💣 Фишинг-атака скомпрометировала 18 популярных JavaScript-пакетов на NPM

Злоумышленники использовали домен npmjs.help, зарегистрированный всего за 2 дня до атаки, чтобы обмануть разработчика поддельным письмом о необходимости обновить 2FA — и получили доступ к пакетам с 2 миллиардами загрузок.

Вредоносный код незаметно переписывал адреса криптокошельков прямо в браузере пользователей, направляя переводы и разрешения на подконтрольные злоумышленникам реквизиты без явных признаков подмены.

Атакующие ограничились только кражей криптовалюты, хотя цепочка поставок кода открывала им куда более широкий простор для вреда — от массового сбора данных до парализации критической инфраструктуры.

#NPM #фишинг #JavaScript

@SecLabNews

🖥Анонимная утечка обнажила китайскую империю цифрового контроля

Утечка более 100 тысяч внутренних файлов компании Geedge Networks раскрыла масштабы экспорта китайских технологий цензуры. Малоизвестная организация, связанная с создателем «Великого китайского файрвола» Фан Бинсином, поставляет государствам комплексные решения для фильтрации трафика и слежки за гражданами.

Система Tiangou Secure Gateway может контролировать десятки миллионов соединений одновременно, как показали скриншоты из Мьянмы с 81 млн активных подключений. Платформа не только блокирует нежелательный контент и VPN-сервисы, но также перехватывает незашифрованные данные и проводит глубокий анализ защищённого трафика с помощью машинного обучения.

География внедрений охватывает Казахстан, Эфиопию, Пакистан, Мьянму и ещё одну неидентифицированную страну. Исследователи зафиксировали не только пассивный мониторинг, но и активные вмешательства — включая случаи, произошедшие за дни до отключений интернета.

#цензура #китай #слежка #интернет

@SecLabNews

🔥Александр Попов обошёл все защиты ядра Linux одним эксплойтом

Независимый исследователь Александр Попов представил методику эксплуатации критической уязвимости CVE-2024-50264 в ядре Linux. Его работа принесла ему победу в премии Pwnie Awards 2025 в категории «Лучшее повышение привилегий».

Ранее считалось, что защитные механизмы ядра делают эксплуатацию этой ошибки крайне затруднительной. Попов сумел обойти случайное распределение SLAB-кэшей и другие препятствия, разработав цепочку атак.

Ключевым элементом стало использование специального POSIX-сигнала для контролируемого прерывания системных вызовов. Это позволило надёжно воспроизводить гонку состояний и манипулировать структурами памяти ядра для достижения произвольной записи.

#LinuxSecurity #CVE202450264 #KernelExploit

@SecLabNews

🤯ИИ-провалы теперь награждают отдельной премией Дарвина

Организаторы легендарной премии Дарвина учредили новую категорию — ИИ-премию Дарвина за провальные внедрения искусственного интеллекта. Номинации быстро заполняются случаями, когда технологии применялись без должной осторожности и приводили к масштабным фиаско.

В числе лидеров — чат-бот McDonald's с паролем «123456», который открывал доступ к персональным данным 64 миллионов соискателей работы. Система Taco Bell в drive-thru оказалась неспособной корректно обрабатывать заказы клиентов, превратив быстрое питание в комедию ошибок.

Эксперимент на Replit с «vibe coding» завершился полным уничтожением рабочей базы данных, хотя разработчики явно просили не трогать код. Организаторы сравнивают ИИ с «чрезмерно энергичным щенком», которому по ошибке доверили критически важную инфраструктуру и молниеносное принятие решений.

#ИскусственныйИнтеллект #ТехПровалы #ПремияДарвина

@SecLabNews

💡 Более 500 криптографов выступили против европейского «контроля чатов» в мессенджерах

Новый законопроект ЕС по борьбе с CSAM-материалами стал точкой столкновения двух важных принципов: защиты уязвимых и права на конфиденциальность. Международная группа из более чем 580 учёных выступила с детальной критикой предложенных мер, указывая на их техническую несостоятельность и огромные риски для цифровых свобод. По их мнению, попытка решить одну проблему создаёт множество других, куда более масштабных.

Главный объект критики — система «сканирования на устройстве», которую эксперты сравнивают с принудительно установленным шпионским ПО. Они подчёркивают, что в отличие от антивируса, где решение принимает пользователь, здесь предполагается автоматическая отправка данных государству. Технологии обнаружения (и по хэшам, и с помощью ИИ) крайне ненадёжны, а любая система, ослабляющая шифрование, мгновенно становится главной целью для хакеров и иностранных спецслужб, ставя под угрозу безопасность всех, включая самих политиков.

Вместо рискованных технологических экспериментов авторы письма предлагают сфокусироваться на альтернативах, чья эффективность доказана. Это инвестиции в образование, психологическую помощь пострадавшим и улучшение работы с уже существующими жалобами. Учёные призывают законодателей к открытому диалогу и взвешенной политике, которая бы решала проблему CSAM, не создавая при этом инфраструктуру для глобальной слежки и не подрывая основы национальной безопасности.

#ЕС #CSAM #шифрование #кибербезопасность

@SecLabNews

👤 ФБР ищет украинца, причастного к атакам на 250+ компаний по всему миру

Минюст США предъявил обвинения украинцу Владимиру Тимощуку, которого считают одним из главных администраторов вымогательских программ LockerGoga, MegaCortex и Nefilim. По данным следствия, его хакерские атаки нанесли многомиллионный ущерб сотням компаний по всему миру.

Тимощук, разыскиваемый ФБР, обвиняется в том, что с 2019 по 2021 год он и его сообщники взломали более 250 корпоративных сетей. Кроме того, он предоставлял инфраструктуру другим хакерским группировкам, таким как JSWORM, Karma и Nemty, за что получал до 20% от выкупов. Один из его сообщников, Артём Стрижак, уже был экстрадирован в США.

Теперь за информацию, которая поможет найти и арестовать Тимощука, Госдепартамент США предлагает вознаграждение до $11 миллионов. Обвиняемому инкриминируют сговор с целью мошенничества и нанесение ущерба защищённым системам.

#кибербезопасность #хакеры #киберпреступность
@SecLabNews

🚔Суд признал: смайлик-клоун не тянет на оскорбление

История с «дачным чатом» в Красноярске обернулась неожиданным юридическим выводом. Районный суд отменил штраф в 5000 рублей за слово «хабалка» и смайлик-клоун, указав: для состава по ст. 5.61 КоАП мало личного чувства обиды — нужна именно неприличная, открыто циничная форма выражения.

Суд напомнил, что отрицательная оценка личности образует оскорбление только тогда, когда она выражена в циничной и глубоко противоречащей нормам морали форме. Само по себе восприятие потерпевшей не может служить критерием.

Так как доказательств неприличного характера слова представлено не было, а в словарях оно считается литературно допустимым, постановление мирового судьи отменили, а производство по делу прекратили.

#суд #оскорбление #эмодзи

@SecLabNews

🖕 Киберпанк, который мы заслужили, подъехал из Албании.

В Албании на войну с главным национальным злом — коррупцией — отправили солдата, которого нельзя ни запугать, ни подкупить. Встречайте, Диелла — первый в мире виртуальный министр, созданный на основе искусственного интеллекта. Именно ей правительство доверило самую грязную и сложную сферу: государственные закупки.

Премьер-министр страны заявил, что процесс будет постепенным, но конечная цель амбициозна — стопроцентная прозрачность и неподкупность. Диелла, чей аватар уже знаком гражданам, будет беспристрастно оценивать тендеры и даже нанимать таланты, ломая инертность старой бюрократии. То, что летом казалось шуткой, стало главным оружием в борьбе за европейское будущее страны.

🤔 Как считаете, это прорыв или первый шаг к цифровой диктатуре?

#Албания #Политика #Технологии @SecLabnews

🖥Pixel 10 подписывает каждый снимок криптографией

Компания Google представила новый механизм, интегрированный в свои смартфоны Pixel 10, который поможет отличить настоящие фотографии от поддельных. Система C2PA Content Credentials автоматически добавляет к каждому снимку метаданные, фиксирующие его происхождение и все последующие изменения.

Технология работает на основе криптографических принципов, аналогичных тем, что защищают финансовые операции. Каждое изображение получает уникальную цифровую подпись, которая создаётся и хранится в защищённом чипе безопасности Titan M2. Это гарантирует, что владелец фотографии остаётся анонимным, а при любых попытках подделать данные подпись немедленно аннулируется.

Google утверждает, что их подход превосходит прежние методы, которые были двусмысленными и уязвимыми для манипуляций. Компания планирует распространить эту технологию на другие устройства с Android, но конкретных сроков пока не называет. Цель — создать единый стандарт для всей отрасли, чтобы повысить уровень доверия к цифровому контенту в интернете.

#Google #Pixel10 #ContentCredentials

@SecLabNews

😱 Аренда аккаунта в MAX: мошенники предлагают до $250, но это — ловушка

На теневых форумах и в Telegram-каналах появилась новая мошенническая схема — аренда аккаунтов в мессенджере MAX. Злоумышленники предлагают пользователям от $10 до $250 за временное использование их учетных записей. Ежедневно публикуется до тысячи подобных объявлений, что свидетельствует о масштабах проблемы. Жертвы, соглашаясь на сделку, передают мошенникам свой номер телефона и код авторизации, после чего их аккаунты используются в противоправных целях.

МВД России подтверждает рост числа таких инцидентов. По информации ведомства, эта схема аналогична той, что ранее использовалась в WhatsApp. За вознаграждение, чаще всего $10–15, школьники и студенты сдают свои аккаунты. Эти учетные записи затем используются мошенническими колл-центрами.

С 1 сентября 2025 года в России действует закон, который запрещает передачу аккаунтов и сим-карт посторонним. Нарушителям грозит административный штраф до 700 тыс. рублей, а в случае участия в мошеннических схемах — уголовная ответственность до двух лет лишения свободы.

#MAX #Мошенники #Кибербезопасность

@SecLabNews

🆕 Еженедельный обзор киберновостей

Приватность в мессенджерах трещит под натиском законов, хакеры выискивают новые дыры в ключевых системах, а военные демонстрируют новые образцы «супероружия». Учёные тем временем открывают следы атмосферы на далёкой планете и налаживают лазерную связь на тысячи километров. В нашей подборке — самые интересные новости недели, чтобы вы ничего не пропустили.

🔥 В мире

500+ криптографов бьют тревогу из-за инициативы ЕС по борьбе с запрещенным контентом — Signal и WhatsApp могут покинуть Европу, если их заставят внедрить проверку сообщений на устройстве.

Китайская компания теперь продает готовые решения для тотального контроля над гражданами — "Великий Файрвол" можно заказать с доставкой и установкой.

Провайдер с Сейшел превратился в пристанище для киберпреступников, а за всем этим стоит один IT-специалист, построивший империю для всего преступного мира.

Вьетнам пережил крупнейшую утечку в истории государства — кредиты, налоги и военные ID всей страны оказались во власти преступников.

98 миллионов человек засудили Google за тайную слежку, а жюри признало компанию виновной в ущербе на $425 млн.

👁Цифровая Россия

Власти составили список из 57 "правильных" сайтов на случай отключения мобильной связи — от Сбербанка до Pikabu.

Касперский сформулировал правила безопасного мессенджера XXI века и объяснил, причем тут MAX.

Российское открытие в спинтронике сделает смартфоны в 100 раз чувствительнее благодаря новому СВЧ-детектору из гематита.

Сбербанк оценил масштабы кибервойны против российской экономики — 53% компаний под атакой и триллион потерь.

Русский хакер представил новую методику эксплуатации сложнейшей уязвимости в ядре Linux, превратив случайность в правило.

🛡Новости в сфере ИБ

Apple одним обновлением убила 25 лет хакерских техник — теперь взломать iPhone стало практически невозможно.

За $5000 теперь можно купить личного ИИ-хакера уровня профи — фишинг стал делом одного клика с SpamGPT.

Миллионы программистов стали заложниками одного файла tasks.json — популярный редактор Cursor пожертвовал безопасностью ради удобства.

CSS научился воровать данные без JavaScript — PortSwigger показал рабочий пример новой атаки.

Исследователи обошли 17 файрволов с помощью одного трюка с запятой — простая запятая сломала миллиардную индустрию безопасности.

🧰 Новости науки и технологий

Телескоп "Джеймс Уэбб" нашел признаки атмосферы у планеты Trappist-1e — одного из лучших кандидатов на роль "второй Земли".

Обычные бактерии освоили квантовые вычисления при комнатной температуре и переплюнули физиков из лучших лабораторий мира.

MIT доказал, что клетки умеют запоминать промежуточные состояния — учебники биологии врали нам 50 лет об экспрессии генов.

ВВС США создают дронов-убийц нового поколения, которые найдут цель даже в радиоэлектронном аду без GPS.

"Супероружие XXI века" впервые вышло в море — ATLA раскрыла детали огневых тестов системы со скоростью 8 тысяч км/ч.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews

🙅‍♂️Интимный шантаж: как не стать заложником вымогателей

Интернет сделал общение проще, а риск — ближе. Интимный шантаж, или сексторшн, — это вымогательство денег под угрозой публикации личных фото и видео. Жертвой может стать кто угодно, и это всегда преступление, а не "вина" пользователя.

Шантажисты используют разные схемы: подмена личности, взлом аккаунтов или дипфейки. Главное правило — не платить. Деньги только усиливают давление. Сосредоточьтесь на трёх вещах: безопасности аккаунтов, сборе доказательств и блокировке распространения.

Для борьбы с распространением материалов есть специальные сервисы, такие как StopNCII (для взрослых) и Take It Down (для несовершеннолетних). Они создают цифровой "отпечаток" материалов для их быстрого удаления с платформ. Подробнее об инструментах и шагах защиты рассказали в статье.

#безопасность #киберугрозы #приватность

@SecLabNews

⚔️ Нидерланды ставят хакеров в строй

Новая реальность: теперь хакеры будут работать на передовой бок о бок с солдатами. В Нидерландах создали 101-й батальон CEMA, где специалисты по кибероперациям и радиоэлектронной борьбе будут поддерживать боевые части напрямую.

Их задачи — взлом, подавление сигналов и сбор разведданных. В ходе тренировок они уже показали, что могут использовать даже бытовые гаджеты, вроде «умных» пылесосов, для получения ценной информации о противнике.

Подразделение, в котором сейчас служат около 20 хакеров, планируют расширить до 250 человек. Командование подчёркивает, что кибервозможности теперь так же важны, как и традиционное вооружение. «Танком вы не отключите сайт», — заявил командир батальона, объясняя, почему инвестиции в эту область являются стратегической необходимостью.

#Кибервойна #Нидерланды #ВоенныеХакеры

@SecLabNews

📱Звонки без согласия: Минцифры готовит "белый список"

В России может появиться список организаций, которым будет разрешено осуществлять массовые телефонные вызовы без предварительного согласия абонентов. Эту инициативу разрабатывает Министерство цифрового развития, связи и массовых коммуникаций в ответ на обращение ассоциации исследовательских компаний «Группа 7/89».

Поводом для обсуждения стали поправки в закон о борьбе с мошенничеством, которые, по мнению социологов, ставят под угрозу их работу. Сейчас операторы связи самостоятельно выявляют массовые звонки с помощью антифрод-систем. Массовые вызовы допускаются на основе договора между их инициатором и оператором связи, а также при наличии однозначного согласия абонента.

Представитель Минцифры подтвердил, что ведомство работает над созданием перечня таких организаций, однако их окончательный состав будет определён после консультаций с заинтересованными федеральными органами исполнительной власти. При этом с 1 сентября россияне могут установить запрет на массовые обзвоны через своих операторов, но это не касается звонков от органов власти и подведомственных им организаций.

#законопроект #Минцифры #телефонныезвонки

@SecLabNews

🤥 Китайский "файрвол" на экспорт: утечка раскрыла новые факты

Масштабная утечка из компании Geedge Networks, связанной с китайским госаппаратом, раскрыла подробности о том, как технологии цензуры экспортируются. Международная группа исследователей, проанализировав 500+ ГБ данных, установила, что для создания своих систем слежки Geedge использует технологии от западных компаний, включая Niagara Networks (США) и Thales (Франция), что указывает на обход санкций и скрытые цепочки поставок.

В Мьянме Geedge помог властям получить доступ к данным 33,4 млн пользователей, а в Казахстане сотрудничество началось ещё в 2019 году, когда системы были развёрнуты сразу в 17 городах. Комплексы Geedge могут не только блокировать трафик, но и строить графы связей, выявлять людей, часто меняющих SIM-карты, создавать геозоны и даже предоставлять услуги DDoS-атак.

Утечка подтверждает, что "Великий китайский файрвол" — это не просто внутренний инструмент, а коммерческий продукт, который теперь доступен авторитарным режимам по всему миру.

#GeedgeNetworks #Цензура #Китай

@SecLabNews

🫨30 минут на доклад: Китай ввёл самые жёсткие в мире правила для бизнеса

Китайские власти вводят самые строгие в мире правила отчётности о кибератаках. С 1 ноября сетевые операторы будут обязаны сообщать о серьёзных инцидентах в течение одного часа, а в особо крупных случаях — в течение 30 минут. Новые меры, разработанные Государственным управлением по делам киберпространства КНР (CAC), касаются практически всех организаций — от владельцев до поставщиков услуг.

За нарушение сроков или сокрытие инцидентов предусмотрены жёсткие санкции не только для компаний, но и для ответственных должностных лиц. Это обязывает организации вводить круглосуточный мониторинг и создавать специализированные команды, способные мгновенно реагировать на угрозы. По сравнению с европейскими стандартами, где на уведомление даётся до 72 часов, китайский подход радикально сокращает время реагирования.

Классификация инцидентов будет происходить по четырёхуровневой шкале. К особо крупным происшествиям, например, относятся утечки данных более 100 миллионов граждан или экономические потери свыше 100 миллионов юаней. Эти меры направлены на повышение национальной безопасности и стабильности, а также на предотвращение несанкционированной передачи данных за пределы страны, как это было в случае с подразделением Dior в Шанхае.

#Китай #кибербезопасность #кибератака
@SecLabNews

🔗 Max тестирует «Цифровой ID»

В мессенджере Max запустили пилотный проект «Цифровой ID» — цифрового аналога бумажных документов. С его помощью можно подтвердить возраст, статус студента, пенсионера или многодетного родителя.

Для создания цифрового удостоверения необходимо обновить приложения Max и «Госуслуги» до последней версии. Пользователь должен пройти процедуру верификации через биометрию или загранпаспорт, сделать селфи и получить подтверждение готовности «Цифрового ID».

По словам разработчиков, QR-код в профиле обновляется каждые 30 секунд, скопировать его нельзя, а доступ открывается только через Face ID или отпечаток. Использовать «Цифровой ID» планируется при заселении в гостиницы и покупках, где требуется подтверждение возраста.

#цифровизация #биометрия #Max
@SecLabNews

⛔️Google меняет подход к безопасности Android

Google нарушила 10-летнюю традицию ежемесячных апдейтов безопасности. В июле 2025 года бюллетень был пуст, но уже в сентябре появился с 119 исправлениями. Это не сбой, а переход на Risk-Based Update System (RBUS). Теперь критические уязвимости будут закрывать ежемесячно, а остальные — объединять в большие квартальные релизы в марте, июне, сентябре и декабре.

Этот шаг должен упростить жизнь производителям смартфонов. Им станет проще выпускать регулярные ежемесячные патчи, что в теории должно ускорить их доставку до пользователей. Google надеется, что это поможет выровнять ситуацию, когда бюджетные модели получают апдейты раз в несколько месяцев.

Новая система вызвала критику. Эксперты из GrapheneOS предупреждают о повышенном риске утечки данных об уязвимостях, так как производители будут получать информацию задолго до её публикации. А ещё, исходный код исправлений теперь будет доступен только в квартальных обновлениях, что усложняет работу сообщества кастомных прошивок.

#Google #Android #Безопасность

@SecLabNews