Последние новости: Кибербезопасность

Chrome, Edge и Brave под риском: баг Background Fetch держит JavaScript живым после закрытия браузера

В npm обнаружили три вредоносные версии пакета node-ipc: 9.1.6, 9.2.3 и 12.0.1. Пакет используется в Node.js-проектах для межпроцессного взаимодействия, а вредоносный код был встроен в CommonJS-сборку node-ipc.cjs. При загрузке через require("node-ipc") он запускался автоматически, собирал переменные окружения, SSH-ключи, облачные конфиги, …

Киберпреступники превратили взлом open source в конкурс: $1 000 за самый крупный supply chain. Риск — массовые атаки на цепочки поставок

Для критической уязвимости CVE-2026-42945 в NGINX появились технические детали и proof-of-concept-код. Проблема получила CVSS 9.2 и затрагивает ngx_http_rewrite_module — модуль, который используется для переписывания URL, редиректов и обработки правил rewrite, if и set. NGINX уже выпустил исправления в версиях 1.30.1 …

Европол годами использовал «теневую» систему для анализа данных: внутри были документы, геолокация и телефонные записи миллионов людей

Claude Mythos помог обойти защиту macOS на Apple M5: исследователи собрали kernel-эксплойт за пять дней

«Лаборатория Касперского» выпустила отчёт «Невидимый контроль, или что такое цифровое насилие». За последние 12 месяцев 46% опрошенных в мире столкнулись минимум с одной формой цифрового насилия, но сам термин понимают только 32% респондентов. То есть многие уже переживали онлайн-преследование, травлю, …

Внутренние материалы офиса генерального инспектора Минфина США раскрыли новые детали атаки SolarWinds: злоумышленники получили доступ к почтовым ящикам высокопоставленных сотрудников ведомства и оставались внутри инфраструктуры достаточно глубоко, чтобы расследование получило отдельное внутреннее название — “Lazy Fortnite”.

Криптобиржи продают пользователю красивую картинку: активы под контролем, кошельки защищены, резервы есть, выводы работают. Но у любой медали — две стороны. История крупнейших взломов показывает обратную. Деньги уводили и через горячие, и через холодные кошельки, украденные приватные ключи, API-доступы, слабую …

Dragos разобрала атаку на водопроводно-канализационное предприятие в Монтеррее. В январе 2026 года злоумышленник, уже находясь в IT-среде, использовал Claude и GPT-модели для разведки, написания скриптов, обработки данных и поиска пути к OT. Claude обнаружил сервер с vNode SCADA/IIoT-интерфейсом, сам оценил …

Линус Торвальдс заявил, что приватная рассылка Linux Security List стала почти неуправляемой из-за потока баг-репортов, найденных AI-инструментами. Главная претензия не к самим моделям, а к людям, которые отправляют сырые, повторяющиеся и плохо проверенные отчёты без патча, анализа и понимания проблемы. …

В Берлине завершился Pwn2Own Berlin 2026 — трёхдневный конкурс по демонстрации неизвестных ранее уязвимостей в полностью обновлённых продуктах. Исследователи получили $1 298 250 за 47 уникальных zero-day. Главным победителем стала команда DEVCORE: 50,5 балла Master of Pwn и $505 000 …

Salt Typhoon заподозрили в атаке на дочернюю компанию IBM в Италии. Под ударом оказался подрядчик, связанный с госсектором и критичной инфраструктурой

Фишинг переехал в Teams: MuddyWater выдаёт себя за IT-поддержку и крадёт пароли прямо во время созвона

Многолетняя фишинговая кампания Operation HookedWing затронула более 500 организаций и привела к краже свыше 2000 учётных данных. Атака работала с 2022 года и била по авиации, энергетике, госсектору, критической инфраструктуре, логистике, финансам и ИТ. Злоумышленники использовали ссылки на GitHub Pages …