32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
В Chrome исправляют уязвимость побега из песочницы, уже применяющуюся в атаках
Компания Google выпустила исправления для шести уязвимостей в браузере Chrome. Одна из них уже использовалась в реальных атаках для обхода песочницы браузера.
https://xakep.ru/2025/07/17/angle-0day/
APK-файлы малвари Konfety искажены ради уклонения от обнаружения
Эксперты обнаружили новый вариант Android-малвари Konfety с деформированной ZIP-структурой и другими методами обфускации, которые позволяют избегать анализа и обнаружения.
https://xakep.ru/2025/07/16/new-konfety/
Android, не хрипи! Погружаемся в недра ОС, чтобы найти и устранить баг #статьи #подписчикам
Сегодня нас с тобой ждет настоящая экспедиция вглубь Android. Нашей сиюминутной целью будет устранить баг воспроизведения звука на телеприставке X96Q PRO. На пути к этой цели мы подробно изучим все части звуковой системы и научимся вносить изменения в низкоуровневые настройки, недоступные из графического интерфейса.
https://xakep.ru/2025/07/16/android-audio-bug/
Малварь XORIndex обнаружили в 67 npm-пакетах
Северокорейские хакеры разместили 67 вредоносных пакетов в npm, через которые распространялся новый загрузчик малвари XORIndex. В общей сложности пакеты насчитывали более 17 000 загрузок.
https://xakep.ru/2025/07/16/xorindex/
Британская полиция арестовала четырех человек, причастных к атакам на ритейлеров
Национальное агентство по борьбе с преступностью Великобритании (NCA) арестовало четырех человек, подозреваемых в причастности к атакам на крупных ритейлеров страны, включая Marks & Spencer, Co-op и Harrods.
https://xakep.ru/2025/07/15/scattered-spider-arrests/
⛓️В условиях постоянных кибератак и угроз безопасности, ваши навыки защиты данных становятся ключевыми. Курс «Внедрение и работа в DevSecOps» от OTUS — это шаг к мастерству в интеграции безопасности в процесс разработки.
Вы научитесь:
- Интегрировать безопасность на всех этапах разработки.
- Использовать инструменты для защиты кода, API, и микросервисных приложений.
- Применять методы тестирования на проникновение и мониторинга безопасности.
Программа обновляется с учетом актуальных угроз. Преподаватели — практикующие эксперты в области информационной безопасности. Диплом OTUS ценится в ведущих компаниях.
🔥Пройдите короткое вступительное тестирование и узнайте свой уровень знаний по DevSecOps: https://vk.cc/cNICvl
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
Материнские платы Gigabyte уязвимы перед UEFI-малварью
Множество моделей материнских плат Gigabyte используют уязвимые прошивки UEFI, которые позволяют устанавливать невидимые для операционной системы буткиты.
https://xakep.ru/2025/07/15/gigabyte-flaws/
Уязвимости eSIM позволяют клонировать карты и шпионить за пользователями
Исследователи AG Security Research обнаружили уязвимости в технологии eSIM, используемой в современных смартфонах. Проблемы затрагивают программный пакет eUICC компании Kigen, который используют миллиарды устройств.
https://xakep.ru/2025/07/14/esim-problems/
ФБР закрыло сайты, распространявшие пиратские игры
Федеральное бюро расследований (ФБР) конфисковало доменные имена ряда сайтов, связанных с пиратскими играми. В частности, был закрыт NSW2U[.]com, с которым компания Nintendo боролась на протяжении многих лет.
https://xakep.ru/2025/07/14/nsw2u-seized/
Google Gemini может направлять пользователей на фишинговые сайты
Google Gemini для Workspace можно использовать для создания кратких резюме писем, которые будут выглядеть легитимными, но при этом будут содержать вредоносные инструкции и сообщения, направляющие пользователей на фишинговые сайты.
https://xakep.ru/2025/07/14/gemini-phishing/
Разработчик WordPress-плагина Gravity Forms взломан. Плагин оснастили бэкдором
Популярный WordPress-плагин Gravity Forms пострадал в результате атаки на цепочку поставок. В результате установщики с официального сайта оказались заражены бэкдором.
https://xakep.ru/2025/07/14/gravity-forms-backdoor/
Рекрутинговый ИИ-бот McDonald’s раскрыл данные миллионов соискателей из-за пароля «123456»
Известные ИБ-эксперты и багхантеры Сэм Карри (Sam Curry) и Иэн Кэрролл (Ian Carroll) обнаружили, что чат-бот Olivia, с помощью которого McDonald’s нанимает сотрудников, раскрывал данные соискателей. Всего в базе насчитывалось более 64 млн записей.
https://xakep.ru/2025/07/11/olivia-leak/
В контроллере домена для Linux-систем FreeIPA устранен критический баг
Компания Red Hat поблагодарила эксперта Positive Technologies за обнаружение критической уязвимости в контроллере домена для Linux-систем FreeIPA, с помощью которого можно централизованно управлять учетными записями пользователей, устанавливать политики доступа и аудита.
https://xakep.ru/2025/07/11/freeipa-flaw/
Миллионы автомобилей уязвимы перед Bluetooth-атаками PerfektBlue
Четыре уязвимости, получившие общее название PerfektBlue, затрагивают Bluetooth-стек BlueSDK от OpenSynergy. Проблемы позволяют удаленно выполнить произвольный код и могут помочь получить доступ к критически важным компонентам в автомобилях таких производителей, как Mercedes-Benz AG, Volkswagen и Skoda.
https://xakep.ru/2025/07/11/perfektblue/
Малварь из Open VSX маскировалась под расширение для Cursor AI
К специалистам «Лаборатории Касперского» обратился российский блокчейн-разработчик, у которого похитили криптовалюту на сумму около 500 000 долларов. Оказалось, что пользователь установил на свой компьютер зараженный пакет из Open VSX.
https://xakep.ru/2025/07/11/fake-solidity-language/
В Совфеде прокомментировали поправки об использовании VPN и экстремистских материалах
Первый зампредседателя комитета Совета Федерации по конституционному законодательству и госстроительству Артем Шейкин заявил, что обсуждение VPN-сервисов в СМИ, блогах и соцсетях не будет расцениваться как реклама, а ответственность за «поиск заведомо экстремистских материалов и получение доступа к ним» нацелена на регулирование деятельности провайдеров, платформ и технических посредников, а не на массовое наказание граждан.
https://xakep.ru/2025/07/17/new-law-comments/
«Винлаб» пострадала от «беспрецедентной кибератаки»
Компания Novabev Group сообщила о вымогательской кибератаке, которая затронула ресурсы розничной сети алкогольных магазинов «Винлаб». Подчеркивается, что данные клиентов не пострадали.
https://xakep.ru/2025/07/16/vinlab-hacked/
Правоохранители ликвидировали группировку Diskstation, атаковавшую NAS
Правоохранительные органы сообщили о ликвидации румынской вымогательской хак-группы Diskstation, которая ранее успешно зашифровала системы нескольких компаний в Италии, парализовав их бизнес.
https://xakep.ru/2025/07/16/diskstation/
В КоАП могут добавить штрафы за поиск экстремистских материалов и рекламу VPN
СМИ обратили внимание, что в Кодекс Российской Федерации об административных правонарушениях предлагается внести поправки, предусматривающие штрафы за «умышленный поиск» в интернете заведомо экстремистских материалов и получение доступа к ним.
https://xakep.ru/2025/07/16/search-fines/
Баг в железнодорожном протоколе позволяет остановить поезд с помощью SDR
Еще в 2012 году независимый ИБ-исследователь Нил Смит (Neil Smith) сообщил американскому правительству об уязвимости в стандарте связи, который используется в поездах. Однако проблема до сих пор не решена, а правоту исследователя отказывались признавать много лет.
https://xakep.ru/2025/07/15/fred/
Для доставки малвари Interlock применяется техника FileFix
Вымогательская хак-группа Interlock распространяет через взломанные сайты троян удаленного доступа (RAT). Хакеры используют для доставки малвари атаки FileFix.
https://xakep.ru/2025/07/15/interlock-filefix/
Хакеры эксплуатируют критическую RCE-уязвимость в Wing FTP Server
Злоумышленники начали эксплуатировать критическую уязвимость в Wing FTP Server всего через день после публикации технических подробностей об этой проблеме.
https://xakep.ru/2025/07/15/wing-ftp-rce/
HTB Dog. Атакуем сервер Backdrop CMS
В этом райтапе я покажу весь путь атаки на Backdrop CMS. Сначала мы получим учетные данные из конфига, забытого разработчиками в каталоге Git, затем авторизуемся и загрузим модуль для выполнения своего кода и получения RCE. При повышении привилегий воспользуемся возможностями утилиты администрирования Backdrop CMS.
https://xakep.ru/2025/07/14/htb-dog/
INSECA открывает набор на курсы blue team
Когда количество атак растет, а их сложность повышается, blue team становится ключевым звеном безопасности. Компания INSECA приглашает как начинающих, так и опытных специалистов пройти обучение в этой области.
https://xakep.ru/2025/07/14/inseca-blue-team/
Реклама. ООО «Инсека». ОГРН 1233400004420.
GPUHammer: атаку Rowhammer адаптировали для видеокарт Nvidia
Nvidia рекомендует пользователям активировать System Level Error-Correcting Code (ECC), так как видеокарты с памятью GDDR6 уязвимы перед атакой Rowhammer.
https://xakep.ru/2025/07/14/gpuhammer/
Все бумажные спецвыпуски «Хакера» доступны для заказа
Скучаешь по шелесту страниц и запаху типографской краски? Не упусти момент! Для заказа доступны все бумажные спецвыпуски «Хакера», в которые вошли лучшие статьи за 2015–2021 годы с комментариями авторов и редакторов.
Тиражи ограничены, так что если ты давно хотел добавить журналы на полку — сейчас самое время.
https://xakep.ru/2025/07/11/specials-orders/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
Расширения превратили почти миллион браузеров в ботов для скрапинга
Расширения для Chrome, Firefox и Edge, установленные почти миллион раз, обходят защиту и превращают браузеры в скраперы, которые собирают информацию с сайтов для коммерческих клиентов.
https://xakep.ru/2025/07/11/mellowtel/
По следам Log4shell. Разбираем две уязвимости, оставшиеся в тени #перевод
Еще в декабре 2021-го, когда были найдены и закрыты четыре уязвимости Log4shell в Log4J, оказалось, что их на самом деле больше. Две из них — отказ в обслуживании и утечка данных — тогда широко известны не были. Лишь в сентябре 2022 года вендор официально признал их, но представил как часть тех самых четырех исходных багов. Поэтому патчей и новых CVE всем этим багам не положено.
https://xakep.ru/2025/07/11/log4j-overlooked-exploits/
Российский баскетболист арестован и оказался фигурантом дела о вымогателях
Российский профессиональный баскетболист Даниил Касаткин был задержан во французском аэропорту Шарль-де-Голль по запросу властей США. Правоохранители считают, что он якобы выступал в роли переговорщика и работал с вымогательской хак-группой.
https://xakep.ru/2025/07/11/daniil-kasatkin-arrest/
Атака TapTrap использует анимацию UI для обхода системы разрешений Android
TapTrap эксплуатирует анимацию пользовательского интерфейса для обхода системы разрешений Android. Это позволяет получить доступ к конфиденциальным данным или обманом вынудить пользователя выполнить деструктивные действия, например, сбросить устройство к заводским настройкам.
https://xakep.ru/2025/07/10/taptrap/