Для подписчиковСегодня мы разберемся с тем, как устроена «непробиваемая» защита VBA-скриптов в Excel, предлагаемая компилятором DoneEx VBA Compiler. Мы посмотрим, как этот инструмент компилирует макросы в нативные DLL, какие трюки использует для контроля целостности, и шаг за шагом покажем, как обходить проверки и восстанавливать исходный код из скомпилированных модулей.
Adobe сообщила о критическом баге (CVE-2025-54236), который затрагивает платформы Commerce и Magento. Исследователи назвали эту уязвимость SessionReaper и описывают ее как одну из самых серьезных за всю историю существования этих продуктов.
Стриминговая мультимедиа-платформа Plex предупреждает клиентов, что им нужно срочно сменить пароли. Компания пострадала от утечки данных, в ходе которой злоумышленник смог похитить аутентификационные данные пользователей из БД.
Открыт прием номинантов на Премию Дарвина в области искусственного интеллекта. Целью создателей премии является не высмеивание самого ИИ, но последствий его применения без должной осторожности и внимания.
В этом году ежегодный онлайн-кэмп для ИБ-специалистов CyberCamp пройдет с 20 по 25 октября. Главной темой четвертого кэмпа станет киберустойчивость. Регистрация уже открыта!
На прошлой неделе обнаружилось, что малоизвестный удостоверяющий центр Fina выпустил 12 неавторизованных TLS-сертификатов для 1.1.1.1 (популярный DNS-сервис Cloudflare) с февраля 2024 по август 2025 года, причем без разрешения компании. Сертификаты могли использоваться для расшифровки запросов, зашифрованных посредством DNS over HTTPS и DNS over TLS.
По данным специалистов компании Wiz, которые изучили недавнюю атаку s1ngularity, нацеленную на NX, инцидент привел к масштабным последствиям. Взлом NX спровоцировал раскрытие данных 2180 учетных записей и затронул 7200 репозиториев.
Для подписчиковХочешь прокачать Acunetix своими скриптами или делать их на заказ? В этой статье я покажу, как создавать полезные сканеры, на примере сбора чувствительных данных и поиска SSRF.
Европейская комиссия оштрафовала компанию Google на 2,95 млрд евро (3,5 млрд долларов США) за злоупотребление доминирующим положением на рынке технологий цифровой рекламы и предпочтение собственных adtech-сервисов перед конкурентами.
Приглашения в iCloud Calendar используются для отправки фишинговых писем, замаскированных под уведомления о покупках, напрямую с почтовых серверов Apple. Такая тактика повышает вероятность обхода спам-фильтров.
Исследователи предупреждают о крупнейшей в истории атаке на цепочку поставок. Злоумышленники внедрили малварь в популярнейшие npm-пакеты, насчитывающие более 2,6 миллиарда еженедельных загрузок (включая такие библиотеки JavaScript, как chalk и strip-ansi). Ради этой атаки хакеры скомпрометировали аккаунт мейнтейнера с помощью фишинговой атаки.
Компания Google планирует упростить пользователям доступ к ИИ-режиму, позволив устанавливать его в поиске по умолчанию (вместо традиционных ссылок).
Компания TP-Link подтвердила существование неисправленной 0-day уязвимости, затрагивающей несколько моделей роутеров. В компании сообщили, что уже занимаются изучением проблемы и готовят патчи.
Для подписчиковСегодня я покажу, как можно повысить привилегии в Linux, используя настройку env_keep для sudo. Чтобы подобраться к ОС, нам сначала понадобится проэксплуатировать баг CVE-2024-52301 во фреймворке Laravel, обойти авторизацию и через функцию загрузки файла добавить веб‑шелл.
Выяснилось, что обнаруженный в прошлом месяце специалистами компании ESET ИИ-вымогатель PromptLock является академическим исследованием группы ученых из Нью-Йоркского университета.
Египетские власти и Альянс творчества и развлечений (Alliance for Creativity and Entertainment, ACE) сообщают, что закрыли Streameast — крупнейшую в мире нелегальную стриминговую сеть спортивных трансляций. Арестованы двое предполагаемых операторов платформы.
Компания Apple объявила о начале приема заявок на участие в программе Security Research Device Program 2026 года. White hat эксперты, заинтересованные в получении iPhone, специально настроенного для ИБ-исследований, могут подать заявку до 31 октября 2025 года.
13 сентября на площадке музея «АТОМ» на ВДНХ состоится FestTech — открытый фестиваль МФТИ, посвященный науке, технологиям и юмору. Мероприятие проводится в пятый раз и объединяет любителей футуристических идей, адептов научной картины мира и мастеров критического мышления.
Все три бумажных спецвыпуска «Хакера» доступны для заказа. В них мы собрали лучшие статьи за 2015–2021 годы с комментариями авторов и редакторов. Тиражи ограничены, так что сейчас у тебя есть отличная возможность пополнить архив, начать коллекцию или найти крутой подарок для друзей и коллег.
Специалисты «Лаборатории Касперского» провели технический анализ активности 14 группировок, наиболее интенсивно атакующих организации в России, Беларуси и некоторых других странах. В их числе — хактивисты, которые появились в российском ландшафте угроз после 2022 года и публично называли себя «проукраинскими».