Исследователи обнаружили в npm кампанию CanisterWorm: вредоносный код запускается через postinstall, крадёт npm-токены, закрепляется в Linux через systemd и публикует заражённые версии других пакетов.
Читать далее →
Intoxalock сообщила о киберинциденте, который нарушил работу сервисов алкозамков в 46 штатах США. У части водителей возникли проблемы с запуском автомобилей и обязательной калибровкой устройств.
Читать далее →
Бесплатный VPN в Firefox 149 выходит 24 марта с лимитом 50 ГБ. Mozilla называет его VPN, но на деле это промежуточный сервер на уровне средства просмотра. Почта, мессенджеры, всё за пределами Firefox продолжает работать с настоящим IP. Кто управляет серверами …
Читать далее →
198 CVE за выходные. Протокол BACnet передаёт данные автоматизации зданий без шифрования (CVSS 9.1). WordPress получил семь ошибок повышения привилегий за четыре дня, SQL-инъекцию через cookie, обходящую WAF, и захват администратора через проверку подстроки strpos().
Читать далее →
Фишинговая кампании против пользователей Signal и других мессенджеров. Хакеры уже получили доступ к тысячам аккаунтов.
Читать далее →
Arctic Wolf сообщила о признаках эксплуатации CVE-2025-32975 в Quest KACE SMA. Уязвимость с CVSS 10.0 позволяет обойти аутентификацию и потенциально получить полный контроль над устройством.
Читать далее →
Ubiquiti выпустила срочные обновления для UniFi Network Application из-за критической уязвимости CVE-2026-22557 с оценкой 10 из 10. Ошибка может позволить захват учетной записи без привилегий на уязвимых инстансах.
Читать далее →
Экстренный патч вне квартального цикла — Oracle считает угрозу слишком острой. CVE-2026-21992 почти дословно повторяет ошибку, которую эксплуатировали в ноябре 2025. Spring Boot закрыла два обхода аутентификации. В FastGPT нашли способ протащить вредоносный Docker-образ.
Читать далее →
Серийные наклейки снимали с настоящих серверов и клеили на муляжи. Аудитор «развлекался» вместо проверки. $2,5 млрд в ИИ-серверах Nvidia ушли в Китай через подставную фирму за 18 месяцев. Сооснователь Super Micro арестован. Акции рухнули на 25%.
Читать далее →
Камера видеонаблюдения в собственном доме стала инструментом кражи $172 млн в биткоинах. Жена сняла на камеру сид-фразу из 24 слов от Trezor, вывела 2 323 BTC на 71 адрес. Судья оценил шансы мужа на возврат как «крайне высокие». Процесс в …
Читать далее →
Контрактный аналитик украл зарплатные ведомости подразделения Siemens, отправил 60 писем с требованием $2,5 млн и подавал вымогательство как борьбу за прозрачность зарплат. Компания заплатила. ФБР нашло его по дебетовым картам матери и сестры на Coinbase.
Читать далее →
MFA не спасает, ключи доступа не спасают, пароль не крадут. 47% атак начинаются с того, что жертва сама выполняет нужное злоумышленнику действие. Push Security разобрала шесть техник. ConsentFix захватывает учётную запись Microsoft одной вставкой URL.
Читать далее →
Три ошибки WordPress с оценками 9.3–9.8 и без патча. Одинаковая SSRF появилась сразу в трёх менеджерах проектов за месяц. ИИ-агент OpenClaw набрал 15 записей о безопасности за март. В автопилоте дронов PX4 переполнение буфера по MAVLink без аутентификации.
Читать далее →
Торговая компания с 59 сотрудниками и выручкой 3,2 млрд руб. претендует на собственную мобильную ОС в реестре. «СКАНТЕХ» продаёт китайские терминалы Urovo и создаёт «МЕФ ОС», чтобы сохранить доступ к госзакупкам и объектам критической инфраструктуры.
Читать далее →
Шесть ошибок iOS, три из них нулевого дня, одна цепочка эксплойтов, три группировки в четырёх странах. DarkSword захватывает iPhone при одном посещении веб-страницы
Читать далее →