32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
GPUHammer: атаку Rowhammer адаптировали для видеокарт Nvidia
Nvidia рекомендует пользователям активировать System Level Error-Correcting Code (ECC), так как видеокарты с памятью GDDR6 уязвимы перед атакой Rowhammer.
https://xakep.ru/2025/07/14/gpuhammer/
Все бумажные спецвыпуски «Хакера» доступны для заказа
Скучаешь по шелесту страниц и запаху типографской краски? Не упусти момент! Для заказа доступны все бумажные спецвыпуски «Хакера», в которые вошли лучшие статьи за 2015–2021 годы с комментариями авторов и редакторов.
Тиражи ограничены, так что если ты давно хотел добавить журналы на полку — сейчас самое время.
https://xakep.ru/2025/07/11/specials-orders/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
Расширения превратили почти миллион браузеров в ботов для скрапинга
Расширения для Chrome, Firefox и Edge, установленные почти миллион раз, обходят защиту и превращают браузеры в скраперы, которые собирают информацию с сайтов для коммерческих клиентов.
https://xakep.ru/2025/07/11/mellowtel/
По следам Log4shell. Разбираем две уязвимости, оставшиеся в тени #перевод
Еще в декабре 2021-го, когда были найдены и закрыты четыре уязвимости Log4shell в Log4J, оказалось, что их на самом деле больше. Две из них — отказ в обслуживании и утечка данных — тогда широко известны не были. Лишь в сентябре 2022 года вендор официально признал их, но представил как часть тех самых четырех исходных багов. Поэтому патчей и новых CVE всем этим багам не положено.
https://xakep.ru/2025/07/11/log4j-overlooked-exploits/
Российский баскетболист арестован и оказался фигурантом дела о вымогателях
Российский профессиональный баскетболист Даниил Касаткин был задержан во французском аэропорту Шарль-де-Голль по запросу властей США. Правоохранители считают, что он якобы выступал в роли переговорщика и работал с вымогательской хак-группой.
https://xakep.ru/2025/07/11/daniil-kasatkin-arrest/
Атака TapTrap использует анимацию UI для обхода системы разрешений Android
TapTrap эксплуатирует анимацию пользовательского интерфейса для обхода системы разрешений Android. Это позволяет получить доступ к конфиденциальным данным или обманом вынудить пользователя выполнить деструктивные действия, например, сбросить устройство к заводским настройкам.
https://xakep.ru/2025/07/10/taptrap/
Google усиливает защиту Chrome для Android
В Google рассказали, как будет работать Advanced Protection в Chrome для Android, и подчеркнули, что безопасность браузера значительно повысилась.
https://xakep.ru/2025/07/10/advanced-protection-android/
Безопасный SSH. Как передавать пароли, чтобы их никто не украл #статьи #подписчикам
SSH обеспечивает шифрование и аутентификацию, но даже с ним возможны уязвимости — например, передача пароля в открытом виде через параметры команд. В статье разберем, почему это опасно, посмотрим примеры утечек, предложим скрипты и методы для обнаружения и предотвращения этой угрозы.
https://xakep.ru/2025/07/10/ssh-safety/
В июле Microsoft исправила 137 уязвимостей
В этом месяце разработчики Microsoft исправили 137 уязвимостей в рамках «вторника обновлений». Ни одна из этих ошибок не использовалась в атаках, однако данные об одной 0-day в Microsoft SQL Server были раскрыты публично до выхода патча.
https://xakep.ru/2025/07/09/july-2025-patches/
Страшилки и ужасы ИИ. Как перестать бояться и полюбить восстание машин
Ты наверняка уже видел не одну и не две алармистских новости, связанных с искусственным интеллектом. ИИ отказался отключаться; ИИ шантажировал сотрудников; ИИ сводит людей с ума… Что из этого действительно вызывает тревогу, а что — обычные страшилки от людей, далеких от области высоких технологий? И что правильнее — зарегулировать развитие ИИ или присоединиться к восстанию машин?
https://xakep.ru/2025/07/09/ai-panic/
Фишеры угнали у Павла Жовнера аккаунт в X
В минувшие выходные один из авторов Flipper Zero, Павел Жовнер, рассказал в своем Telegram-канале, что он стал жертвой фишинговой атаки. В результате злоумышленники захватили контроль над его учетной записью в X и разместили там криптовалютный скам.
https://xakep.ru/2025/07/09/zhovner-phishing/
Котик уже заполнил опрос 🐱
Остались только вы 🫠
Расскажите, как у вас обстоят дела с данными и инцидентами, ИБ-процессами и взаимодействием команд.
Где горит? Где всё гладко? Что автоматизировали, а что работает на честном слове?
✅ Анонимно, быстро, по-человечески.
👉 Оставить контакт можно по желанию — никто не будет звонить, только если прям захотите 🐱
Реклама. АО «Позитив Текнолоджиз». ИНН 7718668887.
Авиакомпания Qantas пострадала от взлома. Украдены данные 6 млн человек
Австралийская авиакомпания Qantas сообщила, что стала жертвой кибератаки, и злоумышленники потребовали у нее выкуп. В результате атаки были похищены данные 6 млн клиентов Qantas.
https://xakep.ru/2025/07/08/qantas-hacked/
Сдаем HTB CAPE. Как я получил сертификацию от создателей Hack The Box
Недавно я завершил курс и успешно сдал экзамен HTB Certified Active Directory Pentesting Expert (CAPE). В этой статье я поделюсь своими впечатлениями и расскажу, что тебя ждет на пути к этой сертификации, если ты тоже планируешь ее заполучить.
https://xakep.ru/2025/07/08/htb-cape/
Утекший red team инструмент Shellter используют для внедрения инфостилеров
Компания Shellter Project, производитель коммерческого загрузчика для обхода антивирусов и EDR-систем, предупредила, что хакеры используют ее продукт Shellter Elite в атаках. Дело в том, что один из клиентов слил копию софта в сеть.
https://xakep.ru/2025/07/08/shellter-elite-leak/
Разработчик WordPress-плагина Gravity Forms взломан. Плагин оснастили бэкдором
Популярный WordPress-плагин Gravity Forms пострадал в результате атаки на цепочку поставок. В результате установщики с официального сайта оказались заражены бэкдором.
https://xakep.ru/2025/07/14/gravity-forms-backdoor/
Рекрутинговый ИИ-бот McDonald’s раскрыл данные миллионов соискателей из-за пароля «123456»
Известные ИБ-эксперты и багхантеры Сэм Карри (Sam Curry) и Иэн Кэрролл (Ian Carroll) обнаружили, что чат-бот Olivia, с помощью которого McDonald’s нанимает сотрудников, раскрывал данные соискателей. Всего в базе насчитывалось более 64 млн записей.
https://xakep.ru/2025/07/11/olivia-leak/
В контроллере домена для Linux-систем FreeIPA устранен критический баг
Компания Red Hat поблагодарила эксперта Positive Technologies за обнаружение критической уязвимости в контроллере домена для Linux-систем FreeIPA, с помощью которого можно централизованно управлять учетными записями пользователей, устанавливать политики доступа и аудита.
https://xakep.ru/2025/07/11/freeipa-flaw/
Миллионы автомобилей уязвимы перед Bluetooth-атаками PerfektBlue
Четыре уязвимости, получившие общее название PerfektBlue, затрагивают Bluetooth-стек BlueSDK от OpenSynergy. Проблемы позволяют удаленно выполнить произвольный код и могут помочь получить доступ к критически важным компонентам в автомобилях таких производителей, как Mercedes-Benz AG, Volkswagen и Skoda.
https://xakep.ru/2025/07/11/perfektblue/
Малварь из Open VSX маскировалась под расширение для Cursor AI
К специалистам «Лаборатории Касперского» обратился российский блокчейн-разработчик, у которого похитили криптовалюту на сумму около 500 000 долларов. Оказалось, что пользователь установил на свой компьютер зараженный пакет из Open VSX.
https://xakep.ru/2025/07/11/fake-solidity-language/
Найден еще один способ получения ключей для Windows от ChatGPT
ИБ-исследователь Марко Фигероа (Marco Figueroa) рассказал о способе, который можно использовать для извлечения Windows-ключей из ChatGPT. Для этого нужно предложить ИИ сыграть в игру-угадайку.
https://xakep.ru/2025/07/10/chatgpt-guessing-game/
Инсайдер получил 920 долларов за участие в ограблении на 140 млн долларов
Хакеры похитили около 140 млн долларов из шести банков Бразилии, воспользовавшись учетными данными сотрудника ИТ-компании C&M, разрабатывающей решения, которые используются для связи финансовых учреждений с Центральным банком страны.
https://xakep.ru/2025/07/10/c-m-insider/
У оператора биткоин-банкоматов Bitcoin Depot похитили данные 27 000 пользователей
Компания Bitcoin Depot, крупнейший оператор биткоин-банкоматов в Северной Америке, сообщает о компрометации данных клиентов. В результате утечки, которая произошла еще в прошлом году, были раскрыты данные 27 000 человек.
https://xakep.ru/2025/07/10/bitcoin-depot/
Инфостилер Atomic для macOS теперь комплектуется бэкдором
Исследователи обнаружили новую версию стилера Atomic для macOS (он же AMOS). Теперь малварь поставляется с бэкдором, который позволяет получать доступ к взломанным системам.
https://xakep.ru/2025/07/09/atomic-backdoor/
Опубликованы эксплоиты и технические детали уязвимости Citrix Bleed 2
В открытом доступе появились PoC-эксплоиты для критической уязвимости Citrix Bleed 2 (CVE-2025-5777). Исследователи предупреждают, что уязвимость можно легко эксплуатировать и похищать токены пользовательских сессий.
https://xakep.ru/2025/07/09/citrix-bleed-2-poc/
В Chrome Web Store нашли вредоносные расширения, установленные 1,7 млн раз
Специалисты Koi Security обнаружили 11 вредоносных расширений в официальном магазине Chrome Web Store. Расширения могли следить за действиями пользователей, собирать данные об активности браузера и перенаправлять на потенциально опасные сайты.
https://xakep.ru/2025/07/09/reddirection/
Джек Дорси анонсировал мессенджер Bitchat, работающий посредством Bluetooth Low Energy
Генеральный директор Block и соучредитель Twitter Джек Дорси (Jack Dorsey) анонсировал децентрализованный P2P-мессенджер Bitchat. Приложение работает через BLE (Bluetooth Low Energy) и позволяет пользователям отправлять сообщения без доступа к интернету или сотовой связи.
https://xakep.ru/2025/07/08/bitchat/
❓ Вы когда-нибудь задумывались, как ваше приложение проходит путь от кода до полноценного рабочего окружения?
👉 Приглашаем вас на открытый вебинар «От кода до Kubernetes за полтора часа» 14 июля в 20:00 МСК, где вы увидите, как развернуть ASP.NET-приложение в Kubernetes.
Мы разберём:
- Создание Docker-образа приложения.
- Подготовку манифестов и деплой в Kubernetes.
- Настройку сервисов и переменных окружения.
На вебинаре мы покажем весь цикл: от подготовки образа до деплоя. Вы получите реальный опыт работы с kubectl и манифестами, а также советы по оптимизации и разбор типичных ошибок.
Вебинар проходит в преддверии старта курса «DevOps практики и инструменты».
👉 Для участия зарегистрируйтесь: https://vk.cc/cNvT5p
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
Опенсорсный инструмент Anubis блокирует ИИ-скраперов
В январе 2025 года Ксе Иасо (Xe Iaso) создала опенсорсный инструмент Anubis, предназначенный для борьбы с ИИ-скраперами. В настоящее время его уже скачали почти 200 000 раз, и Anubis применяется в таких организациях, как ЮНЕСКО, а также его используют разработчики GNOME и FFmpeg.
https://xakep.ru/2025/07/08/anubis-uncaptcha/
Шпионское ПО Batavia охотится за документами российских предприятий
Эксперты «Лаборатории Касперского» обнаружили, что с июля 2024 года неустановленная хак-группа рассылает российским предприятиям вредоносные письма с ранее неизвестной шпионской программой — трояном Batavia.
https://xakep.ru/2025/07/08/batavia/