38265
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
Все ежеквартальные номера «Хакера» теперь можно заказать сразу
У нас отличные новости: в магазине «Хакера» появился комплект из всех четырех ежеквартальных выпусков журнала за 2026 год. Теперь можно оформить заказ сразу на все номера и зарезервировать экземпляры за собой. Стоимость бандла составляет 6500 рублей. В цену входят четыре журнала и их доставка.
Тебе не придется следить за открытием новых предзаказов, ловить остатки тиражей и переживать, что какой-то номер закончится раньше времени — весь комплект 2026 года уже будет забронирован за тобой.
https://xakep.ru/2026/05/22/paper-bundle/
Критический баг в Drupal может привести к удаленному выполнению кода
Разработчики Drupal выпустили экстренные патчи для «высококритичной» уязвимости в Drupal Core, которая затрагивает сайты, использующие PostgreSQL. Проблема получила идентификатор CVE-2026-9082 и связана с SQL-инъекцией, которая в некоторых сценариях может привести к удаленному выполнению кода.
https://xakep.ru/2026/05/22/drupal-injection/
Go фаззить! Пишем свой сканер поддоменов, чтобы изучить параллелизм в Golang
👑 Статья для подписчиков
Задачи перебора — путей, паролей, хешей или еще чего‑то — выгодно выполнять параллельно. И язык Go здесь подходит как нельзя лучше. Сегодня мы освоим концепцию горутин — легковесных потоков, которыми управляет собственный планировщик в user space, а не ОС, что радикально меняет нагрузку на систему. Заодно напишем свой фаззер поддоменов.
https://xakep.ru/2026/05/22/go-subdomains/
Специалисты Google случайно опубликовали эксплоит для неисправленной уязвимости
Инженеры Google случайно раскрыли детали опасной уязвимости в Chromium, которая оставалась неисправленной почти четыре года. Баг позволяет поддерживать выполнение JavaScript-кода в фоне даже после закрытия браузера, а в некоторых случаях и после перезагрузки устройства. Проблема угрожает Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc и другим Chromium-браузерам.
https://xakep.ru/2026/05/22/chromium-flaw/
Разработчики анонсировали Flipper One и обратились за помощью к сообществу
Один из создателей Flipper Zero Павел Жовнер впервые подробно представил Flipper One — новый проект Flipper Devices, над которым команда работает уже несколько лет. Речь идет не о следующем поколении Flipper Zero, а о полноценном Linux-девайсе для сетевых задач, SDR, DIY-модулей и локального запуска LLM.
https://xakep.ru/2026/05/22/flipper-one-develop/
В Discord появилось сквозное шифрование голосовых и видеозвонков
В Discord заработало сквозное шифрование (end-to-end encryption, E2EE) по умолчанию для голосовых и видеозвонков. Теперь E2EE будет использоваться во всех личных и групповых звонках, голосовых каналах и трансляциях Go Live, и пользователям не понадобится включать защиту вручную.
https://xakep.ru/2026/05/21/discord-e2ee/
Observium против зоопарка ОС. Настраиваем мониторинг в домашней лаборатории
👑 Статья для подписчиков
В этой статье я покажу, как собрать домашний мониторинг сети на Observium: с автообнаружением устройств, графиками нагрузки, алертами и базовой картой подключений. Запустим Observium в Docker на ARM64, настроим SNMP в разных ОС и научимся не наступать на типичные грабли.
https://xakep.ru/2026/05/21/observium/
Из Steam удалили игру Beyond The Dark, содержавшую малварь
Специалисты Valve удалили из Steam бесплатный хоррор Beyond The Dark, после того как пользователи сообщили о вредоносном коде в файлах игры. Выяснилось, что проект собирал данные пользователей, изучал системы жертв и связывался с удаленной инфраструктурой своих операторов.
https://xakep.ru/2026/05/21/beyond-the-dark/
Новая волна атак Shai-Hulud привела к компрометации 600 npm-пакетов
Исследователи сообщили о новой волне атак малвари Shai-Hulud на экосистему npm. На этот раз злоумышленники опубликовали более 600 зараженных версий пакетов. Атаки затронули свыше 300 проектов (включая экосистему AntV, популярные React-библиотеки и CI/CD-среды).
https://xakep.ru/2026/05/20/new-shai-hulud-attack/
Голый код. Изучаем протектор ElecKey
👑 Статья для подписчиков
Сегодня мы разберемся с нестандартным протектором ElecKey и посмотрим, как защита приложения может быть скомпрометирована. Попутно выясним, почему стандартные инструменты дампинга не справляются с этой задачей, найдем обходной путь и напишем небольшой демонстрационный скрипт.
https://xakep.ru/2026/05/20/eleckey-reverse/
Опубликован PoC-эксплоит для Linux-уязвимости DirtyDecrypt
Исследователи опубликовали PoC-эксплоит для новой уязвимости повышения привилегий в ядре Linux. Баг, получивший название DirtyDecrypt (он же DirtyCBC), позволяет локальному атакующему получить root-права в уязвимых системах.
https://xakep.ru/2026/05/20/dirtydecrypt/
Drupal готовит патч для критической уязвимости с простой эксплуатацией
Разработчики Drupal предупредили пользователей о выходе «высококритичных» обновлений безопасности для CMS. Патчи для еще нераскрытой уязвимости появятся сегодня, 20 мая 2026 года, и команда проекта прямо советует администраторам заранее зарезервировать время на срочное обновление сайтов. По словам разработчиков, эксплоиты могут появиться «в течение часов или дней» после раскрытия данных о проблеме.
https://xakep.ru/2026/05/20/drupal-patches/
Зафиксированы первые случаи эксплуатации свежего бага в NGINX
Критическая уязвимость CVE-2026-42945 в NGINX, получившая название NGINX Rift, уже используется в реальных атаках. По данным специалистов компании VulnCheck, попытки эксплуатации начались буквально через несколько дней после публикации CVE и выхода патчей.
https://xakep.ru/2026/05/19/cve-2026-42945-attacks/
Исследователь утверждает, что Microsoft отклонила сообщение о критической уязвимости в Azure
ИБ-исследователь Джастин О'Лири (Justin O'Leary) заявил, что разработчики Microsoft незаметно устранили критическую уязвимость в Azure Backup for AKS, но при этом отказались признавать проблему и не стали присваивать ей идентификатор CVE.
https://xakep.ru/2026/05/19/azure-backup-for-aks/
Хакеры взломали GitHub Grafana Labs и шантажируют разработчиков
Хакеры получили доступ к GitHub-инфраструктуре Grafana Labs с помощью похищенного токена и украли исходные коды компании. После этого злоумышленники попытались шантажировать разработчиков, угрожая публикацией украденных данных. В Grafana заявили, что платить выкуп не намерены.
https://xakep.ru/2026/05/19/grafana-leak/
Microsoft конфисковала домен сервиса, который использовался для подписи вредоносного ПО
Специалисты Microsoft сообщили о ликвидации крупного сервиса, который использовался преступниками для подписания малвари (malware-signing-as-a-service, MSaaS) и позволял маскировать вредоносное ПО под легитимные приложения. Платформа signspace[.]cloud злоупотребляла облачным сервисом Artifact Signing (ранее Azure Trusted Signing), предназначенным для подписания программного обеспечения.
https://xakep.ru/2026/05/22/msaas/
Anthropic исправила проблему обхода песочницы в Claude Code
В Claude Code нашли уже вторую за последние месяцы уязвимость, позволявшую обойти песочницу ИИ-агента. Как утверждает исследователь Аонан Гуань (Aonan Guan), проблема могла использоваться для кражи данных, но разработчики Anthropic исправили баг без публичного предупреждения, отдельного бюллетеня безопасности и идентификатора CVE.
https://xakep.ru/2026/05/22/claude-code-sandbox/
В «Ростелекоме» создали систему «Леший коннект» для удаленного управления роутерами
«Ростелеком» подал в Минцифры заявку на включение системы «Леший коннект» в реестр отечественного ПО. Речь идет о платформе для массового управления домашними роутерами и модемами абонентов через протокол TR-069/CWMP. Как следует из заявки, система нужна для удаленной диагностики устройств, автоматической настройки услуг и централизованного обновления прошивок.
https://xakep.ru/2026/05/22/leshij-connect/
СМИ: введение платы за VPN-трафик решили отложить
Власти решили отложить введение дополнительной платы за международный трафик сверх 15 Гбайт в месяц в мобильных сетях. Изначально запуск этого механизма планировался в мае, затем сроки сдвинули на 1 июня, но теперь, как сообщают источники РБК и «Коммерсанта», инициативу отложили как минимум до осени, а возможно — до завершения сентябрьских выборов в Госдуму.
https://xakep.ru/2026/05/22/traffic-payment/
В Microsoft рассказали, как защититься от 0-day-уязвимости YellowKey для обхода BitLocker
Разработчики Microsoft представили временные защитные меры для проблемы YellowKey — 0-day-уязвимости для обхода BitLocker, которая позволяет получить доступ к зашифрованным данным на Windows-устройствах при наличии доступа к системе. Уязвимость получила идентификатор CVE-2026-45585 и оценку 6,8 балла по шкале CVSS.
https://xakep.ru/2026/05/21/yellowkey-migration/
БеКон 2026: единственная в России конференция по безопасности контейнеров и Kubernetes
Четвёртый БеКон собирает технических специалистов, чтобы говорить о безопасности Kubernetes без маркетинговой шелухи: только практики, кейсы и инструменты.
Два трека под разные задачи:
🧪 «Ингредиенты» — технологии: hardening кластеров, runtime-защита, policy-as-code, сканирование образов
👥 «Рецепты» — люди и процессы: как выстроить культуру безопасности, коммуникацию Dev/Sec/Ops, внедрить Zero Trust в микросервисы
Зачем идти?
✅ Узнать, как защищать контейнерные среды в реальных условиях, а не на слайдах
✅ Понять, какие инструменты и подходы работают в 2026 году
✅ Обсудить боли с коллегами и спикерами на Speaker Party
✅ Заработать баллы на геймификации и забрать мерч
✅ Заглянуть в мершоп БеКон за эксклюзивным мерчом
БеКон 2026 — где безопасность контейнеров перестаёт быть теорией.
🗓 2 июня 2026 | 📍 Москва, Лофт ГОЭЛРО
Подробнее - https://bekon.luntry.ru/
Реклама. АО «КлаудРан». ИНН 7804715379
Малварь fast16 была нацелена на саботаж разработки ядерного оружия
ИБ-специалисты Symantec и Carbon Black опубликовали анализ вредоноса fast16 и подтвердили главную гипотезу исследователей SentinelOne: малварь создавали для саботажа ядерных исследований. По данным аналитиков, вредонос вмешивался в расчеты, связанные с моделированием имплозии и ударного сжатия урана — ключевыми процессами при разработке ядерного оружия.
https://xakep.ru/2026/05/21/fast16-targets/
Разработчик GitHub установил вредоносное расширение для VS Code. Взломано 3800 репозиториев
Представители GitHub предупредили, что компания пострадала от атаки на цепочку поставок и компрометация затронула примерно 3800 внутренних репозиториев. Сообщается, что атака произошла после того, как один из сотрудников GitHub установил вредоносное расширение для Visual Studio Code.
https://xakep.ru/2026/05/21/github-breach/
Завершился Pwn2Own Berlin. Исследователи показали 47 уникальных 0-day
На завершившемся соревновании Pwn2Own Berlin 2026 ИБ-исследователи заработали 1 298 250 долларов США, продемонстрировав эксплуатацию 47 уникальных уязвимостей нулевого дня. В этом году соревнование было посвящено корпоративным технологиям и ИИ, а среди целей оказались Windows 11, Microsoft Exchange, VMware ESXi, браузеры, контейнерные среды и LLM-инструменты.
https://xakep.ru/2026/05/20/pwn2own-berlin-results/
AI-индустрия научилась идеально генерировать не только текст, но и бессмысленные анонсы.
Каждую неделю нам продают "революцию": новый агент, новый benchmark, новый copilot, новый способ случайно слить данные в AI провайдера. Разобраться, где там реальная польза, а где очередной демо-ролик для инвесторов, становится отдельной работой.
В Похек AI как раз этим и занимаются: фильтруют AI-новости, разбирают обновления OpenAI/Anthropic/других вендоров, тестируют инструменты и пишут про AI security без религиозной веры в каждый новый релиз. Иначе ИИ-новости сейчас выглядят как: OpenAI что-то выкатил, Anthropic что-то улучшил, кто-то снова "убил программистов", а через неделю выясняется, что половина инфоповода была красивым пресс-релизом.
Из полезного для старта - пост Где легально ломать LLM: площадки и лабы, где можно практиковаться без сомнительных историй.
Если интересен AI не как хайп, а как поверхность атаки, инструмент защиты и новая боль для безопасников и разработчиков - канал стоит добавить в подписки)
Реклама. ИП Зыбнев С.Р. ИНН 771683470318
Появились клоны червя Shai-Hulud, которые уже используются в атаках на npm
После публикации исходников червя Shai-Hulud в открытом доступе в npm уже замечены первые клоны этой малвари. Один из обнаруженных специалистами вредоносных пакетов оказался практически точной копией оригинального червя, а другой превращает зараженные машины разработчиков в DDoS-ботнет.
https://xakep.ru/2026/05/20/shai-hulud-clones/
Edge больше не будет хранить пароли в памяти процесса в открытом виде
После критики со стороны ИБ-исследователей разработчики Microsoft решили изменить поведение браузера Edge, которое компания изначально называла «особенностью работы приложения». Теперь браузер не будет загружать все сохраненные пароли в память при запуске.
https://xakep.ru/2026/05/19/edge-passwords/
Burp Suite с самого начала. Делаем первые шаги в веб-пентестинге #начинающим
👑 Статья для подписчиков
Burp Suite — основной инструмент при работе с вебом. Освоить его — это, считай, освоить азы атак на веб‑серверы. Из этого гайда ты узнаешь, как пентестеры подделывают запросы для обхода аутентификации, подбирают пароли и находят другие уязвимости с помощью Burp.
https://xakep.ru/2026/05/19/burp-first-steps/
Mozilla: VPN являются важнейшими инструментами обеспечения конфиденциальности и безопасности
Представители Mozilla раскритиковали британские власти за попытки запретить VPN в рамках закона Online Safety Act. В организации предупредили, что борьба с инструментами анонимизации не решит проблему обхода возрастных проверок, но ударит по приватности и безопасности миллионов обычных пользователей.
https://xakep.ru/2026/05/19/mozilla-about-vpn/
Курс Security Awareness в Inseca: сотрудник как первый рубеж защиты
В последние годы российский корпоративный рынок информационной безопасности переживает бурный рост: спрос на обучение сотрудников основам кибергигиены стремительно увеличивается. Однако за оптимистичными отчетами об охвате персонала и закупках лицензий на образовательные платформы часто скрывается горькая правда. Большинство программ Security Awareness застревают на уровне формального комплаенса, не принося реальной пользы бизнесу и не делая инфраструктуру по-настоящему безопасной.
https://xakep.ru/2026/05/19/inseca-security-awareness/
Реклама. ООО «ИНСЕКА». ИНН 3444279416. Erid: 2SDnjduUT7G