javascript

Разработчики устанавливали «is», а по факту — приглашали хакера пожить у себя. Компрометация широко используемой библиотеки JavaScript поставила под угрозу миллионы проектов по всему миру. Речь идёт о пакете «is», который на протяжении многих лет оставался незаметным, но критически важным...

В числе исправлений — баги в JIT-компиляторе, CSP и механизмах загрузки. 22 июля 2025 года Mozilla представила обновление Firefox 141, направленное на повышение безопасности браузера. В рамках бюллетеня MFSA 2025-56 устранены 18 уязвимостей, включая ошибки, связанные с работой...

В числе исправлений — баги в JIT-компиляторе, CSP и механизмах загрузки. 22 июля 2025 года Mozilla представила обновление Firefox 141, направленное на повышение безопасности браузера. В рамках бюллетеня MFSA 2025-56 устранены 18 уязвимостей, включая ошибки, связанные с работой...

EverythingIsLife превратил интернет в гигантскую ферму по добыче крипты. ИБ-специалисты из компании cside зафиксировали масштабную кампанию по скрытому майнингу криптовалют , охватившую более 3 500 веб-сайтов. Этот инцидент стал самым крупным за последние годы и ознаменовал возвращение...

Всё было по правилам, но правила были неправильными. В ходе соревнования Pwn2Own Berlin 2025 исследователь Манфред Пауль продемонстрировал успешную атаку на процесс рендеринга браузера Mozilla Firefox, воспользовавшись уязвимостью в JIT-компиляторе IonMonkey. Несмотря на то, что ему не...

Anubis научился отличать людей от машин без капчи и лишнего шума. В борьбе с назойливыми ИИ-ботами, собирающими данные с интернета, появилась мощная альтернатива, пришедшая не из крупных компаний, по типу Cloudflare , а от простых энтузиастов. В начале 2025 года разработчик под...

270 тысяч сайтов не выдержали. Вы точно посещали один из них. Злоумышленники взломали более 260 тысяч легитимных сайтов, внедрив в них вредоносный JavaScript -код, замаскированный под невинную цепочку символов. Обнаруженная специалистами Palo Alto Networks массовая кампания началась в конце...

Запросы шли с миллионов IPv6-адресов, а защита почему-то не срабатывала. Уязвимость в устаревшей форме восстановления имени пользователя Google позволяла подобрать полный номер телефона, привязанный к аккаунту, зная лишь отображаемое имя и часть номера. Такая лазейка серьёзно повышала риск...

Код, который не лечит, а калечит. Два вредоносных пакета были обнаружены в популярном реестре JavaScript-библиотек npm. За безобидными названиями скрывались настоящие стиратели данных, которые после активации удаляют все файлы в рабочей директории приложения. Речь идёт о библиотеках под...

Логотип в подписи письма может оказаться ловушкой для ваших паролей. За последние полгода SVG-файлы неожиданно стали излюбленным инструментом киберпреступников для проведения фишинговых атак через электронную почту. Этот вектор доставки вредоносного кода стремительно набирает популярность, и...

Один неверный свайп — и ничего уже не вернуть. Специалисты компании c/side выявили новую вредоносную кампанию, которая использует JavaScript-инъекции для скрытого перенаправления мобильных пользователей на поддельные сайты с порнографическим контентом, оформленные как прогрессивные...

CVE на сцене, деньги в кармане, уязвимость в системе — как прошёл Pwn2Own для Firefox. Mozilla выпустила экстренные обновления безопасности для Firefox — всего через несколько часов после завершения хакерского соревнования Pwn2Own Berlin 2025 . Причиной стали две критические уязвимости...

Он сидел тихо до последней версии, а потом начал шептать что-то на незнакомом языке. Злоумышленники вновь атакуют экосистему npm, на этот раз с помощью пакета «os-info-checker-es6» , который маскируется под утилиту для получения информации об операционной системе. Подобная мимикрия...

Инфостилер под видом игры охотится в Discord. К началу 2025 года похищение учётных данных с помощью вредоносных программ стало настоящей золотой жилой для киберпреступников. Именно инфостилеры обеспечили до 75% всех скомпрометированных учётных записей за 2024 год — это около 2,1 миллиарда...

Официальное обновление оказалось троянским конём — и он уже в вашем коде. Угроза на уровне цепочки поставок программного кода вновь дала о себе знать: рекомендованная Ripple библиотека «xrpl.js» для работы с блокчейном XRP через JavaScript была скомпрометирована. Вредоносный код в неё...

Нужно доработать лайв-панели и 5 шаблонов фишей PHP, управление по вебхуку с кнопок Telegram. Есть небольшая админка с настройкой токенов, ссылок и выбором шаблона. Фиши отображаются в iframe и проходят MITM-модификацию (обфускация JS, добавление HTML-мусора и другие обходы Google Safe...

Полноэкранные наложения превращают легитимные площадки в игорные миражи. Вредоносная кампания по внедрению JavaScript-кода на легитимные сайты, направленная на продвижение китайских азартных платформ, достигла беспрецедентного масштаба — под контроль злоумышленников попало уже около 150 тысяч...

Уязвимость в цепочке поставок превратила автосайты в невольные плацдармы для кибератак. Атака на цепочку поставок затронула более 100 автосалонов в США, подвергая их клиентов риску заражения вредоносным ПО. Злоумышленники воспользовались уязвимостью в стороннем видеосервисе, используемом...

WordPress считает, что он в безопасности, но хакеры знают правду. Эксперты компании c/side выявили изощрённую атаку на WordPress-сайты, в ходе которой злоумышленники использовали один сторонний JavaScript-файл для заражения более тысячи сайтов. Вредоносный код загружался с...

Возможно ли распознать код, который не видит ни человек, ни машина? В январе 2025 года исследователи Juniper Threat Labs выявили новую технику обфускации JavaScript , которая активно применяется в фишинговых атаках. Злоумышленники используют невидимые символы Unicode для сокрытия...

Теперь даже простые картинки таят в себе сложные схемы кражи платёжных данных. Исследователи Sucuri обнаружили новую кампанию по краже данных банковских карт, нацеленную на интернет-магазины, использующие платформу Magento . Злоумышленники прячут вредоносный код в HTML-разметке, маскируя...

Теперь браузер подчиняется вашим правилам и открывает двери к безграничным возможностям. Brave Browser добавляет новую функцию «пользовательские скриптлеты», позволяющую продвинутым пользователям внедрять собственный JavaScript в веб-страницы для глубокой персонализации и контроля над...

Даже самые мощные яблочные чипы оказались уязвимыми к новым атакам. Исследователи из Технологического института Джорджии и Рурского университета Бохума обнаружили две новые боковые атаки на процессоры Apple — SLAP и FLOP. Они эксплуатируют уязвимости в механизмах предсказания загрузок...

Невидимые скрипты атакуют сайты по всему миру. Как защититься? <style> code {padding: 2px 5px;border-radius: 3px;background: #5f5f5f;font-family: monospace; }</style> На более чем 500 правительственных и университетских веб-сайтах по всему миру обнаружена новая атака с использованием...

Под маской праздничного настроения скрывалась масштабная фишинговая атака. Компания GroupGreeting стала жертвой кибератаки, получившей название «zqxq». Эксперты Malwarebytes обнаружили масштабную операцию, похожую на атаки с использованием вредоносного ПО NDSW/NDSX, направленную на...