Для подписчиковСегодня я покажу, как получить приватные данные из дампа кучи Spring Boot, а затем завладеем доступом к системе Eureka. Через ее сервисы извлечем приватные данные пользователя и сессию на хосте. Для повышения привилегий используем уязвимость в пользовательском анализаторе логов.
Исследователи «Лаборатории Касперского» предупредили о новых атаках вымогательской группировки OldGremlin, нацеленных на российские компании в первой половине 2025 года. С действиями злоумышленников столкнулись восемь крупных предприятий, главным образом промышленных.
Компания Click Studios, занимающаяся разработкой корпоративного менеджера паролей Passwordstate, предупредила клиентов о необходимости срочно установить патч для устранения критической уязвимости обхода аутентификации.
«Хакеру» нужны новые авторы, и ты можешь стать одним из них! Если тебе интересно то, о чем мы пишем, и есть желание исследовать эти темы вместе с нами, то не упусти возможность вступить в ряды наших авторов и получать за это все, что им причитается.
В июне 2025 года исследователи обнаружили новую вредоносную активность, которую назвали Phantom Papa. Злоумышленники рассылали письма на русском и английском языках с вредоносными вложениями, содержащими новый стилер Phantom.
На прошлой неделе стало известно, что хакеры скомпрометировали платформу автоматизации продаж Salesloft и похитили OAuth и refresh-токены клиентов из ее ИИ-агента Drift, предназначенного для интеграции с Salesforce. Как теперь предупредили в Google, атака была массовой и затронула данные Google Workspace.
Разработчики мессенджера устранили 0-day уязвимость в версиях для iOS и macOS. По данным компании, свежая проблема, наряду с недавно раскрытым Apple багом, могла использоваться в «сложных атаках, нацеленных против конкретных пользователей».
Эксплуатация уязвимости была возможна после внедрения вредоносного кода на случайный сайт, и затем злоумышленник получал возможность похищать учетные данные и перенаправлять пользователей на фишинговые страницы.
Представители Microsoft заявили, что компания не выявила связи между августовским обновлением безопасности KB5063878 и жалобами клиентов на сбои и проблемы с повреждением данных, затрагивающие SSD и HDD различных производителей.
В августе разработчики Electronic Arts (EA) объявили, что игроки в открытой бете Battlefield 6 на ПК должны будут включить Secure Boot в настройках Windows и BIOS. Это решение вызвало споры и критику, так как многие не захотели предоставлять античитерским инструментам EA доступ к ядру системы. В итоге технический директор Battlefield 6 Кристиан Буль (Christian Buhl) извинился перед игроками.
В конце текущего года мы выпустим бумажный спецвыпуск, в который войдут лучшие статьи «Хакера» за 2025 год. Не упусти момент: ты можешь оказаться среди первых обладателей нового коллекционного сборника. Ранние предварительные заказы по специальной цене уже открыты!
Размещая фальшивые проекты на популярных платформах для разработчиков (GitHub и GitLab), злоумышленники обманом заставляют пользователей запускать вредоносные полезные нагрузки, отвечающие за извлечение дополнительных компонентов из контролируемого хакерами репозитория. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
Йон фон Течнер (Jon von Tetzchner), глава норвежской компании Vivaldi Technologies, которая разрабатывает одноименный браузер, поделился своими мыслями по вопросу интеграции ИИ в браузеры. По мнению фон Течнера, попытки индустрии интегрировать ИИ-модели с веб-серфингом зашли слишком далеко.
Говорят, эволюция «изобретала» краба как минимум пять раз: то есть пять разных видов независимо эволюционировали в нечто вроде краба. Ученые называют это карцинизацией. Та же история произошла с соцсетями, только превращаются они, увы, не в краба, а в TikTok.
В этом месяце: всех разработчиков приложений для Android обяжут проходить верификацию, Роскомнадзор ограничил звонки в WhatsApp и Telegram, обновления Windows вызвали проблемы в работе SSD и HDD, Flipper Zero снова попытались связать с автоугонами, разработчики Max заверили, что мессенджер не использует камеру в фоновом режиме, а также другие события ушедшего августа.
На этой неделе мировой судья Таганского района Москвы признал сервис Twitch виновным в «неисполнение обязанностей, предусмотренных законодательством о деятельности иностранных лиц в информационно-телекоммуникационной сети интернет на территории РФ».
В Минцифры РФ предложили пакет мер по борьбе с кибермошенничеством. Среди них — запрет на распространение информации, связанной с практикой ИБ. В случае вступления этих мер в силу более половины статей «Хакера» окажется вне закона. Подписчики потеряют к ним доступ, и новые материалы на эту тему появляться не будут. Архивы PDF нам тоже придется убрать.
ФБР и голландская полиция сообщают о закрытии маркетплейса VerifTools, специализировавшегося на создании поддельных документов. Правоохранители конфисковали серверы ресурса, находившиеся в Амстердаме.
Мейнтейнеры NX предупредили пользователей об атаке на цепочку поставок. Компрометация токена одного из разработчиков позволила злоумышленникам опубликовать вредоносные версии популярного npm-пакета и других инструментов, а затем похитить данные пользователей.
СМИ сообщили, что мировой судья судебного участка № 425 московского района Хамовники наложил штраф в размере 10 000 рублей на компанию «Яндекс» за невыполнение предписания о предоставлении ФСБ доступа к интернет-ресурсу yandex[.]ru/alice/smart-home.