Компания Microsoft удалила из preview-сборок Windows 11 скрипт BypassNRO.cmd, который позволял устанавливать ОС без подключения к интернету и обходить требование о необходимости использования учетной записи Microsoft.
Аналитики Sucuri обнаружили, что хакеры используют директорию MU-plugins (Must-Use Plugins) в WordPress, чтобы скрывать вредоносный код и запускать его, избегая обнаружения.
Исследователи из немецкого стартапа thinkAwesome GmbH сообщили, что в популярной собаке-роботе Unitree Go1 есть предустановленный и недокументированный туннельный сервис для удаленного доступа.
Новая банковская малварь для Android, получившая название Crocodilus, вынуждает пользователей предоставить seed-фразы для криптовалютных кошельков, якобы ради создания резервной копии. Также банкер обладает возможностями по перехвату контроля над устройством, сбору данных и удаленному управлению.
Исследователи «Лаборатории Касперского» обнаружили новую волну атак группы Head Mare, нацеленную на российские промышленные предприятия. В этой кампании хакеры использовали ранее неизвестный бэкдор PhantomPyramid, написанный на Python.
Компания OpenAI увеличила максимальный размер вознаграждения за уязвимости до 100 000 долларов (с 20 000 долларов), так как планирует передать на аутсорсинг обнаружение критически важных уязвимостей в своей инфраструктуре и продуктах.
Для подписчиковСегодня я покажу, как можно повысить права в Arch Linux путем создания собственного пакета pacman. Но прежде чем доберемся до ОС, нам предстоит проэксплуатировать XSS на сайте и выкрасть приватные данные через API Ethereum, используя Forge — ПО для проверки смарт‑контрактов.
Исследователи предупреждают о новой атаке на цепочку поставок. Десять пакетов npm, некоторые из которых существуют почти 10 лет, получили вредоносные обновления для кражи переменных окружения и других конфиденциальных данных из систем разработчиков.
Недавно обнаруженная PhaaS-платформа (phishing-as-a-service, «фишинг-как-услуга») Morphing Meerkat использует протокол DNS-over-HTTPS (DoH), чтобы избежать обнаружения и MX-записи DNS, чтобы определять email-провайдеров жертв и динамически загружать фальшивые страницы логина для 114 различных брендов.