32258
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
GitHub усиливает безопасность npm с помощью обязательной 2ФА и других мер
Разработчики GitHub сообщили, что работают над комплексом защитных мер, направленных против атак на цепочки поставок, которые недавно привели к нескольким крупным инцидентам на платформе.
https://xakep.ru/2025/09/24/secure-npm/
Исследователи составили список 25 основных уязвимостей MCP
Специалисты компании Adversa опубликовали анализ топ-25 уязвимостей Model Context Protocol (MCP). Этот список исследователи позиционируют как «наиболее комплексный на сегодняшний день анализ уязвимостей MCP».
https://xakep.ru/2025/09/24/mcp-flaws/
В Москве пройдет конференция ИБ-сообществ UnderConf2
28 сентября в Москве состоится конференция UnderConf2 — мероприятие для специалистов по информационной безопасности и энтузиастов хакинга.
Программа конференции включает доклады экспертов, дебаты на сцене, стенды с локпикингом, аппаратным реверсом, OSINT’ом, а также мастер-классы по хакингу и зону ретро-гейминга.
https://xakep.ru/2025/09/24/underconf2/
Реклама. ООО «АНДЕРКОНФ». ИНН 9701292630.
Открыты заказы на футболки с логотипом «Хакера»
Футболки «Хакера» в двух минималистичных дизайнах доступны для заказа. На выбор — классический логотип ][ или надпись «Хакер» на груди. Максимально лаконично и без лишних деталей. Идеальный стиль для отладки продакшна в три часа утра.
https://xakep.ru/2025/09/23/x-shirts/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
Чекеры Burp. Делаем шаблоны BChecks для быстрой разведки #статьи #подписчикам
BChecks — это чекеры, которыми ты можешь дополнить существующие сканеры уязвимостей Burp. Чекер — это шаблон наподобие популярных шаблонов Nuclei. В статье я покажу, как делать простые и быстрые чекеры, а заодно разберемся со скриптовым языком Burp.
https://xakep.ru/2025/09/23/burp-bchecks/
Positive Technologies представит новые предложения на конференции Positive Security Day
Конференция Positive Security Day 2025 пройдет 8 октября в Москве во Дворце Ирины Винер. Positive Technologies представит новые продукты и решения, а также расскажет о платформенном подходе к результативной кибербезопасности.
https://xakep.ru/2025/09/23/positive-security-day-2025/
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887. Erid: 2SDnje2vnvz
Игра из Steam похитила деньги у сотен людей. Пострадал стример, собиравший пожертвования на лечение
В Steam обнаружили еще одну вредоносную игру — BlockBlasters. Внимание к проблеме привлек случай стримера Райво Плавниекса (Raivo Plavnieks), известного под ником RastalandTV. Он пытался собрать деньги для лечения рака четвертой стадии, но после установки BlockBlasters лишился 32 000 долларов, полученных в качестве пожертвований. Дальнейшее расследование показало, что от игры пострадали сотни пользователей.
https://xakep.ru/2025/09/23/blockblasters/
Мошенники создают фальшивые сайты, маскируясь под ФБР
ФБР предупредило, что злоумышленники имитируют сайт Центра приема жалоб на мошенничество в Интернете (IC3) с целью финансового мошенничества или кражи персональных данных посетителей.
https://xakep.ru/2025/09/22/ic3-warning/
Реклама. Салтыков Олег Олегович. ИНН 321203055047. Erid: 2SDnjevfHnv
Читать полностью…
HTB Fluffy. Используем технику ESC16 ADCS для захвата Active Directory
Сегодня я на наглядном примере покажу, как повысить привилегии в Active Directory при помощи техники ADCS ESC16. На пути к захвату сервера нас также ждет свежая уязвимость в проводнике Windows и компрометация цепочки DACL.
https://xakep.ru/2025/09/22/htb-fluffy/
PyPI аннулирует токены, украденные в ходе атаки GhostAction
Команда Python Software Foundation сообщила, что аннулировала все токены PyPI, украденные в ходе атаки на цепочку поставок GhostAction, произошедшей в начале сентября. Специалисты подчеркнули, что атакующие не использовали токены для публикации малвари.
https://xakep.ru/2025/09/22/ghostaction-tokens/
25 сентября пройдет онлайн-конференция «IT. Право. Безопасность. Online. 2025»
25 сентября 2025 года специалисты по кибербезопасности, ИТ-специалисты и юристы соберутся вместе, чтобы обсудить законодательные изменения и ИТ и тренды в области кибербезопасности.
https://xakep.ru/2025/09/22/itlawsec/
Реклама. ООО «РТМ Технологии». ИНН 7720337868. Erid: 2SDnjdhKoMx
У SonicWall утекли данные. Компания просит клиентов срочно сменить пароли
Компания SonicWall предупредила клиентов о необходимости как можно скорее сменить учетные данные. Дело в том, что в результате кибератаки, затронувшей аккаунты MySonicWall, оказались скомпрометированы файлы резервных копий конфигураций файрволов.
https://xakep.ru/2025/09/19/sonicwall-leak/
Малварь SystemBC превращает уязвимые VPS в прокси
Специалисты Lumen Technology предупредили, что операторы ботнета SystemBC охотятся за уязвимыми VPS и делают из них прокси. Ежедневно в составе SystemBC активны около 1500 ботов, которые обеспечивают преступникам канал для вредоносной активности.
https://xakep.ru/2025/09/19/systembc/
Google исправила 0-day в браузере Chrome. Уязвимость уже используется в атаках
Компания Google выпустила обновления для Chrome, призванные устранить четыре уязвимости. Одна из них (CVE-2025-10585), по данным компании, уже эксплуатировалась злоумышленниками.
https://xakep.ru/2025/09/19/cve-2025-10585/
Перспективные исследования за первую половину 2025-го. Колонка Дениса Макрушина #статьи #подписчикам
Сегодня соберем самые яркие и важные исследования ИБ за первую половину года. Нас ждут: поиск секретов в больших данных, уязвимость client-side path traversal, технологии AutoFix для исправления багов, анализ GitHub Actions и CI/CD, провал классических антифишинг‑тренингов, автономный поиск уязвимостей с помощью LLM и еще несколько важных работ.
https://xakep.ru/2025/09/24/research-review-h1-2025/
Cloudflare сообщила о DDoS-атаке мощностью 22,2 Тбит/с
Cloudflare сообщает о новом рекорде в области DDoS. Компания отразила DDoS-атаку, мощность которой достигла рекордных 22,2 Тбит/с и 10,6 млрд пакетов в секунду. Всего три недели назад компания рассказывала об отражении DDoS-атаки мощностью 11,5 Тбит/с, которая на тот момент была крупнейшей в истории.
https://xakep.ru/2025/09/24/22-2-tbps/
Секретная служба США обнаружила 100 000 SIM-карт, которые «могли отключить сотовую сеть Нью-Йорка»
Секретная служба США обнаружила сеть электронных устройств, сконцентрированных вокруг места проведения встречи Генеральной Ассамблеи ООН. Было изъято более 300 SIM-боксов и 100 000 SIM-карт, которые могли представлять «непосредственную угрозу национальной безопасности» и теоретически могли «отключить сотовую сеть в Нью-Йорке».
https://xakep.ru/2025/09/24/sim-boxes/
Фальшивые менеджеры паролей заражают macOS стилером Atomic
Разработчики LastPass предупреждают, что злоумышленники нацелились на пользователей macOS и имитируют популярные продукты, распространяя инфостилеры через GitHub.
https://xakep.ru/2025/09/23/lastpass-fake/
У автоконцерна Stellantis украли данные клиентов
Представители Stellantis сообщили, что злоумышленники получили доступ к платформе стороннего поставщика услуг и похитили данные североамериканских клиентов. Судя по всему, речь идет об атаке, связанной с взломом Salesforce.
https://xakep.ru/2025/09/23/stellantis-leak/
Создание видео- и аудиодипфейков в режиме реального времени стоит от 30 долларов США
Специалисты «Лаборатории Касперского» обнаружили в даркнете объявления с предложениями по созданию видео- и аудиодипфейков в реальном времени. Стоимость такой услуги зависит от сложности фальшивого контента и его длительности, и начинается от 50 долларов США для видео и от 30 долларов США для голосовых дипфейков.
https://xakep.ru/2025/09/23/deepfakes/
Тестируем Eremex Controls — набор контролов для создания бизнес-приложений на Avalonia UI
Бытует мнение, что язык C# годится только для разработки приложений под Windows. Между тем, это все было давно и неправда — даже дважды неправда с момента появления .NET Core. Сейчас на C# можно писать и десктопные приложения, и бэк, и мобильные приложения, и системные утилиты. Язык не стоит на месте и покрывает все больше направлений разработки.
https://xakep.ru/2025/09/23/eremex/
Реклама. АО «ЭРЕМЕКС». ИНН 9723094014. Erid: 2SDnjdn1YQe
Хакерская атака нарушила работу ряда европейских аэропортов
Кибератака повлияла на работу систем регистрации в нескольких европейских аэропортах. Пассажиры столкнулись с десятками отмененных и задержанных рейсов. Ожидается, что ситуация может еще ухудшиться как минимум в одном крупном аэропорту.
https://xakep.ru/2025/09/22/collins-aerospace/
🙌🙌🙌🙌
⚡️ Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):
1. Предыдущий топ статей
2. Онлайн-платформа для практики администрирования Linux-серверов
3. Затыкаем рот Windows 10
4. Проект, позволяющий общаться с ИИ голосом в режиме реального времени
5. Реверс инжиниринг для самых маленьких на практике
6. Система, которая упрощает создание моделей машинного обучения, позволяя пользователям описывать свои намерения на естественном языке
7. Гайд по составлению ТЗ для внутреннего пентеста
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг #кибербезопасность #багбаунти #пентест #багхантинг
LH | News | OSINT | AI
Канадские власти сообщили о ликвидации криптобиржи TradeOgre
Королевская канадская конная полиция закрыла криптобиржу TradeOgre. Сообщается об изъятии свыше 40 млн долларов в криптовалюте, которые предположительно были получены в результате преступной деятельности.
https://xakep.ru/2025/09/22/tradeogre-down/
Исследователи вынудили ChatGPT решать CAPTCHA
Специалисты компании SPLX, специализирующейся на автоматизированном тестировании безопасности для ИИ-решений, продемонстрировали, что с помощью промпт-инжектов можно обойти защиту агента ChatGPT и заставить его решать CAPTCHA.
https://xakep.ru/2025/09/22/ai-captcha/
Лучшие статьи «Хакера» за 2025 год. Предзаказы на бумажный номер открыты!
Мы собираем в отдельный бумажный выпуск все самые важные и интересные материалы за 2025 год. Это возможность снова подержать «Хакер» в руках — с шелестом страниц и запахом типографской краски. Ранние предварительные заказы по специальной цене уже открыты!
https://xakep.ru/2025/09/19/xakep-2025/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
Лучшие статьи «Хакера» за 2025 год. Предзаказы на бумажный номер открыты!
Читать полностью…
Графики с подвохом. Эксплуатируем XSS в BokehJS внутри VS Code Webview #статьи #подписчикам
Обычная визуализация данных в Jupyter Notebook может обернуться атакой на всю инфраструктуру. В этой статье мы воспроизведем XSS-инъекцию в графике BokehJS внутри VS Code Webview, проследим, как локальный баг превращается в уязвимость уровня Kubeflow-кластера, и посмотрим, какие реальные риски несет такая цепочка — от кражи cookie до доступа к Kubernetes-токенам.
https://xakep.ru/2025/09/19/bokehjs-vscode-xss/
🎁Дорогие друзья, на этой неделе разыгрываем 10 эксклюзивных фирменных стикерпаков от «Хакера»!
Внимание! Данные стикерпаки не продаются!
Для участия в розыгрыше необходимо:
1. быть подписанным на @xakep_ru;
2. нажать на кнопку «Участвую» под этим постом.
🥇Бот-рандомайзер выберет победителей из числа комментаторов случайным образом 26 сентября в 21:00.