The Hackers News

Badacze cyberbezpieczeństwa odkryli nową odmianę znanego złośliwego oprogramowania LOTUSLITE, które jest dystrybuowane poprzez motywy związane z indyjskim sektorem bankowym. Oprogramowanie to, rozwijane przez grupę powiązaną z Chinami, cechuje się możliwością zdalnego dostępu do systemu, zarządzania plikami i sesjami, co wskazuje na ukierunkowanie na szpiegostwo. Poza Indiami, zidentyfikowano również działania wymierzone w osoby z kręgów politycznych i dyplomatycznych Korei Południowej oraz Stanów Zjednoczonych, co świadczy o rozszerzaniu celów grupy.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Krytyczna podatność w narzędziu Terrarium od Cohere AI, śledzona jako CVE-2026-5752, umożliwia atakującemu wykonanie kodu z uprawnieniami roota wewnątrz kontenera poprzez wykorzystanie traversalu łańcucha prototypów JavaScript w środowisku Pyodide. Skuteczne wykorzystanie tej luki pozwala na ucieczkę z piaskownicy, dostęp do wrażliwych plików i potencjalnie dalsze eskalacje uprawnień, przy czym atak wymaga lokalnego dostępu, ale nie interakcji użytkownika. Ze względu na brak aktywnego utrzymania projektu, łatka jest mało prawdopodobna, a zalecane środki zaradcze obejmują wyłączenie funkcji podsyłania kodu, segmentację sieci, użycie WAF i monitorowanie aktywności kontenera.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Badacze zidentyfikowali 22 nowe podatności w konwerterach serial-to-IP od Lantronix i Silex, umożliwiające przejęcie kontroli nad urządzeniami i manipulację danymi, co stanowi poważne zagrożenie dla systemów przemysłowych i krytycznej infrastruktury. Nazwane collectively BRIDGE:BREAK luki dotyczą zarówno zdalnego wykonania kodu, obejścia uwierzytelniania, jak i manipulacji firmware’em, a zidentyfikowano blisko 20 000 narażonych urządzeń globalnie.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Angelo Martino, negocjator ds. ransomware, przyznał się do winy za współpracę z grupą BlackCat w celu maksymalizacji okupów od amerykańskich firm w 2023 roku, przekazując poufne informacje klientów i pracodawcy. Współpracował z innymi byłymi pracownikami branży cyberbezpieczeństwa, w tym z Kevinem Martinem i Ryanem Goldbergem, w ramach ataków, z których jeden przyniósł 1,2 miliona dolarów w Bitcoin. Martino grozi maksymalnie 20 lat więzienia, a podobne kary czekają jego wspólników, którzy już przyznali się do winy.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Artykuł omawia kluczowe różnice między dojrzałymi i mniej dojrzałymi centrami operacji bezpieczeństwa (SOC), podkreślając, że wolne MTTR (średni czas reakcji) wynika zazwyczaj z problemów strukturalnych, takich jak brak integracji danych wywiadowczych z przepływem pracy, a nie z niedoboru analityków. Dojrzałe SOC integrują dane wywiadowcze w kluczowych momentach procesu – wykrywania, triażu, analizy, reakcji i prewencji – co znacząco skraca czas reakcji i minimalizuje potencjalne szkody dla biznesu.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Nowa wersja złośliwego oprogramowania NGate, znanego również jako NFSkate, atakuje użytkowników w Brazylii, trojanizując aplikację płatniczą HandyPay w celu przechwytywania danych kart zbliżeniowych i numerów PIN. Mechanizm ten pozwala atakującym na wykonywanie nieautoryzowanych transakcji i wypłat gotówki z bankomatów, wykorzystując potencjalnie generowany przez AI złośliwy kod do maskowania działań i omijania zabezpieczeń.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Choć świat cyberbezpieczeństwa skupia się na zaawansowanych zagrożeniach, najskuteczniejszym wektorem ataku nadal pozostają skradzione dane uwierzytelniające, umożliwiające attackerom “przejście przez drzwi” bez konieczności używania eksploitów. W obliczu przyspieszenia działań przez AI, kluczowe staje się dynamiczne podejście do reagowania na incydenty (DAIR), które uwzględnia iteracyjny charakter dochodzeń i kładzie nacisk na komunikację oraz ciągłe szkolenie zespołów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Badacze bezpieczeństwa odkryli lukę w narzędziu Antigravity IDE od Google, która pozwalała na wykonanie dowolnego kodu dzięki połączeniu możliwości tworzenia plików z niewystarczającym filtrowaniem danych wejściowych. Podatność umożliwiała ominięcie trybu bezpieczeństwa Strict Mode, co otworzyło drogę do zdalnego wykonywania złośliwego oprogramowania poprzez manipulację wyszukiwarką plików. Chociaż luka została załatana, pokazuje ona rosnące ryzyko związane z interakcjami między autonomicznymi agentami AI a zewnętrznymi danymi.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wzbogaciła swój katalog znanych luk wykorzystywanych w atakach (KEV) o osiem nowych podatności, w tym trzy dotyczących Cisco Catalyst SD-WAN Manager, które są aktywnie wykorzystywane. Federalne agencje mają czas na ich załatanie do kwietnia-maja 2026 roku.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

W SGLang odkryto krytyczną lukę bezpieczeństwa (CVE-2026-5760) o wysokim wskaźniku CVSS 9.8, która umożliwia zdalne wykonanie kodu poprzez specjalnie spreparowane pliki modeli GGUF. Atakujący wykorzystuje wstrzyknięcie szablonu serwerowego Jinja2 (SSTI) w parametrze tokenizer.chat_template, co po załadowaniu modelu i wywołaniu endpointu ‘/v1/rerank’ pozwala na wykonanie dowolnego kodu Python na serwerze SGLang. Problem wynika z niewłaściwego użycia jinja2.Environment() zamiast ImmutableSandboxedEnvironment, a podobne luki były już wcześniej wykrywane w powiązanych projektach.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)