Специалисты из SecurityScorecard обнаружили более 220 000 доступных через интернет инстансов OpenClaw и предупреждают, что ИИ-агенты — это ценная цель для злоумышленников.
В плагине WPvivid Backup & Migration для WordPress обнаружили критическую уязвимость загрузки произвольных файлов, которая в итоге ведет к удаленному выполнению кода без аутентификации. Проблема угрожает более чем 900 000 сайтов, которые используют этот плагин.
Для подписчиковВ этом райтапе мы разберем компрометацию CrushFTP через последнюю CVE-уязвимость. Получим возможность удаленно выполнять команды, закрепимся в системе и найдем службу, работающую с правами root. Используя интерактивную Erlang-оболочку, выполним системные команды и захватим полный контроль над машиной.
Злоумышленники запустили ClickFix-кампанию, в которой используют публичные артефакты чат-бота Claude компании Anthropic и платную рекламу в поиске Google. Цель атакующих: обманом вынудить пользователей macOS выполнить команду в терминале, которая установит на устройство инфостилер. Гайд с вредоносной инструкцией уже просмотрели более 15 000 раз.
Обнаружена необычная фишинговая кампания, нацеленная на пользователей аппаратных криптовалютных кошельков Trezor и Ledger. Вместо традиционных электронных писем злоумышленники рассылают бумажные письма на официальных бланках, стремясь завладеть seed-фразами и похитить средства жертв.
Как сообщает РИА «Новости», владельцы iPhone в России столкнулись с невозможностью войти на «Госуслуги» без установки мессенджера Max. При попытке авторизации система требует код подтверждения через Max, отправляя пользователя на страницу скачивания приложения. Push-уведомление с кодом приходит только после установки мессенджера.
Первый в этом году выпуск ежеквартального «Хакера» уже передан в печать, но мы продолжаем принимать предварительные заказы. Обрати внимание: после выхода журнала из типографии цена возрастет, поэтому советуем не затягивать с покупкой.
Команда Google Threat Intelligence Group (GTIG) опубликовала отчет о масштабных злоупотреблениях большой языковой моделью Gemini. По данным корпорации, злоумышленники используют ИИ на всех этапах своих атак — от разведки до эксфильтрации данных. Более того, отдельные группы пытаются клонировать саму модель с помощью дистилляции, генерируя по 100 000 запросов.
Компания Apple выпустила обновления для iOS, iPadOS, macOS Tahoe, tvOS, watchOS и visionOS. Разработчики исправили уязвимость в dyld, которая использовалась в целевых атаках на конкретных пользователей. Проблему обнаружили специалисты Google Threat Analysis Group.
Для подписчиковЕсли ты читаешь «Хакер» и до сих пор не разобрался с тем, что такое реверс‑шелл, то эта статья для тебя. Мы с самого начала разберем, что такое bind shell и reverse shell, и я на простейших примерах покажу, как такие оболочки организовать.
Специалисты компании LayerX нашли в Chrome Web Store 30 вредоносных расширений, замаскированных под ИИ-ассистенты. На момент обнаружения их установили больше 300 000 пользователей. Расширения воруют пароли, содержимое почты и данные из браузеров. Часть вредоносов до сих пор доступна в официальном магазине Chrome.
Основатель мессенджера Павел Дуров вновь прокомментировал замедление Telegram в России. На этот раз он опубликовал развернутое заявление на русском языке, в котором ответил на аргументы сторонников возможной блокировки сервиса.
Эксперты из компании Koi Security обнаружили вредоносный аддон AgreeTo для Outlook. Этот некогда легитимный инструмент для планирования встреч был взломан и превратился в фишинговый кит, с помощью которого похитили более 4000 учетных записей Microsoft.
Исследователи «Лаборатории Касперского» обнаружили новую массовую схему угона Telegram-аккаунтов. Атака полностью происходит внутри мессенджера — через встроенные веб-приложения и социальную инженерию, без каких-либо внешних фишинговых сайтов.
Для подписчиковGo — один из тех языков, что не оставляют никого равнодушным: его или любят, или хейтят. Он необычен — синтаксис чем‑то напоминает C, Kotlin и Pascal одновременно. Он краток — мало ключевых слов, нет ООП, нет исключений и даже перечислений. Но при этом в Go можно всего парой строк поднять веб‑сервер, не скачивая ни одного нового пакета.
Аналитики компании F6 зафиксировали новую волну атак с использованием банковского трояна Falcon. С конца 2025 года этот вредонос нацелен на деньги и данные банковских карт ведущих финансовых организаций в России. По оценкам исследователей, злоумышленники уже скомпрометировали несколько тысяч карт.
Разработчики Microsoft исправили уязвимость в «Блокноте» (Notepad) для Windows 11. Проблема позволяла запускать локальные или удаленные файлы через Markdown-ссылки, что могло привести к удаленному выполнению кода.
Специалисты и СМИ обратили внимание, что из Национальной системы доменных имен (НСДИ) — DNS-инфраструктуры, созданной в рамках закона о «суверенном Рунете», — исчезли записи для YouTube, WhatsApp, Facebook, Instagram, Facebook Messenger и Tor Project. Фактически удалена привязка доменных имен к IP-адресам этих ресурсов.
Как сообщило Агентство кибербезопасности Сингапура (CSA), прошлый год оказался тяжелым для телекоммуникационного сектора страны. Выяснилось, что китайская хак-группа UNC3886 проникла в сети всех четырех крупнейших операторов связи Сингапура: Singtel, StarHub, M1 и Simba.