Tags

626 stron

The Hackers News

Korea Północna: APT37 wykorzystuje inżynierię społeczną na Facebooku do dystrybucji złośliwego oprogramowania RokRAT

Korea Północna: APT37 stosuje inżynierię społeczną na Facebooku i Telegramie do dystrybucji złośliwego oprogramowania RokRAT poprzez zainfekowany program PDF.

Północnokoreańska grupa hakerów APT37, znana również jako ScarCruft, przeprowadziła nową, wieloetapową kampanię phishingową, wykorzystując Facebook do budowania zaufania z celami, a następnie skłaniając je do instalacji złośliwego oprogramowania RokRAT poprzez zainfekowaną wersję popularnego programu do PDF. Atakujący wykorzystali spreparowane konta na Facebooku i komunikatory internetowe, pod pretekstem otwierania zaszyfrowanych dokumentów wojskowych, skłaniali ofiary do instalacji zmodyfikowanego Wondershare PDFelement, który umożliwiał przejęcie kontroli nad systemem i komunikację z serwerami C2.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

OpenAI wycofuje certyfikat aplikacji macOS po ataku na łańcuch dostaw z wykorzystaniem biblioteki Axios

OpenAI wycofuje certyfikat aplikacji macOS po ataku na łańcuch dostaw. Dane użytkowników bezpieczne, ale stare wersje aplikacji stracą wsparcie.

Firma OpenAI wycofała certyfikat swojej aplikacji na macOS po incydencie związanym z łańcuchem dostaw, w którym złośliwa biblioteka Axios została pobrana przez narzędzie GitHub Actions. Choć zapewniono, że dane użytkowników ani wewnętrzne systemy nie zostały skompromitowane, wycofanie certyfikatu oznacza, że starsze wersje aplikacji macOS przestaną otrzymywać aktualizacje i wsparcie od maja 2026 roku, a nowe wydania będą wymagały zaktualizowanego certyfikatu, aby uniknąć blokowania przez system macOS. Incydent ten jest częścią szerszej fali ataków na łańcuchy dostaw oprogramowania open-source w marcu, obejmującej również zagrożenia dla skanerów podatności Trivy.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Atak na CPUID: Dystrybucja STX RAT przez zainfekowane pobrania CPU-Z i HWMonitor

Atak na stronę CPUID.com umożliwił dystrybucję STX RAT poprzez zainfekowane pliki CPU-Z i HWMonitor. Wykryto ponad 150 ofiar.

Nieznani sprawcy przejęli stronę cpuid.com, dystrybuując zainfekowane wersje popularnych narzędzi takich jak CPU-Z i HWMonitor, co pozwoliło im na rozprzestrzenienie trojana zdalnego dostępu STX RAT. Incydent trwał niespełna 24 godziny i polegał na zastępowaniu legalnych linków pobierania fałszywymi, kierującymi na złośliwe serwery, które wykorzystywały technikę DLL side-loading do instalacji malware. Atakujący, których działania były powiązane z poprzednią kampanią wykorzystującą zainfekowane instalatory FileZilla, wykazali niskie umiejętności operacyjne i wdrożeniowe, co pozwoliło na szybkie wykrycie zagrożenia.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Adobe łata aktywnie wykorzystywaną lukę w Acrobat Reader CVE-2026-34621

Adobe wydaje pilne aktualizacje krytycznej luki CVE-2026-34621 w Acrobat Reader, która jest aktywnie wykorzystywana do zdalnego wykonania kodu.

Adobe wydało pilne aktualizacje, aby załatać krytyczną lukę bezpieczeństwa w Acrobat Reader, oznaczoną jako CVE-2026-34621, która jest aktywnie wykorzystywana w atakach. Po udanym ataku haker może wykonać złośliwy kod na zainfekowanych instalacjach, co wynika z podatności typu “prototype pollution”, pozwalającej na manipulację obiektami aplikacji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Citizen Lab: organy ścigania wykorzystywały Webloc do śledzenia 500 milionów urządzeń za pomocą danych reklamowych

Raport Citizen Lab ujawnia, jak organy ścigania używają Webloc do śledzenia 500 mln urządzeń za pomocą danych reklamowych, budząc obawy o prywatność.

Według raportu Citizen Lab, węgierska służba bezpieczeństwa, policja z Salwadoru oraz liczne departamenty policji i organów ścigania w USA wykorzystywały system szpiegowski Webloc oparty na danych reklamowych do globalnej geolokalizacji i śledzenia ponad 500 milionów urządzeń mobilnych. Narzędzie, stworzone przez izraelską firmę Cobwebs Technologies, a obecnie sprzedawane przez jej następcę Penlink, umożliwia analizę zachowań i lokalizacji użytkowników bez nakazu sądowego, co budzi poważne obawy dotyczące prywatności i potencjalnych nadużyć.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Kampania GlassWorm wykorzystuje Zig Dropper do infekowania wielu IDE programistów

Kampania GlassWorm infekuje IDE programistów za pomocą Zig Droppera. Odkryto nowe metody ataku na środowiska deweloperskie.

Kampania GlassWorm ewoluuje, wykorzystując nowy mechanizm “dropper” napisany w Zig, który potajemnie infekuje wszystkie zintegrowane środowiska programistyczne (IDE) na komputerze dewelopera. Technika ta, odkryta w rozszerzeniu VS Code udającym popularne narzędzie WakaTime, polega na instalacji złośliwego binarnego kodu, który następnie wyszukuje i infekuje inne IDE, pobierając dalsze złośliwe rozszerzenia, wykradając dane i instalując trojany zdalnego dostępu.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Rozszerzenia przeglądarkowe jako niedoceniany kanał konsumpcji AI - nowe zagrożenie bezpieczeństwa

Odkryj niedoceniane zagrożenie ze strony rozszerzeń przeglądarkowych wykorzystujących AI. Dowiedz się, jak chronić swoją firmę przed nowym wektorem ataku.

Rozszerzenia przeglądarkowe stały się kluczowym, lecz pomijanym kanałem dostępu do sztucznej inteligencji, stwarzając poważne luki w bezpieczeństwie firmowym. Stanowią one znaczną powierzchnię ataku, nie są wykrywane przez tradycyjne systemy DLP ani logi SaaS, a jednocześnie posiadają bezpośredni dostęp do danych użytkowników i aktywnych sesji, charakteryzując się jednocześnie większą podatnością na luki i rozszerzonymi uprawnieniami.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Google wprowadza DBSC w Chrome 146 do blokowania kradzieży sesji na Windows

Google Chrome 146 wprowadza DBSC na Windows, aby zapobiegać kradzieży sesji przez malware. Funkcja wiąże sesję z urządzeniem, czyniąc skradzione pliki cookie bezużytecznymi.

Google udostępniło funkcję Device Bound Session Credentials (DBSC) dla wszystkich użytkowników przeglądarki Chrome na systemie Windows, która kryptograficznie wiąże sesję uwierzytelniania z konkretnym urządzeniem, uniemożliwiając kradzież plików cookie nawet w przypadku infekcji złośliwym oprogramowaniem. Rozwiązanie wykorzystuje sprzętowe moduły bezpieczeństwa, takie jak TPM, do generowania kluczy, które zapobiegają nieautoryzowanemu dostępowi do kont online ofiar, co stanowi znaczący krok w walce z zagrożeniem kradzieży sesji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Krytyczna luka w Marimo wykorzystana w 10 godzin od ujawnienia

Krytyczna luka RCE w Marimo CVE-2026-39987 wykorzystana w 10h od ujawnienia. Podatność bez uwierzytelnienia umożliwia atakującym przejęcie kontroli nad systemem.

Krytyczna luka bezpieczeństwa w Marimo, narzędziu do analizy danych, została wykorzystana przez atakujących zaledwie 10 godzin po jej publicznym ujawnieniu, co podkreśla szybkość, z jaką zagrożenia są obecnie eskalowane. Luka CVE-2026-39987, umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia poprzez endpoint WebSocket /terminal/ws, dotyczy wszystkich wersji Marimo sprzed wersji 0.23.0. Atakujący, mimo braku kodu Proof-of-Concept, zdołali uzyskać pełny dostęp do systemu, prowadząc rekonesans i kradzież danych, co pokazuje, jak ważne jest błyskawiczne reagowanie na ujawnione podatności.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Zainfekowana wersja wtyczki Smart Slider 3 Pro dystrybuowana przez zhakowane serwery Nextend

Wtyczka Smart Slider 3 Pro zainfekowana backdoor przez zhakowane serwery. Dowiedz się, jak się chronić i jakie kroki podjąć.

Złośliwi aktorzy przechwycili system aktualizacji wtyczki Smart Slider 3 Pro dla WordPressa i Joomli, dystrybuując zainfekowaną wersję zawierającą backdoor. Incydent dotyczy wersji 3.5.1.35 dla WordPressa, która została udostępniona przez około 6 godzin, pozwalając na zdalne wykonanie kodu, tworzenie ukrytych kont administratorów i eksfiltrację danych. Problem nie dotyczy darmowej wersji wtyczki, a Nextend podjął działania w celu usunięcia zagrożenia i zaleca aktualizację do wersji 3.5.1.36 oraz wykonanie dodatkowych kroków czyszczących.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)