрыла опасную уязвимость в Windows, которую активно эксплуатировали как минимум 11 хакерских группировок — среди них северокорейские APT и крупные группы вроде Evil Corp. CVE-2025-9491 позволяла злоумышленникам скрывать вредоносные команды внутри файлов LNK и незаметно запускать малварь на скомпрометированном устройстве.
https://xakep.ru/2025/12/05/cve-2025-9491-2/
Мессенджер Max стал обязательным для входа в мобильные «Госуслуги»
Пользователи заметили, что после обновления в мобильном приложении «Госуслуг» для Android пропала кнопка «Пропустить» при авторизации, и для входа в систему требуется установка мессенджера Max. Представители «Минцифры» подтвердили, что ради борьбы с мошенничеством принято решение постепенно отказаться от подтверждения входа на портал через SMS.
https://xakep.ru/2025/12/05/gosuslugi-max/
Burp и Acunetix. Реализуем передачу таргетов на Jython #статьи #подписчикам
В статье расскажу, как загружать в Burp таргеты и найденные уязвимости из Acunetix. Покажу, как запустить новое сканирование в Acunetix из расширения Burp. Поделюсь лайфхаком, как находить недокументированные методы в Acunetix API. На выходе у тебя получится полноценное расширение, обеспечивающее двустороннюю связь между программами.
https://xakep.ru/2025/12/05/burp-acunetix-2/
СМИ: обновление настроек ТСПУ вызвало сбои в работе VPN в России
Роскомнадзор обновил настройки ТСПУ (технических средств противодействия угрозам) и начал активно блокировать три протокола — VLESS, SOCKS5 и L2TP. Об этом сообщили РБК источники на рынке телекоммуникаций и ИБ, которые говорят, что регулятор пытается усложнить доступ к средствам обхода блокировок для пользователей.
https://xakep.ru/2025/12/05/rnk-vless/
Роскомнадзор заблокировал Snapchat на территории России
В Роскомнадзоре подтвердили, что американский сервис для обмена фото и видео Snapchat заблокирован в РФ еще с октября 2025 года. По словам представителей регулятора, сервис используется для вербовки преступников для совершения террористических действий и мошенничества.
https://xakep.ru/2025/12/04/snapchat-blocked/
Фальшивые приложения YouTube и TikTok распространяют Android-троян
Специалисты F6 предупреждают, что злоумышленники маскируют банковский троян для Android под расширенные и «18+» версии популярных приложений, включая YouTube и TikTok. С начала октября 2025 года аналитики обнаружили более 30 доменов, которые использовались для распространения этой малвари.
https://xakep.ru/2025/12/04/fake-apps-trojan/
В Южной Корее задержаны взломщики 120 000 IP-камер
Полиция Южной Кореи сообщила о задержании четырех человек, которые — предположительно независимо друг от друга — скомпрометировали более 120 000 IP-камер. По данным следствия, как минимум двое из них делали это ради кражи видео из таких мест, как гинекологические кабинеты. Отснятый материал они монтировали в порноролики и продавали в интернете.
https://xakep.ru/2025/12/04/cctv-hackers/