GlassWorm проник в Open VSX через взломанный аккаунт разработчика
Специалисты компании Socket предупредили, что 30 января 2026 года четыре расширения в Open VSX, опубликованные разработчиком…
Приватные чаты пользователей приложения Chat & Ask AI попали в открытый доступ
Разработчики популярного ИИ-приложения Chat & Ask AI, аудитория которого насчитывает 50 млн пользователей, оставили открытым…
ВзломДля начинающих
Error-based SQL injection. Как обработка ошибок может помочь хакеру
Сегодня я расскажу, как хакеры выкачивают огромные базы данных, эксплуатируя сообщения об ошибках. На конкретных примерах ты увидишь, как найти error-based SQL injection и как ее эксплуатировать. Попробуешь разные техники, а в конце превратим time-based в error-based при помощи ошибки конфигурации.
Незащищенные базы MongoDB по-прежнему используются для вымогательства
Злоумышленники продолжают атаковать незащищенные инстансы MongoDB в автоматизированных вымогательских кампаниях. Жертвам пре…
В OpenClaw исправили RCE-уязвимость, которая активировалась одним кликом
В проекте OpenClaw (ранее ClawdBot, а затем Moltbot) продолжают исправлять уязвимости. На этот раз исследователи обнаружили …
Microsoft отключит NTLM по умолчанию в будущих релизах Windows
Компания Microsoft объявила, что отключит протокол аутентификации NTLM 30-летней давности по умолчанию в грядущих версиях Wi…
Китайские хакеры взломали механизм обновления Notepad++ ради распространения малвари
Разработчики сообщили, что в 2025 году китайские «правительственные» хакеры скомпрометировали официальный механизм обновлени…
ВзломДля начинающих
HTB CodePartTwo. Повышаем привилегии через службу бэкапов в Linux
Сегодня я покажу, как при атаке на машину с Linux злоумышленник может повысить привилегии через службу резервного копирования, которой разрешено запускаться от рута. Но прежде чем добраться до сервера, нам понадобится выйти из песочницы Js2Py на сайте, получить возможность удаленного выполнения команд и изменить контекст безопасности.
Новые ClickFix-атаки эксплуатируют скрипты Windows App-V
Исследователи обнаружили новую схему атак, которая сочетает метод ClickFix с поддельной CAPTCHA и использует подписанные скр…
Инженера Google осудили за продажу ИИ-технологий компании в Китай
Федеральное жюри присяжных в США признало бывшего сотрудника Google Линвэя Динга (Linwei Ding) виновным в краже конфиденциал…
Разговоры детей с ИИ-игрушками Bondu были доступны любому желающему
ИИ-игрушки Bondu (плюшевые динозавры со встроенным чат-ботом) позволяли любому пользователю с аккаунтом Gmail получить досту…
Через Hugging Face распространялась малварь для Android
Эксперты компании Bitdefender обнаружили масштабную кампанию по распространению Android-малвари через платформу Hugging Face…
Белый хакер. Глава 15. DDoS
— Твой Стас — пи…
Завершается прием предзаказов на первый номер ежеквартального «Хакера»
В этом году бумажные выпуски «Хакера» будут выходить раз в квартал, и сбор предварительных заказов на первый номер уже подходит к концу. Специальная цена 1000 рублей действует только до 1 февраля — после этого стоимость возрастет! Если планируешь приобрести экземпляр по выгодной цене, пора поспешить с заказом.
Взлом Match Group привел к утечке данных из Tinder, Hinge, OkCupid и Match
Компания Match Group, владеющая популярными дейтинговыми сервисами Tinder, Match, Meetic, OkCupid и Hinge, пострадала от киб…
Хактивисты Punishing Owl атакуют критическую инфраструктуру РФ
Аналитики Positive Technologies сообщают, что 12 декабря 2025 года в соцсетях появилась ранее неизвестная группировка Punish…
MEGANews. Cамые важные события в мире инфосека за январь
В этом выпуске: один из фигурантов громкого взлома Bitfinex внезапно выходит на свободу после 14 месяцев за решеткой и обещает «внести вклад в ИБ», Роскомнадзор закручивает гайки вокруг VPN и «белых списков», а привычные опоры индустрии и повседневной безопасности трещат по швам — от почти обнуленной активности Stack Overflow до свежих критических уязвимостей в n8n и Telegram.
Антивирус eScan взломали, и он распространял вредоносные обновления
Индийская компания MicroWorld Technologies, разработчик антивируса eScan, подтвердила взлом одного из своих региональных сер…
Ботнет Aisuru совершил еще одну рекордную DDoS-атаку мощностью 31,4 Тбит/с
Стало известно, что в декабре 2025 года ботнет Aisuru (Kimwolf) провел мощнейшую DDoS-атаку, которая достигла пиковой мощнос…
Специалисты Google атаковали сеть резидентных прокси IPIDEA
Эксперты Google Threat Intelligence Group (GTIG) вместе с отраслевыми партнерами нарушили работу IPIDEA — одного из крупнейш…
Кибершпионы HoneyMyte нацелены на организации в России и странах Азии
Специалисты «Лаборатории Касперского» изучили недавнюю активность APT-группы HoneyMyte. В 2025–2026 годах злоумышленники сущ…
Посторонним В. Защищаем приложение для iOS от реверса и модификаций
Если ты когда‑нибудь публиковал приложение в App Store и спустя пару недель находил его взломанную версию на каком‑то сомнительном ресурсе, эта статья для тебя. Здесь я разберу реальные техники защиты iOS-приложений от реверс‑инжиниринга, взлома и модификаций.
Вымогатели ShinyHunters атаковали клиентов Okta, Microsoft Entra и Google SSO
Группировка ShinyHunters взяла на себя ответственность за масштабную волну фишинговых атак. Хакеры атакуют системы единого в…
Глава CISA загрузил в ChatGPT служебные документы
По данным СМИ, исполняющий обязанности директора Агентства по кибербезопасности и защите инфраструктуры США (CISA) Мадху Гот…
ФБР закрыло хак-форум RAMP
Правоохранительные органы закрыли хак-форум RAMP — одну из немногих площадок, где до сих пор было можно открыто продвигать в…
Скамеры начали эксплуатировать популярность Moltbot (Clawdbot)
Опенсорсный ИИ-помощник Moltbot (ранее Clawdbot) набрал больше 93 000 звезд на GitHub меньше чем за месяц, став одним из сам…
Бумажные спецвыпуски «Хакера» в продаже. Тиражи подходят к концу
Тиражи бумажных сборников «Хакера» с лучшими материалами последних лет постепенно заканчиваются на нашем складе, а первый спецвыпуск уже распродан. Если ты планировал собрать полную коллекцию, не откладывай — некоторых номеров осталось совсем немного.
Компания Nike расследует возможную утечку данных
Компания Nike проводит расследование, так как хак-группа World Leaks заявила о краже информации из ее систем. Хакеры утвержд…
Вымогатели используют Amnesia RAT и нацелены на российских пользователей
Исследователи Fortinet FortiGuard Labs зафиксировали многоступенчатую фишинговую кампанию, нацеленную на российских пользова…
Эпический комп. Собираем суперкомпьютер на AMD EPYC из подержанных комплектующих
Собрать суперкомпьютер из подержанных комплектующих — задача не для слабонервных. Мы возьмем двухпроцессорную платформу на AMD EPYC, напихаем терабайт серверной памяти, которая официально не поддерживается, и будем бороться с багами в процессорах, тротлингом из‑за перегрева VRM и капризными планками LRDIMM. В итоге получится расчетная машина на 64 физических ядра за разумные деньги — но путь к успеху будет тернист.
Microsoft экстренно исправляет 0-day в Office, так как уязвимостью пользуются хакеры
Разработчики Microsoft выпустили внеплановые патчи для критической уязвимости в Office, которую уже активно эксплуатируют в …
Депутат Михаил Делягин полагает, что Telegram заблокируют к сентябрю
Заместитель председателя комитета Госдумы по экономической политике Михаил Делягин высказался о возможной блокировке Telegra…
800 000 Telnet-серверов подвержены риску удаленных атак
Аналитики Shadowserver Foundation отслеживают почти 800 000 IP-адресов на фоне активной эксплуатации критической уязвимости …
Устранены уязвимости в HR-платформе Websoft HCM
Исследователи из компании Positive Technologies нашли серьезные уязвимости в российской HR-платформе Websoft HCM. Наиболее к…
ВзломДля начинающих
Брутфорс с самого начала. Как хакеры и пентестеры подбирают пароли к учетным записям на сайтах
Перебор паролей может стать точкой для входа при атаке, но на вебе у этой техники есть множество подводных камней. В этой статье я расскажу начинающим пентестерам, как правильно брутить, какие инструменты использовать и как писать свои брутилки, если готовые не подошли.
Хакерский сервис Stanley гарантирует, что фишинговые расширения попадут в Chrome Web Store
Исследователи обнаружили новый MaaS-сервис (malware-as-a-service, «малварь-как-услуга») под названием Stanley. Его разработч…
Хакеры Vortex Werewolf маскируются под Telegram
Специалисты BI.ZONE Threat Intelligence зафиксировали волну атак группировки Vortex Werewolf на российские оборонные предпри…
Вредоносные расширения VSCode были установлены 1,5 млн раз
Исследователи из компании Koi Security обнаружили на официальном маркетплейсе Visual Studio Code два вредоносных расширения,…
OnePlus внедряет защиту от даунгрейда прошивки
Разработчики OnePlus добавили в свежие обновления ColorOS защиту Anti-Rollback Protection (ARB). В результате после обновлен…
Оператор охранных систем Delta стал жертвой кибератаки
26 января оператор охранных систем Delta столкнулся с кибератакой на свою ИТ-инфраструктуру. Под удар попали онлайн-сервисы …
Бумажный спецвыпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире