32260
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Футболки «Хакера» в продаже
Помнишь дисклеймер, который часто встречается в наших статьях? «Статья имеет ознакомительный характер и предназначена для специалистов по безопасности…» — теперь он есть на футболке, и заказать ее можно прямо сейчас.
https://xakep.ru/2025/09/12/disclaimer-shirts/
Реклама. ИП Яковлева А.В. ИНН 503806735948. Erid: 2SDnjdU1uxJ
Атака GhostAction привела к раскрытию 3325 секретов
Обнаружена еще одна атака на цепочку поставок, получившая название GhostAction. Вредоносная кампания была нацелена на GitHub и привела к компрометации 3325 секретов, включая токены PyPI, npm, DockerHub, GitHub, API-ключи Cloudflare и AWS.
https://xakep.ru/2025/09/12/ghostaction/
США возглавляют мировой рынок инвестиций в шпионское ПО
По данным исследования Atlantic Council, индустрия шпионского ПО переживает бум, поскольку инвесторы все чаще обращают внимание на эту этически сомнительную, но весьма прибыльную область. При этом большую часть средств получают компании в США и Израиле, а американские инвестиции в шпионское ПО утроились за последний год.
https://xakep.ru/2025/09/12/spyware-investors/
⚡️Скоро старт семинара "Автостопом по OSINT"⚡️
Привет, кибервнуки 😎
Вы знаете, что 90 % нужной информации уже лежит в интернете?
Вопрос только в том, кто умеет её находить.
Сегодня каждый сталкивается с фейками, мошенниками и липовыми компаниями.
OSINT — это навык, который позволяет проверить факты, людей и организации законными методами.
😎 Открываем набор на Авторский курс "Автостопом по ОСИНТ 7.0":
✔️ 21 урок с практикой и разбором кейсов
✔️ 80 % обучения посвящено практике
✔️ Большое внимание уделяется анализу информации
✔️ Поддержка эксперта: персональная обратная связь от ведущего.
✔️ Живые, не академические лекции с диалогами слушателей.
✔️ В итоге — вы получаете навыки поиска, анализа и визуализации информации. Их используют в работе предприниматели, правоохранительные органы, СБ, HR, детективы, юристы, аналитики.
😎 Лектор: Киберсамурай - специалист по ОСИНТ, экономической и конкурентной разведке.
Ведущий авторских семинаров в “Клубе Кибердеда”, в “АИС”, в “Безопасность 360”.
Формат занятий: видео + презентация + задания + Telegram-бот + групповые квесты.
Старт 17.09.2025
Записаться на курс можно по ссылке
⚡️ P.S Условия рассрочек и скидок, читайте на сайте в разделе "Вопросы и ответы о курсе".
Заблокировано более 600 доменов, распространявших Аndroid-троян DeliveryRAT
Специалисты F6 и RuStore сообщают, что обнаружили и заблокировали 604 домена, которые входили в инфраструктуру хакеров, заражавших мобильные устройства трояном DeliveryRAT. Вредонос маскировался под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок.
https://xakep.ru/2025/09/12/deliveryrat/
В сентябре Microsoft исправила 81 уязвимость в своих продуктах
На этой неделе компания Microsoft выпустила сентябрьские обновления, которые устранили 81 уязвимость в продуктах компании. Среди них были две уязвимости нулевого дня, информация о которых была раскрыта до выхода исправлений.
https://xakep.ru/2025/09/11/september-2025-patches/
Apple представила защиту памяти iPhone для борьбы со сложными атаками
На этой неделе компания Apple представила iPhone 17 и iPhone Air, которые будут оснащены новой функцией защиты памяти, предназначенной для обеспечения безопасности устройств в случае сложных атак шпионского ПО.
https://xakep.ru/2025/09/11/apple-mie/
Крупнейшая в истории атака на цепочку поставок принесла хакерам менее 1000 долларов
Самая крупная атака за всю историю экосистемы npm затронула примерно 10% облачных сред. Однако специалисты пришли к выводу, что злоумышленники не сумели «заработать» на этом взломе практически ничего.
https://xakep.ru/2025/09/11/supply-chain-fail/
Бывший сотрудник WhatsApp: 1500 инженеров имели доступ к личной информации пользователей
Аттаулла Баиг, якобы возглавлявший службу безопасности WhatsApp с 2021 по 2025 год, подал в суд на материнскую компанию Meta (организация признана экстремистской и запрещена на территории РФ). Баиг утверждает, что его уволили за неоднократные попытки решить серьезные проблемы кибербезопасности мессенджера. В компании говорят, что Баиг вообще не был руководителем службы безопасности.
https://xakep.ru/2025/09/10/baig-lawsuit/
Уязвимость Adobe Commerce и Magento позволяет захватить контроль над учетными записями
Adobe сообщила о критическом баге (CVE-2025-54236), который затрагивает платформы Commerce и Magento. Исследователи назвали эту уязвимость SessionReaper и описывают ее как одну из самых серьезных за всю историю существования этих продуктов.
https://xakep.ru/2025/09/10/sessionreaper/
Энтузиасты создали Премию Дарвина в области искусственного интеллекта
Открыт прием номинантов на Премию Дарвина в области искусственного интеллекта. Целью создателей премии является не высмеивание самого ИИ, но последствий его применения без должной осторожности и внимания.
https://xakep.ru/2025/09/10/ai-darwin-awards/
Для DNS-сервиса Cloudflare 1.1.1.1 было выдано 12 ошибочных сертификатов
На прошлой неделе обнаружилось, что малоизвестный удостоверяющий центр Fina выпустил 12 неавторизованных TLS-сертификатов для 1.1.1.1 (популярный DNS-сервис Cloudflare) с февраля 2024 по август 2025 года, причем без разрешения компании. Сертификаты могли использоваться для расшифровки запросов, зашифрованных посредством DNS over HTTPS и DNS over TLS.
https://xakep.ru/2025/09/09/fina-certs/
Level Up для Acunetix. Создаем кастомные сканеры на JavaScript #статьи #подписчикам
Хочешь прокачать Acunetix своими скриптами или делать их на заказ? В этой статье я покажу, как создавать полезные сканеры, на примере сбора чувствительных данных и поиска SSRF.
https://xakep.ru/2025/09/09/acunetix-js-scanners/
iCloud Calendar используется для рассылки фишинговых писем с серверов Apple
Приглашения в iCloud Calendar используются для отправки фишинговых писем, замаскированных под уведомления о покупках, напрямую с почтовых серверов Apple. Такая тактика повышает вероятность обхода спам-фильтров.
https://xakep.ru/2025/09/09/icloud-calendar-fake/
Google может сделать ИИ-режим в поиске доступным по умолчанию
Компания Google планирует упростить пользователям доступ к ИИ-режиму, позволив устанавливать его в поиске по умолчанию (вместо традиционных ссылок).
https://xakep.ru/2025/09/08/ai-mode/
Критическая уязвимость в Chrome принесла специалисту 43 000 долларов
Компания Google устранила критическую уязвимость типа use-after-free в браузере Chrome, которая могла привести к выполнению кода. Обнаруживший ее ИБ-специалист получил вознаграждение по программе bug bounty в размере 43 000 долларов США.
https://xakep.ru/2025/09/12/chrome-bounty/
Beacon Object File. Прокачиваем C2-маяки на примере Adaptix #статьи #подписчикам
Как расширить возможности C2-маяка, не переписывая его код и не подставляясь под антивирусы? В статье разбираем Beacon Object Files — легкий модульный способ добавлять новые функции прямо на лету. С помощью BOF можно проводить постэксплуатацию, закрепление, эксфильтрацию и выполнять любые кастомные задачи без доработки самого маяка.
https://xakep.ru/2025/09/12/bof-adaptix-c2/
Реклама. ИП Масалович Андрей Игоревич. ИНН 774302812948. Erid: 2SDnje8GTsc
Читать полностью…
Компания, защищающая от DDoS-атак, пострадала от атаки мощностью 1,5 млрд пакетов в секунду
Неназванная европейская компания, специализирующаяся на защите от DDoS-атак, сама стала жертвой такой атаки, мощность которой достигла 1,5 млрд пакетов в секунду (PPS). Специалисты FastNetMon, которые занимались отражением DDoS, сообщили, что атака исходила от тысяч IoT-устройств и роутеров MikroTik.
https://xakep.ru/2025/09/12/1-5-bpps/
В Pixel Camera и Google Photos добавят инструменты для обнаружения дипфейков
Компания Google сообщила, что интегрирует технологию C2PA Content Credentials в приложение камеры Pixel 10 и Google Photos, чтобы пользователи могли отличать подлинные изображения от тех, что были созданы или отредактированы с помощью искусственного интеллекта.
https://xakep.ru/2025/09/11/content-credentials/
RainLoop. Проходим путь от шелла до кеша — через аттач #статьи #подписчикам
Представь: старый почтовый веб‑клиент, давно забытый и оставленный пылиться в закоулках интернета, но по‑прежнему таящий в себе кладезь… Это история о том, как глубокое погружение в RainLoop привело к тому, что я нашел RCE и способ получить доступ к данным пользователей крупной компании, которая не пожалела вознаграждения.
https://xakep.ru/2025/09/11/rainloop/
Сценарии использования PAM
🗓 17 сентября в 10:00 по мск
➡️ Зарегистрироваться
Традиционно PAM используют для контроля действий подрядчиков, администраторов, записи сессий для разбора инцидентов и выполнения требований регуляторов. Однако на самом деле функционал систем такого класса гораздо шире, что делает его универсальным инструментом, который можно использовать для решения самых разных задач.
На вебинаре рассмотрим стандартные и нестандартные сценарии использования PAM, а также разберем следующие вопросы:
• Какие сценарии подключения подойдут именно вам?
• Как сосредоточиться на минимизации предоставляемых привилегий и не зарыться в рутине?
• Как исключить ошибки и злоупотребления пользователей при подключении к ИТ-инфраструктуре?
• Как определить оптимальный вариант использования РАМ-системы?
Спикеры:
— Игорь Базелюк, операционный директор Web Control и руководитель направления развития sPACE PAM
— Игорь Харитонов, главный инженер по ИБ
Реклама. ООО "Экспо-Линк". ИНН 6670051499
Минцифры работает над расширением «белых списков»
СМИ сообщили, что ознакомились с «Реестром социально значимых сервисов», рекомендованным Минцифры. В «белый список» ресурсов, которые будут работать во время отключения мобильного интернета, якобы планируют включить 57 наименований сервисов, включая «Фонбет» и «Пикабу». В Минцифры не подтверждают эту информацию.
https://xakep.ru/2025/09/10/white-lists/
Ломаный Excel. Обходим защиту VBA-скриптов в DoneEx Compiler
Сегодня мы разберемся с тем, как устроена «непробиваемая» защита VBA-скриптов в Excel, предлагаемая компилятором DoneEx VBA Compiler. Мы посмотрим, как этот инструмент компилирует макросы в нативные DLL, какие трюки использует для контроля целостности, и шаг за шагом покажем, как обходить проверки и восстанавливать исходный код из скомпилированных модулей.
https://xakep.ru/2025/09/10/done-ex-reverse/
Plex призывает пользователей сбросить пароли из-за утечки данных
Стриминговая мультимедиа-платформа Plex предупреждает клиентов, что им нужно срочно сменить пароли. Компания пострадала от утечки данных, в ходе которой злоумышленник смог похитить аутентификационные данные пользователей из БД.
https://xakep.ru/2025/09/10/plex-leak/
Открыта регистрация на онлайн-кэмп CyberCamp 2025
В этом году ежегодный онлайн-кэмп для ИБ-специалистов CyberCamp пройдет с 20 по 25 октября. Главной темой четвертого кэмпа станет киберустойчивость. Регистрация уже открыта!
https://xakep.ru/2025/09/10/cybercamp-2025/
Реклама. АО «Инфосистемы Джет». ИНН 7729058675. Erid: 2SDnjcrBmLA
Атака s1ngularity затронула 2180 аккаунтов GitHub
По данным специалистов компании Wiz, которые изучили недавнюю атаку s1ngularity, нацеленную на NX, инцидент привел к масштабным последствиям. Взлом NX спровоцировал раскрытие данных 2180 учетных записей и затронул 7200 репозиториев.
https://xakep.ru/2025/09/09/s1ngularitys-aftermath/
ЕС оштрафовал Google на 3,5 млрд долларов за злоупотребления на рынке рекламы
Европейская комиссия оштрафовала компанию Google на 2,95 млрд евро (3,5 млрд долларов США) за злоупотребление доминирующим положением на рынке технологий цифровой рекламы и предпочтение собственных adtech-сервисов перед конкурентами.
https://xakep.ru/2025/09/09/eu-fines-google/
Взломаны npm-пакеты, которые еженедельно загружают более 2,6 млрд раз
Исследователи предупреждают о крупнейшей в истории атаке на цепочку поставок. Злоумышленники внедрили малварь в популярнейшие npm-пакеты, насчитывающие более 2,6 миллиарда еженедельных загрузок (включая такие библиотеки JavaScript, как chalk и strip-ansi). Ради этой атаки хакеры скомпрометировали аккаунт мейнтейнера с помощью фишинговой атаки.
https://xakep.ru/2025/09/09/npm-supply-chain/
В роутерах TP-Link нашли неисправленную уязвимость
Компания TP-Link подтвердила существование неисправленной 0-day уязвимости, затрагивающей несколько моделей роутеров. В компании сообщили, что уже занимаются изучением проблемы и готовят патчи.
https://xakep.ru/2025/09/08/tp-link-0day/