javascript

Исключительный случай, когда системы защиты оказались абсолютно беспомощны. Google сообщила о многолетней разведывательной операции, в рамках которой группировка APT24, связанная с Китаем, использовала ранее неизвестный вредоносный инструмент BadAudio. Кампания длилась три года и...

Надпись «Открыть защищённый документ» ещё никогда не была такой опасной. Исследователи из компании Varonis сообщили о появлении нового набора инструментов под названием MatrixPDF, который позволяет злоумышленникам превращать обычные PDF -файлы в интерактивные фишинговые приманки. Эти файлы...

Подробности нового рейтинга IEEE и причины неожиданного спада интереса к веб-разработке. С 2013 года IEEE ежегодно публикует интерактивный рейтинг самых популярных языков программирования. Но сегодня привычные способы измерять популярность могут потерять смысл — и всё из-за того, как...

Как векторная графика превратилась в марионетку киберпреступников. На десятках зарубежных порносайтов обнаружена новая схема распространения вредоносного кода, замаскированного под изображения в формате .svg. Как выяснили специалисты Malwarebytes, злоумышленники встраивают в такие файлы...

Миллиардные инвестиции оказались бессильны против простой JavaScript-атаки. Свежее автоматизированное исследование от компании ETHIACK показало , что современные средства защиты веб-приложений, включая широко используемые Web Application Firewall (WAF) , — уязвимы к атакам нового типа...

Разработчики устанавливали «is», а по факту — приглашали хакера пожить у себя. Компрометация широко используемой библиотеки JavaScript поставила под угрозу миллионы проектов по всему миру. Речь идёт о пакете «is», который на протяжении многих лет оставался незаметным, но критически важным...

В числе исправлений — баги в JIT-компиляторе, CSP и механизмах загрузки. 22 июля 2025 года Mozilla представила обновление Firefox 141, направленное на повышение безопасности браузера. В рамках бюллетеня MFSA 2025-56 устранены 18 уязвимостей, включая ошибки, связанные с работой...

В числе исправлений — баги в JIT-компиляторе, CSP и механизмах загрузки. 22 июля 2025 года Mozilla представила обновление Firefox 141, направленное на повышение безопасности браузера. В рамках бюллетеня MFSA 2025-56 устранены 18 уязвимостей, включая ошибки, связанные с работой...

EverythingIsLife превратил интернет в гигантскую ферму по добыче крипты. ИБ-специалисты из компании cside зафиксировали масштабную кампанию по скрытому майнингу криптовалют , охватившую более 3 500 веб-сайтов. Этот инцидент стал самым крупным за последние годы и ознаменовал возвращение...

Всё было по правилам, но правила были неправильными. В ходе соревнования Pwn2Own Berlin 2025 исследователь Манфред Пауль продемонстрировал успешную атаку на процесс рендеринга браузера Mozilla Firefox, воспользовавшись уязвимостью в JIT-компиляторе IonMonkey. Несмотря на то, что ему не...

Anubis научился отличать людей от машин без капчи и лишнего шума. В борьбе с назойливыми ИИ-ботами, собирающими данные с интернета, появилась мощная альтернатива, пришедшая не из крупных компаний, по типу Cloudflare , а от простых энтузиастов. В начале 2025 года разработчик под...

270 тысяч сайтов не выдержали. Вы точно посещали один из них. Злоумышленники взломали более 260 тысяч легитимных сайтов, внедрив в них вредоносный JavaScript -код, замаскированный под невинную цепочку символов. Обнаруженная специалистами Palo Alto Networks массовая кампания началась в конце...

Запросы шли с миллионов IPv6-адресов, а защита почему-то не срабатывала. Уязвимость в устаревшей форме восстановления имени пользователя Google позволяла подобрать полный номер телефона, привязанный к аккаунту, зная лишь отображаемое имя и часть номера. Такая лазейка серьёзно повышала риск...

Код, который не лечит, а калечит. Два вредоносных пакета были обнаружены в популярном реестре JavaScript-библиотек npm. За безобидными названиями скрывались настоящие стиратели данных, которые после активации удаляют все файлы в рабочей директории приложения. Речь идёт о библиотеках под...

Логотип в подписи письма может оказаться ловушкой для ваших паролей. За последние полгода SVG-файлы неожиданно стали излюбленным инструментом киберпреступников для проведения фишинговых атак через электронную почту. Этот вектор доставки вредоносного кода стремительно набирает популярность, и...

Один неверный свайп — и ничего уже не вернуть. Специалисты компании c/side выявили новую вредоносную кампанию, которая использует JavaScript-инъекции для скрытого перенаправления мобильных пользователей на поддельные сайты с порнографическим контентом, оформленные как прогрессивные...

CVE на сцене, деньги в кармане, уязвимость в системе — как прошёл Pwn2Own для Firefox. Mozilla выпустила экстренные обновления безопасности для Firefox — всего через несколько часов после завершения хакерского соревнования Pwn2Own Berlin 2025 . Причиной стали две критические уязвимости...

Он сидел тихо до последней версии, а потом начал шептать что-то на незнакомом языке. Злоумышленники вновь атакуют экосистему npm, на этот раз с помощью пакета «os-info-checker-es6» , который маскируется под утилиту для получения информации об операционной системе. Подобная мимикрия...

Инфостилер под видом игры охотится в Discord. К началу 2025 года похищение учётных данных с помощью вредоносных программ стало настоящей золотой жилой для киберпреступников. Именно инфостилеры обеспечили до 75% всех скомпрометированных учётных записей за 2024 год — это около 2,1 миллиарда...

Официальное обновление оказалось троянским конём — и он уже в вашем коде. Угроза на уровне цепочки поставок программного кода вновь дала о себе знать: рекомендованная Ripple библиотека «xrpl.js» для работы с блокчейном XRP через JavaScript была скомпрометирована. Вредоносный код в неё...

Нужно доработать лайв-панели и 5 шаблонов фишей PHP, управление по вебхуку с кнопок Telegram. Есть небольшая админка с настройкой токенов, ссылок и выбором шаблона. Фиши отображаются в iframe и проходят MITM-модификацию (обфускация JS, добавление HTML-мусора и другие обходы Google Safe...

Полноэкранные наложения превращают легитимные площадки в игорные миражи. Вредоносная кампания по внедрению JavaScript-кода на легитимные сайты, направленная на продвижение китайских азартных платформ, достигла беспрецедентного масштаба — под контроль злоумышленников попало уже около 150 тысяч...

Уязвимость в цепочке поставок превратила автосайты в невольные плацдармы для кибератак. Атака на цепочку поставок затронула более 100 автосалонов в США, подвергая их клиентов риску заражения вредоносным ПО. Злоумышленники воспользовались уязвимостью в стороннем видеосервисе, используемом...

WordPress считает, что он в безопасности, но хакеры знают правду. Эксперты компании c/side выявили изощрённую атаку на WordPress-сайты, в ходе которой злоумышленники использовали один сторонний JavaScript-файл для заражения более тысячи сайтов. Вредоносный код загружался с...

Возможно ли распознать код, который не видит ни человек, ни машина? В январе 2025 года исследователи Juniper Threat Labs выявили новую технику обфускации JavaScript , которая активно применяется в фишинговых атаках. Злоумышленники используют невидимые символы Unicode для сокрытия...