Разработчик npm-пакета Axios подтвердил, что компрометация цепочки поставок стала результатом целевой кампании социальной инженерии, организованной северокорейскими хакерами UNC1069. Злоумышленники использовали поддельные профили основателей известной компании, пригласили разработчика в Slack и организовали фиктивную встречу в Microsoft Teams. В ходе атаки был установлен троян, который...

Специалисты Group-IB обнаружили новую фишинговую кампанию, направленную на клиентов банков на Филиппинах. Злоумышленники используют взломанные учётные записи для рассылки писем с поддельными ссылками, которые ведут на страницы, имитирующие интернет-банки. После ввода данных жертвы, включая логин, пароль и одноразовый код из SMS, мошенники мгновенно обходят двухфакторную защиту и переводят...

Следующая крупная утечка данных у клиентов, скорее всего, произойдёт не изнутри их инфраструктуры, а через доверенного поставщика, SaaS-инструмент или субподрядчика. Это новый вектор атак, к которому большинство организаций не готовы. Современная кибербезопасность больше не ограничивается внутренними системами — она охватывает всю экосистему внешних поставщиков. Согласно отчётам, третьи...

Расследование группы Fairlinked e.V. показало, что LinkedIn тайно собирает данные пользователей, включая установленные расширения браузеров. Эта информация может быть связана с личными данными, такими как имя, работодатель и должность. Собранные данные отправляются на серверы LinkedIn и передаются третьим сторонам, включая компанию HUMAN Security. Практика не раскрывается в политике...

Злоумышленники научились превращать смартфоны на Android в полностью управляемые устройства, используя службу специальных возможностей. Вредоносные программы маскируются под популярные сервисы, такие как банковские приложения или государственные сервисы. После установки программа требует доступ к службе специальных возможностей, что позволяет ей читать сообщения, перехватывать коды из SMS и...

Платформа X, принадлежащая Илону Маску, готовит новую меру для борьбы с крипто-мошенниками. Компания планирует автоматически блокировать аккаунты и требовать верификации, если пользователь впервые публикует информацию о криптовалюте. Глава продукта Nikita Bier заявил, что это должно устранить 99% мотивации для злоумышленников. Он также раскритиковал Google за недостаточную защиту от фишинговых...

Национальный совет по трудовым отношениям США постановил, что Amazon должна вести переговоры с профсоюзом, представляющим около 5 тысяч работников склада компании на Статен-Айленде. Профсоюз Amazon Labor Union, созданный в 2022 году, добивается улучшения условий труда, повышения зарплат и других вопросов. Совет признал, что Amazon нарушила трудовое законодательство, отказавшись признать...

В Google Play найдены десятки приложений, скрывающих опасные вредоносные модули для Android. Программы выглядели безобидно, но в фоне связывались с удалённым сервером, получая полный контроль над устройством. McAfee назвала операцию NoVoice. Вредоносные приложения использовали старые уязвимости Android, для которых Google выпускала исправления с 2016 по 2021 год. Устройства с уровнем...

В сети стало популярным видео москвички Алины, которая позвонила родителям в Россию через умную кормушку для кошки, оснащённую камерой и микрофоном. Видео вызвало волну обсуждений, и пользователи начали делиться своими находками. Предлагают использовать роботы-пылесосы, радионяни и видеодомофоны. Жительница Петербурга разместила на «Авито» объявление для общения через встроенный чат платформы...

Компания Meta, владеющая WhatsApp, уведомила пользователей о заражённой шпионским ПО версии мессенджера. Жертвы, преимущественно из Италии, были обмануты и установили поддельную версию WhatsApp. Шпионское ПО могло красть текстовые сообщения, чаты и контакты из WhatsApp, Signal и Facebook Messenger, а также перехватывать телефонные звонки, записывать звук через микрофон и делать фотографии с...