38263
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Бумажные спецвыпуски «Хакера»: остатки тиражей и предзаказ нового номера
Тиражи первых двух печатных спецвыпусков «Хакера» уже распроданы полностью, а запасы остальных активно сокращаются на нашем складе. Сейчас отличный момент, чтобы успеть забрать свой экземпляр. Также открыты предзаказы на четвертый спецвыпуск, в который войдут лучшие статьи 2021–2022 годов. Пока он не ушел в печать, действует специальная цена.
https://xakep.ru/2026/04/30/specials-available/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
Cloudflare отметила домен мессенджера Max как шпионское ПО
Сканер Cloudflare отметил домен max[.]ru как spyware, но разработчики мессенджера утверждают, что это ложное срабатывание, которое не имеет отношения к реальному анализу кода.
https://xakep.ru/2026/04/30/max-cloudflare/
MEGANews. Cамые важные события в мире инфосека за апрель
🆓 Доступно без подписки
В этом месяце: злоумышленники скомпрометировали npm-пакет Axios и раздавали RAT разработчикам; Anthropic представила закрытую модель Claude Mythos, которая нашла тысячи 0-day, но энтузиасты тут же получили к ней доступ; российские власти развернули масштабную кампанию против VPN; исследователь Chaotic Eclipse объявил войну Microsoft и публикует эксплоиты для непропатченных уязвимостей; у DeFi-платформы Drift украли 285 миллионов долларов, а также другие важные и интересные события апреля.
https://xakep.ru/2026/04/30/meganews-325/
Группировка HeartlessSoul охотится за геоданными госсектора и промышленности РФ
Аналитики «Лаборатории Касперского» предупредили, что хак-группа HeartlessSoul сместила фокус атак: теперь злоумышленники активно охотятся за геоинформационными данными российских организаций, используя JS-RAT и фишинг. В первую очередь речь идет о госсекторе и промышленности.
https://xakep.ru/2026/04/30/heartlesssoul/
LPE-уязвимость CopyFail позволяет получить root-права в Linux
В ядре Linux нашли уязвимость CopyFail, которая позволяет получить root-доступ без состояния гонки и сложных эксплоитов. Для атаки достаточно короткого Python-скрипта, который работает почти в любом дистрибутиве, вышедшем после 2017 года.
https://xakep.ru/2026/04/30/copyfail/
Планируем внедрение DevSecOps — что следует учесть? Бесплатный урок в рамках курса «Внедрение и работа в DevSecOps» в OTUS.
DevSecOps часто воспринимают как набор инструментов, которые можно просто добавить в CI/CD. На практике всё сложнее: меняются процессы, зоны ответственности, метрики и сама логика безопасной разработки. Поэтому главный вопрос на старте — не «какой сканер поставить первым», а «как встроить безопасность в работу команды так, чтобы она не превратилась в формальность и не замедлила поставку».
📅 На открытом уроке 30.04.2026 в 20:00 разберём, с чего начинать внедрение DevSecOps в реальной команде. Поговорим о том, как оценить текущий уровень зрелости процессов разработки и информационной безопасности, какие роли и точки взаимодействия нужны между разработкой, эксплуатацией и безопасностью, как встроить практики безопасной разработки и защитные проверки в текущий конвейер без разрушения процессов. Отдельно обсудим метрики: как понимать, что внедрение действительно двигается вперёд, и какие сигналы важно отслеживать на старте и по мере развития функции. Также разберём типовые ошибки, которые команды совершают в начале, и то, что стоит предусмотреть заранее.
Урок не для тех, кто ищет «волшебный набор инструментов», хочет внедрить DevSecOps только ради отчётности или рассчитывает добавить безопасность в процесс без пересмотра ролей, взаимодействия и инженерных практик.
👉 Записаться: https://otus.ru/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Нейрорадио. Поднимаем автономную радиостанцию в терминале
👑 Статья для подписчиков
Кто из нас хотя бы однажды не мечтал стать диджеем на радио? Эту мечту можно осуществить — с помощью собственной интернет‑радиостанции, в которой эфир будет вести диджей с искусственным интеллектом. Он станет объявлять треки, рассказывать об исполнителях и беседовать о музыке. Как все это настроить и запустить — в нашей сегодняшней статье.
https://xakep.ru/2026/04/29/ai-radio/
Уязвимость Pack2TheRoot позволяет получить root-доступ в Linux
Специалисты Deutsche Telekom Red Team обнаружили уязвимость в демоне PackageKit — фоновом сервисе, который управляет установкой, обновлением и удалением пакетов в Linux-системах. Баг получил название Pack2TheRoot, идентификатор CVE-2026-41651 и оценку 8,8 балла по шкале CVSS.
https://xakep.ru/2026/04/29/pack2theroot/
СМИ: Минцифры работает над дополнительной тарификацией международного трафика пользователей
В Минцифры ведется работа над новой мерой борьбы с обходом блокировок: ведомство рассматривает введение дополнительной платы за международный трафик в мобильных сетях. Хотя речь идет о «противодействии использованию VPN-сервисов, не исполняющих требования законодательства», на практике весь международный трафик могут приравнять к использованию сервисов обхода.
https://xakep.ru/2026/04/28/paid-traffic/
Жрем мозги ИИ. Подбираем тулзы для пентеста LLM
👑 Статья для подписчиков
Сегодня с ноги вломимся в мир пентеста ИИ. Я нашел для тебя классные тулзы для автоматического тестирования больших языковых моделей и несколько отличных лабораторных работ, чтобы ты мог отработать навыки как автоматического, так и ручного тестирования нейронок.
https://xakep.ru/2026/04/28/ai-pentest-tools/
Уязвимость в Firefox позволяла отслеживать пользователей Tor
Исследователи из компании FingerprintJS обнаружили уязвимость, которая затрагивает все браузеры на базе Firefox, включая Tor Browser. Проблема позволяет сайтам создавать стабильный идентификатор пользователя и отслеживать его активность между разными доменами без использования cookie, localStorage и каких-либо явных признаков трекинга.
https://xakep.ru/2026/04/28/firefox-indexeddb/
Apple исправила уязвимость, позволявшую восстанавливать удаленные сообщения Signal
Разработчики Apple выпустили обновления iOS 26.4.2 и iOS 18.7.8, которые устраняют проблему с хранением push-уведомлений на устройствах пользователей. Именно из-за этой ошибки ФБР ранее удалось извлечь удаленные сообщения Signal с iPhone подсудимой.
https://xakep.ru/2026/04/27/signal-patch/
HTB Sorcery. Захватываем домен FreeIPA
👑 Статья для подписчиков
Сегодня будем эксплуатировать домен FreeIPA и пройдем полную цепочку, начиная с атаки на сайт. Проэксплуатируем инъекцию Cypher, затем обойдем проверку Passkey на сайте и получим RCE через сервис Kafka. Проведем разведку на хосте, затем успешный фишинг и многое другое.
https://xakep.ru/2026/04/27/htb-sorcery/
Исследователи описали новую технику повышения привилегий в Windows RPC
Эксперт центра сервисов по кибербезопасности «Лаборатории Касперского» Хайдар Кабибо (Haydar Kabibo) обнаружил уязвимость в архитектуре Windows RPC (Remote Procedure Call), которая позволяет локально повышать привилегии вплоть до уровня SYSTEM. Техника получила название PhantomRPC, и результаты исследования были представлены на конференции Black Hat Asia 2026.
https://xakep.ru/2026/04/27/phantomrpc/
Банкер Anatsa попал в топ-200 самых скачиваемых приложений в российском Google Play
Аналитики из «Лаборатории Касперского» обнаружили в магазине Google Play очередное приложение с банковским трояном Anatsa. Вредонос маскировался под популярное приложение для чтения PDF-файлов, и к моменту удаления успел набрать более 10 000 загрузок.
https://xakep.ru/2026/04/27/anatsa-play-store/
У компании Checkmarx похитили данные из приватных репозиториев на GitHub
Атака на цепочку поставок затронула инструменты компании Checkmarx, привела к краже секретов и утечке данных из приватных репозиториев на GitHub. ИБ-исследователи считают, что в этом инциденте участвовали сразу несколько хакерских группировок.
https://xakep.ru/2026/04/30/checkmarx-attacks/
Разработчики cPanel выпустили экстренный патч для обхода аутентификации
В cPanel и WebHost Manager (WHM) обнаружили критическую уязвимость, позволяющую обойти аутентификацию и войти в панель управления без учетных данных. В зоне риска находятся почти все поддерживаемые версии. Разработчики уже выпустили экстренный патч, но устанавливать его придется вручную.
https://xakep.ru/2026/04/30/cpanel-flaw/
Пиратские сайты массово ушли в офлайн
Издание Torrent Freak сообщило, что на этой неделе десятки пиратских стриминговых сайтов (включая Sflix, Myflixerz, HDtoday и клоны Fmovies) внезапно перестали открываться. Все они отображают одинаковую ошибку Cloudflare 521, но, похоже, проблема заключается не в действиях правообладателей, а в сбое общей для ресурсов PaaS-инфраструктуры (Piracy-as-a-Service).
https://xakep.ru/2026/04/30/piracy-backend/
PocketOS: за девять секунд ИИ уничтожил все данные компании и резервные копии
На этой неделе основатель компании PocketOS Джер Крейн (Jer Crane) рассказал, как Cursor с моделью Claude Opus 4.6 за девять секунд случайно уничтожили всю продакшен-базу компании вместе со всеми бэкапами.
https://xakep.ru/2026/04/30/pocketos-fail/
У видеосервиса Vimeo произошла утечка данных
Представители видеоплатформы Vimeo сообщили об утечке пользовательских и клиентских данных после атаки на стороннего подрядчика — компанию Anodot, которая занимается обнаружением аномалий в данных. Ответственность за взлом взяла на себя группировка ShinyHunters. Хакеры требуют выкуп и угрожают опубликовать украденные файлы 30 апреля.
https://xakep.ru/2026/04/29/vimeo-leak/
В PyPI скомпрометировали пакет elementary-data, который скачивают 1,1 млн раз в месяц
Популярный пакет elementary-data из Python Package Index (PyPI) оказался скомпрометирован: злоумышленник опубликовал вредоносный релиз 0.23.3, который похищал секреты разработчиков и файлы криптокошельков. Из-за особенностей пайплайна вредонос попал не только в PyPI, но и в Docker-образ проекта.
https://xakep.ru/2026/04/29/elementary-data/
Вымогатель VECT 2.0 уничтожает файлы, размер которых превышает 128 Кб
Исследователи из компании Check Point предупредили, что вымогатель VECT 2.0 на практике работает как вайпер. Из-за ошибки в реализации шифрования малварь безвозвратно уничтожает файлы крупнее 128 Кб, и восстановить их не смогут даже сами хакеры.
https://xakep.ru/2026/04/29/vect-bug/
СМИ: скачивания VPN-приложений в российском Google Play выросли в 14 раз
«Коммерсант» сообщает, что в России резко возрос интерес к VPN-сервисам: пользователи продолжают искать способы обхода, несмотря на ужесточение регулирования. По данным аналитиков Digital Budget (на основе статистики Similarweb), в марте 2026 года число скачиваний VPN-приложений в Google Play достигло 9,2 млн — это в 14 раз больше, чем годом ранее.
https://xakep.ru/2026/04/29/vpn-usage/
Брандмауэр Cisco в федеральном ведомстве в США был заражен бэкдором Firestarter
Спецслужбы США и Великобритании предупредили о малвари Firestarter, которая закрепляется на устройствах Cisco Firepower и Secure Firewall с софтом Adaptive Security Appliance (ASA) или Firepower Threat Defense (FTD) и не удаляется ни после установки патчей, ни после обновления прошивки.
https://xakep.ru/2026/04/28/firestarter/
Npm-пакет Bitwarden взломали ради кражи учетных данных разработчиков
В конце прошлой недели npm-пакет bitwarden/cli стал вредоносным: злоумышленники внедрили в него инфостилер, который похищал токены, SSH-ключи и секреты из CI/CD-пайплайнов разработчиков.
https://xakep.ru/2026/04/28/bitwarden-hack/
Минцифры: большинство VPN не обеспечивают защиту конфиденциальности
Представители Минцифры прокомментировали жалобы пользователей на недоступность «Госуслуг» и других российских сервисов из-за границы. В ведомстве заверили, что ключевые платформы работают в штатном режиме, а ограничения для пользователей с VPN объяснили соображениями безопасности. В ведомстве сообщают, что скоро на «Госуслугах» появится кнопка для жалоб на ложные срабатывания фильтров.
https://xakep.ru/2026/04/28/vpn-errors/
Малварь fast16 существовала до появления червя Stuxnet
Исследователи из компании SentinelOne обнаружили ранее неизвестный фреймворк для промышленного саботажа, датированный 2005 годом (за пять лет до появления Stuxnet). Вредонос получил кодовое название fast16 и предназначался для незаметной подмены результатов в высокоточном инженерном и научном ПО.
https://xakep.ru/2026/04/27/fast16/
ScanFactory: более половины уязвимостей на внешнем периметре российских компаний — критические и высокого уровня
Специалисты компании ScanFactory представили аналитический отчет по результатам оценки защищенности внешнего периметра российских организаций за 2022–2025 годы. В рамках исследования было изучено 246 коммерческих проектов по анализу защищенности компаний из 18 отраслей экономики. Все данные основаны исключительно на реальных проверках — автоматизированном сканировании, верификации уязвимостей и тестировании на проникновение.
https://xakep.ru/2026/04/27/scanfactory-report/
Реклама. ООО «СКАНФЭКТОРИ». ИНН 7727458406. Erid: 2SDnjcBqSst
Microsoft выпустила срочный патч для критической уязвимости в ASP.NET
Компания Microsoft выпустила внеплановое обновление для ASP.NET Core. Патч устранил критическую уязвимость в криптографических API Data Protection, которая позволяла неаутентифицированным атакующим получить привилегии SYSTEM, подделав аутентификационные файлы cookie.
https://xakep.ru/2026/04/27/asp-net-patch/
HWall от «Крайон»: WAF-решение, внесенное в Реестр отечественного ПО
«Крайон» объявляет о запуске HWall — решения, которое помогает компаниям быстро закрыть ключевые риски веб-безопасности без сложных внедрений. Продукт включен в Реестр отечественного ПО (№33121 от 17.04.2026), что подтверждает его соответствие требованиям российского законодательства и делает продукт актуальным для компаний, реализующих стратегию импортонезависимости.
https://xakep.ru/2026/04/27/hwall/
Реклама. ООО «КРАЙОН». ИНН 9717087315. Erid: 2SDnjdkJNKk