32258
Xakep.RU: взлом, защита, кодинг. @Nifeya — реклама и сотрудничество.
X просит пользователей перерегистрировать passkey или их аккаунты будут заблокированы
Социальная сеть X (бывший Twitter) предупредила пользователей, что до 10 ноября они должны повторно зарегистрировать свои аппаратные ключи безопасности и passkey, которые используются для двухфакторной аутентификации. Если не сделать этого вовремя, доступ к аккаунтам будет заблокирован.
https://xakep.ru/2025/10/28/x-passkey/
Infrastructure as Code: новый курс OTUS
Инфраструктура как код перестала быть редким навыком — сегодня это must have для системных инженеров, админов, DevOps и разработчиков
OTUS запускает обновлённый курс «Infrastructure as a Code», где вы научитесь строить предсказуемую инфраструктуру, работать с Terraform, Ansible, GitLab, Jenkins и другими инструментами
На курсе вы:
— освоите IaC на уровне Middle+
— развернёте реальные пайплайны для управления инфраструктурой
— научитесь кастомизировать Ansible и работать с иммутабельными окружениями
— соберёте портфолио проектов под руководством практиков
📌 Формат: онлайн, 4 месяца, 2 вебинара в неделю
📅 Старт: 29 октября (вступительное тестирование)
Запишитесь на тест, чтобы попасть в группу курса «Infrastructure as a Code» https://vk.cc/cQMdaY
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Омнибокс браузера ChatGPT Atlas уязвим перед джейлбрейком
Исследователи из компании NeuralTrust обнаружили уязвимость в агентном браузере ChatGPT Atlas компании OpenAI. На этот раз вектор атаки связан с омнибоксом — строкой, куда пользователи вводят URL или поисковые запросы. Оказалось, что вредоносный промпт для ИИ можно замаскировать под безобидную ссылку, и браузер воспримет это как доверенную команду, поступившую от пользователя.
https://xakep.ru/2025/10/28/atlas-omnibox/
Расширения для Firefox обязали раскрывать, собирают ли они данные пользователей
Mozilla будет требовать от создателей расширений для Firefox открыто указывать, какие пользовательские данные они собирают или передают третьим сторонам. Новые правила вступят в силу 3 ноября 2025 года и станут обязательными для всех разработчиков в первой половине 2026 года.
https://xakep.ru/2025/10/28/firefox-addons-data/
Исследователи заработали больше миллиона долларов и раскрыли 73 уязвимости на Pwn2Own Ireland
Завершился хакерский конкурс Pwn2Own Ireland 2025. На этот раз участники заработали 1,02 млн долларов США, продемонстрировав 73 эксплоита для уязвимостей нулевого дня в популярных устройствах и сервисах. Исследователи атаковали смартфоны, NAS, роутеры, системы умного дома и даже очки Ray-Ban Smart Glasses. Однако заявленный взлом WhatsApp, который должен был принести специалистам миллион долларов, не состоялся.
https://xakep.ru/2025/10/27/pwn2own-ireland-2025/
HTB Artificial. Эксплуатируем баг в TensorFlow и атакуем Backrest #статьи #подписчикам
Сегодня я продемонстрирую эксплуатацию уязвимости в популярной библиотеке TensorFlow. Это позволит нам исполнять команды на сервере, чем мы и воспользуемся, чтобы получить учетные данные, а затем повысить привилегии через оболочку Backrest для restic backup.
https://xakep.ru/2025/10/27/htb-artificial/
ChatGPT Atlas и Perplexity Comet уязвимы перед спуфингом боковой панели
Специалисты SquareX обнаружили уязвимость в агентных ИИ-браузерах ChatGPT Atlas компании OpenAI и Comet компании Perplexity. Атака AI Sidebar Spoofing позволяет злоумышленникам подделывать встроенную боковую панель с ИИ-ассистентом и выдавать пользователям вредоносные инструкции.
https://xakep.ru/2025/10/27/ai-sidebar-spoofing/
🎉 Результаты розыгрыша:
🏆 Победители:
1. Stanislaw (@wakeupneo)
2. Sergey (@Xolik138)
3. ? (@WANDMZLAN)
4. r (@famblick)
5. Tim (@tristaro)
6. Thrain (@hellb3nder)
7. Kirill (@QuackingGoose723)
8. Maksim (@PooTChi83)
9. Germanubis (@germanubis)
10. Stan (@AllesIstRelativ)
11. Константин (@kostanV)
12. Дуда (@mr_admm)
13. Реб (@Velez6)
14. 4D61686F75 (@akinoiro)
15. Елена (@Yelena_s17)
✔️Проверить результаты
В Oracle VirtualBox найдена цепочка уязвимостей, ведущая к побегу из виртуальной машины
Специалисты BI.ZONE выявили две уязвимости (CVE-2025-62592 и CVE-2025-61760) в Oracle VirtualBox. В сочетании эти проблемы позволяли выполнить побег из виртуальной машины VirtualBox на хостовую систему macOS на базе ARM.
https://xakep.ru/2025/10/24/oracle-virtualbox-cves/
Франкенсерт. Как стать гендиром, имея мобильное приложение и ОTP уборщицы
Уязвимость, о которой пойдет речь, была использована при проведении внешнего тестирования в рамках редтиминга. Атака строилась на том, что корпоративное мобильное приложение позволяло выпускать сертификаты, которые были валидными не только на внешнем периметре организации, но и в корпоративной сети.
https://xakep.ru/2025/10/24/mobile-certificate/
TP-Link предупреждает о критической проблеме в шлюзах Omada
Компания TP-Link предупреждает о четырех опасных уязвимостях в шлюзах Omada, которые позволяют выполнять произвольные команды и получить root-доступ. Уязвимостям подвержены более десяти моделей серий ER, G и FR, и TP-Link выпустила обновления прошивки для каждой из них.
https://xakep.ru/2025/10/24/omada-patches/
Android-бэкдор Baohuo ворует учетные записи Telegram
Аналитики «Доктор Веб» обнаружили бэкдор Baohuo, скрывающийся в модифицированных версиях мессенджера Telegram X. Помимо хищения конфиденциальных и учетных данные пользователя и истории переписки, малварь обладает рядом уникальных особенностей. Например, умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств.
https://xakep.ru/2025/10/24/baohuo/
Сбой AWS вывел из строя умные системы для сна Eight Sleep
На этой неделе масштабный сбой Amazon Web Services (AWS) вывел из строя не только половину интернета, но и умные системы для сна Eight Sleep стоимостью несколько тысяч долларов. Пользователи жаловались, что некоторых из них разбудил нестерпимый жар от разогревшегося матраса, а другие застряли в приподнятом положении и не смогли лечь горизонтально. Теперь у многих…
https://xakep.ru/2025/10/23/eight-sleep/
Мастерская хакера. Стресс-тестинг сайтов, бенчмарк для команд, работа с текстом и другие полезности #статьи #подписчикам
Пользователи с Linux, знают: в терминале можно творить чудеса, если под рукой правильный набор инструментов. Покопавшись в том, что я использую сам, я отобрал то, что отношу к категории «мастхэв».
https://xakep.ru/2025/10/23/hacker-tools-7/
Группировка ColdRiver использует ClickFix-атаки и поддельные CAPTCHA
Специалисты Google Threat Intelligence Group сообщают, что русскоязычная хак-группа ColdRiver усиливает активность и применяет новые семейства малвари (NoRobot, YesRobot, MaybeRobot), которые разворачиваются через сложные цепочки доставки, начинающиеся с социальной инженерии и атак типа ClickFix.
https://xakep.ru/2025/10/23/coldriver-robots/
Хакеры массово эксплуатируют устаревшие плагины для WordPress
Компания Wordfence предупреждает о масштабной вредоносной кампании, в рамках которой злоумышленники эксплуатируют критические уязвимости в популярных WordPress-плагинах GutenKit и Hunk Companion. Компания заблокировала 8,7 млн попыток таких атак на своих клиентов всего за два дня.
https://xakep.ru/2025/10/28/wp-plugins-attacks/
Следуй за белым кроликом. Реверсим файлы, зашифрованные алгоритмом Rabbit #статьи #подписчикам
В этой статье мы разберем практическое применение потокового шифра Rabbit на примере реального приложения: опознаем алгоритм по коду, проследим поток чтение → обработка → запись, найдем процедуру инициализации, а потом напишем собственный модуль для шифрования и дешифровки файлов.
https://xakep.ru/2025/10/28/rabbit-reverse/
Эксплуатацию 0-day уязвимости в Chrome связали с малварью Hacking Team и операцией «Форумный тролль»
Специалисты «Лаборатории Касперского» впервые обнаружили использование в реальных атаках шпионского ПО Dante, созданного итальянской компанией Memento Labs (ранее Hacking Team). Отследить активность малвари удалось благодаря анализу операции «Форумный тролль», нацеленной на сотрудников российских организаций.
https://xakep.ru/2025/10/28/dante-hacking-team/
Акция для подписчиков «Хакера»: сертификация CEWH и карьерный разбор
CyberEd открывает набор в программу «Пентестер», и для аудитории «Хакера» действует специальное предложение — бесплатная сертификация CyberEd White Hacker (обычная цена сертификата составляет 33 000 ₽). CEWH — это не формальная отметка в резюме, а практическое подтверждение реальных навыков.
https://xakep.ru/2025/10/28/cybered-xakep/
Реклама. ОАНО ДПО «ВЫШТЕХ». ИНН 7703434727.
Фишеры пугают пользователей LastPass фальшивыми свидетельствами о смерти
Разработчики менеджера паролей LastPass предупредили пользователей о масштабной фишинговой кампании, начавшейся в середине октября 2025 года. Злоумышленники рассылают письма с поддельными запросами на экстренный доступ к хранилищу паролей, которые якобы связаны со смертью пользователей.
https://xakep.ru/2025/10/27/lastpass-legacy/
В BIND патчат серьезные уязвимости, связанные с отравлением кеша
Специалисты некоммерческой организации, занимающейся поддержкой инфраструктуры интернета, Internet Systems Consortium, выпустили обновления для DNS-сервера BIND 9, устраняющие сразу три серьезные уязвимости. Две из них позволяют атакующим отравлять кеш, а третья может привести к отказу в обслуживании.
https://xakep.ru/2025/10/27/bind-patches/
Microsoft выпустила экстренный патч для Windows Server Update Service
Разработчики Microsoft выпустили внеплановые патчи для критической уязвимости в Windows Server Update Service (WSUS), для которой уже появился публичный proof-of-concept эксплоит. Проблема получила идентификатор CVE-2025-59287 и позволяет удаленно выполнить код на уязвимых серверах.
https://xakep.ru/2025/10/27/cve-2025-59287/
Роман «Хакеры.RU» в продаже. Бумага или электронная версия — выбор за тобой
Роман Валентина Холмогорова «Хакеры.RU» — это история о том, как хакерство становится способом найти себя. Книга доступна в двух форматах: классическое печатное издание с черно-белыми иллюстрациями и цифровая версия.
Праздники не за горами, а книга — это всегда отличный подарок. Печатная версия — для тех, кто ценит тактильные ощущения и шелест страниц. Электронная — для тех, кто всегда носит библиотеку в кармане. В любом случае ты погрузишься в роман о свободе и времени, когда интернет казался бесконечным миром возможностей.
https://xakep.ru/2025/10/24/hacker-book/
Реклама. ИП Яковлева А.В. ИНН 503806735948.
С YouTube удалили 3000 видеороликов, распространявших вредоносное ПО
Специалисты Google удалили с YouTube более 3000 видео, которые распространяли инфостилеры под видом взломанного софта и читов для игр. Исследователи Check Point дали этой кампании имя YouTube Ghost Network и сообщают, что она была активна с 2021 года, резко активизировавшись в 2025 году, когда число вредоносных видео утроилось.
https://xakep.ru/2025/10/24/youtube-ghost-network/
Группировка Jingle Thief взламывает компании ради кражи подарочных карт
Специалисты Palo Alto Networks обнаружили хак-группу Jingle Thief, которая атакует облачные инфраструктуры ритейлеров и компаний из сферы потребительских услуг ради массового выпуска и кражи подарочных карт.
https://xakep.ru/2025/10/24/jingle-thief/
Microsoft отключает предварительный просмотр файлов, загруженных из интернета
Разработчики отключили в «Проводнике» (File Explorer, ранее Windows Explorer) предварительный просмотр для файлов, скачанных из интернета. Теперь превью автоматически блокируется, чтобы предотвратить кражу учетных данных через вредоносные документы.
https://xakep.ru/2025/10/24/file-explore-preview/
27 октября в Москве пройдет воркшоп по брендингу ИБ-продуктов «Бренд в шести измерениях»
Совсем скоро основатель «Хакера» Дмитрий Агарунов проведет практический воркшоп «Бренд в шести измерениях», посвященный упаковке кибербез- и ИТ-продуктов для стартапов и разработчиков.
Когда: 27 октября, 18:00–21:00.
Где: «Кибердом», г. Москва, ул. 2-я Звенигородская, д. 12 стр. 18.
Мероприятие ориентировано на основателей ИБ-стартапов, BDM, продакт-менеджеров и технические команды, готовящие выход на рынок.
Вы получите бренд-код продукта вашей компании и научитесь:
▪️переводить технические фичи в понятные клиенту преимущества;
▪️четко формулировать уникальную ценность продукта;
▪️строить позиционирование, которое выделит вас среди конкурентов;
▪️говорить с клиентами на их языке, а не на языке кода.
📝 Зарегистрироваться.
Реклама. АО «Кибердом». ОГРН 1217700633622.
Работу белых хакеров предложили передать под контроль ФСБ
СМИ со ссылкой на собственные источники сообщают, что в работе находится новая версия законопроекта о легализации белых хакеров. Совет Федерации, ФСБ, МВД и ИБ-компании обсуждают возможность создания реестра белых хакеров и их сертификацию. Работу специалистов будут регулировать силовые ведомства, включая ФСБ.
https://xakep.ru/2025/10/23/bug-bounty-law/
Уязвимость TARmageddon затрагивает Rust-библиотеку async-tar и ведет к удаленному выполнению кода
В заброшенной библиотеке async-tar и ее форках (включая tokio-tar) обнаружили опасную уязвимость, получившую название TARmageddon, которая позволяет удаленно выполнить произвольный код.
https://xakep.ru/2025/10/23/tarmageddon/
Суд запретил NSO Group атаковать пользователей WhatsApp с помощью шпионского ПО Pegasus
Федеральный суд обязал израильскую компанию NSO Group (разработчика коммерческого шпионского Pegasus) прекратить использование спайвари для таргетирования и атак на пользователей WhatsApp.
https://xakep.ru/2025/10/23/nso-whatsapp/