ИБ-исследователи из компании LayerX обнаружили уязвимость в недавно вышедшем браузере ChatGPT Atlas компании OpenAI. Проблема позволяет злоумышленникам внедрять вредоносные инструкции в память ИИ-ассистента и выполнять произвольный код.
Специалисты «Лаборатории Касперского» рассказали о новых целевых атаках группы BlueNoroff. Вредоносные кампании GhostCall и GhostHire фиксируются с апреля 2025 года, а их целями стали криптовалютные организации и Web3-организации в Индии, Турции, Австралии и других странах Европы и Азии.
С августа 2024 года, в рамках кампании PhantomRaven в npm загрузили 126 вредоносных пакетов, которые суммарно скачали более 86 000 раз. Кампанию обнаружили специалисты Koi Security, которые пишут, что атаки осуществлялись благодаря малоизвестной особенности npm, которая позволяет обходить защиту и детектирование.
Исследователи Varonis обнаружили MaaS-платформу (malware-as-a-service) Atroposia. За 200 долларов США в месяц ее клиенты получают троян удаленного доступа с широкими возможностями, включая: удаленный рабочий стол, управление файловой системой, хищение информации, учетных данных и содержимого буфера обмена, криптовалютных кошельков, подмена DNS, а также встроенный сканер для поиска локальных уязвимостей.
Для подписчиковМы изучили безопасность типичного «мозга» китайского автомобиля — SoC со встроенным сотовым модемом. Низкоуровневая ошибка переполнения стека позволила удаленно выполнить код на ранней стадии соединения — до срабатывания защит. Следом мы получили доступ к процессору приложений и смогли запустить произвольный код с максимальными привилегиями — то есть получили полный контроль над бортовым компьютером.
Специалисты ThreatFabric рассказывают о новом банковском трояне Herodotus, который применяется в атаках на пользователей в Италии и Бразилии. Малварь специализируется на захвате устройств и пытается имитировать поведение человека, чтобы обойти системы поведенческого анализа.
Социальная сеть X (бывший Twitter) предупредила пользователей, что до 10 ноября они должны повторно зарегистрировать свои аппаратные ключи безопасности и passkey, которые используются для двухфакторной аутентификации. Если не сделать этого вовремя, доступ к аккаунтам будет заблокирован.
Второй раз за последние месяцы компании Google приходится опровергать новости о масштабной утечке пользователей Gmail. Поводом послужили публикации о «взломе 183 млн аккаунтов», которые разошлись по сети, хотя никакой утечки и инцидента с серверами Google не было.
Исполнительный директор Ассоциации предприятий компьютерных и информационных технологий (АПКИТ) Николай Комлев предложил ввести в России уголовную ответственность за использование пиратского софта. Свою инициативу он озвучил 27 октября 2025 года на встрече рабочей группы по цифровизации при уполномоченном по защите прав предпринимателей.