javascript

Критическая ошибка во Flowise позволяет получить полный контроль над системой. Уязвимость в популярной платформе для создания ИИ-приложений Flowise перешла из разряда теоретических рисков в практическую угрозу. Специалисты зафиксировали первые атаки, в которых злоумышленники уже используют...

Фейковый Slack, дипфейк-звонок, троян под видом обновления Teams... Популярный JavaScript-пакет axios , который используют миллионы проектов, на несколько часов превратился в канал доставки вредоносного кода. Злоумышленники целенаправленно взломали аккаунт ведущего мейнтейнера и через него...

В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа. Популярная библиотека axios, без которой трудно представить современную веб-разработку, неожиданно оказалась в центре серьёзной атаки. Злоумышленники внедрили вредоносный код прямо в официальные версии пакета, и...

Внутренняя проверка безопасности обернулась цепной реакцией, которая за считанные минуты испортила Meta-Wiki и заразила пользовательские скрипты. У Wikimedia Foundation выдался очень неприятный день. На проектах Wikimedia сработал самораспространяющийся JavaScript-червь, который начал портить...

Как один неправильный символ довел Mozilla до истерики. В движке JavaScript SpiderMonkey, который используется в Mozilla Firefox, нашли критическую уязвимость удалённого выполнения кода (RCE) . Источник оказался почти анекдотическим: одна опечатка в один символ в коде сборщика мусора для...

Как рекламные фильтры деанонимизируют пользователей. Исследователь представил PoC-инструмент Adbleed , который показывает неожиданный способ частично «деанонимизировать» пользователей <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>. Идея в...

Украсть крипту теперь проще, чем заказать доставку еды. Хакерам даже не нужно уметь программировать. Специалисты обнаружили одну из самых прибыльных схем кражи криптовалюты за последние годы. Сеть под названием Rublevka Team сумела выстроить почти промышленный сервис по опустошению цифровых...

Похоже, защитные барьеры просто перестали работать. Команда специалистов по информационной безопасности обнаружила две критически опасные уязвимости в платформе автоматизации рабочих процессов n8n. Обе ошибки позволяют авторизованным пользователям выполнить произвольный код на целевой...

Похоже, защитные барьеры просто перестали работать. Команда специалистов по информационной безопасности обнаружила две критически опасные уязвимости в платформе автоматизации рабочих процессов n8n. Обе ошибки позволяют авторизованным пользователям выполнить произвольный код на целевой...

Хакеры перехватывали данные банковских карт и пароли сотрудников финансовой группы США в течение 18 часов. Сотрудники одной из трех крупнейших банковских групп США почти сутки могли вводить свои логины, пароли и платежные данные прямо в руки злоумышленников. Компания Sansec сообщила, что...

Дыра на 9.2 балла, патч вышел месяц назад — но кто проверяет обновления библиотек? В популярной JavaScript-библиотеке jsPDF, которую используют для генерации PDF-файлов, обнаружили критическую уязвимость. Она позволяет злоумышленнику подсовывать произвольные пути к файлам и встраивать...

Брендан Эйх раскритиковал Windows 11 за чрезмерную зависимость от WebView2 и Electron. Windows 11 продолжает обрастать веб-компонентами буквально повсюду — от Discord и Teams до WhatsApp, поиска Windows, меню «Пуск» и даже нового представления повестки дня в центре уведомлений. Ситуация...

Шпион выживает после перезагрузки и продолжает сливать конфиденциальные данные. Специалисты компании Securonix обнаружили многоуровневую вредоносную кампанию, направленную на скрытую установку инструмента удалённого доступа NetSupport RAT. Атака разворачивается через серию тщательно...

Странности синтаксиса, наследие спешки и десятилетия костылей не помешали JavaScript стать стандартом по умолчанию для всего веба. Тридцать лет назад Netscape Communications и Sun Microsystems выпустили совместный пресс-релиз, в котором объявили о появлении JavaScript. Новый...

Тридцать лет назад Брендан Айк написал прототип JavaScript за десять дней — сегодня этот «допиленный в спешке» язык управляет браузерами, серверами и приложениями. Тридцать лет назад разработчик Netscape за десять дней наспех собрал прототип языка, который сегодня держит на себе почти весь...

Вредоносный скрипт может лишить доступа к аккаунтам в КУБ24. Эксперт компании «СайберОК» Роберт Торосян обнаружил 0-day уязвимости в КУБ24 – облачном онлайн-сервисе для автоматизации финансовых и управленческих задач в бизнесе. По информации вендора, этот сервис используют более 120 тысяч...

Исключительный случай, когда системы защиты оказались абсолютно беспомощны. Google сообщила о многолетней разведывательной операции, в рамках которой группировка APT24, связанная с Китаем, использовала ранее неизвестный вредоносный инструмент BadAudio. Кампания длилась три года и...

Надпись «Открыть защищённый документ» ещё никогда не была такой опасной. Исследователи из компании Varonis сообщили о появлении нового набора инструментов под названием MatrixPDF, который позволяет злоумышленникам превращать обычные PDF -файлы в интерактивные фишинговые приманки. Эти файлы...

Подробности нового рейтинга IEEE и причины неожиданного спада интереса к веб-разработке. С 2013 года IEEE ежегодно публикует интерактивный рейтинг самых популярных языков программирования. Но сегодня привычные способы измерять популярность могут потерять смысл — и всё из-за того, как...

Как векторная графика превратилась в марионетку киберпреступников. На десятках зарубежных порносайтов обнаружена новая схема распространения вредоносного кода, замаскированного под изображения в формате .svg. Как выяснили специалисты Malwarebytes, злоумышленники встраивают в такие файлы...

Миллиардные инвестиции оказались бессильны против простой JavaScript-атаки. Свежее автоматизированное исследование от компании ETHIACK показало , что современные средства защиты веб-приложений, включая широко используемые Web Application Firewall (WAF) , — уязвимы к атакам нового типа...

Разработчики устанавливали «is», а по факту — приглашали хакера пожить у себя. Компрометация широко используемой библиотеки JavaScript поставила под угрозу миллионы проектов по всему миру. Речь идёт о пакете «is», который на протяжении многих лет оставался незаметным, но критически важным...

В числе исправлений — баги в JIT-компиляторе, CSP и механизмах загрузки. 22 июля 2025 года Mozilla представила обновление Firefox 141, направленное на повышение безопасности браузера. В рамках бюллетеня MFSA 2025-56 устранены 18 уязвимостей, включая ошибки, связанные с работой...

В числе исправлений — баги в JIT-компиляторе, CSP и механизмах загрузки. 22 июля 2025 года Mozilla представила обновление Firefox 141, направленное на повышение безопасности браузера. В рамках бюллетеня MFSA 2025-56 устранены 18 уязвимостей, включая ошибки, связанные с работой...

EverythingIsLife превратил интернет в гигантскую ферму по добыче крипты. ИБ-специалисты из компании cside зафиксировали масштабную кампанию по скрытому майнингу криптовалют , охватившую более 3 500 веб-сайтов. Этот инцидент стал самым крупным за последние годы и ознаменовал возвращение...