Security Lab

JavaScript

1633
JavaScript
JavaScript - это язык программирования, с помощью которого web-страницам придается интерактивность. С его помощью создаются приложения, которые включаются в HTML-код. Вся уникальность данного языка программирования заключается в том, что он поддерживается практически всеми браузерами и полностью интегрируется с ними.
Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

JSFireTruck и HelloTDS: новая инфраструктура веб-атак через легитимные домены

270 тысяч сайтов не выдержали. Вы точно посещали один из них.

Взломать за 15 секунд, зная лишь имя и кусочек номера. Спасибо, Google

Запросы шли с миллионов IPv6-адресов, а защита почему-то не срабатывала.

rm -rf * — и всё исчезает: npm заражён опасным «лечебным» модулем

Код, который не лечит, а калечит.

Новый SVG-фишинг — когда красивая картинка выполняет код и обходит двухфакторку

Логотип в подписи письма может оказаться ловушкой для ваших паролей.

PWA, порно и никакой защиты — вы даже не поймёте, когда началась атака

Один неверный свайп — и ничего уже не вернуть.

Хакнули — починили — как конкурс хакеров стал скриптом для апдейтов Firefox

CVE на сцене, деньги в кармане, уязвимость в системе — как прошёл Pwn2Own для Firefox.

NPM снова подвёл — пакет притворился утилитой, общался через календарь и даже не пытался быть полезным

Он сидел тихо до последней версии, а потом начал шептать что-то на незнакомом языке.

Сыграй в бету — отдай пароли: новая ловушка для геймеров

Инфостилер под видом игры охотится в Discord.

Один клик для кражи, один запрос для ключей: как библиотека Ripple сливала приватные данные хакерам

В официальной Ripple-библиотеке — вредонос, крадущий криптовалюту через POST-запросы.

Iframe-ловушки: как один скрипт подменяет целые сайты изнутри

Полноэкранные наложения превращают легитимные площадки в игорные миражи.

«Докажите, что вы не робот» — и троян захватит ваш компьютер: атака на клиентов автосалонов

Уязвимость в цепочке поставок превратила автосайты в невольные плацдармы для кибератак.

«Четыре бэкдора мне в панель»: как один JavaScript-файл захватил тысячи веб-сайтов

WordPress считает, что он в безопасности, но хакеры знают правду.

Обнаружен метод полностью невидимых фишинговых атак

Возможно ли распознать код, который не видит ни человек, ни машина?

Вредоносный код в тегах <img>: новая угроза для онлайн-платежей

Теперь даже простые картинки таят в себе сложные схемы кражи платёжных данных.

JavaScript на ваших условиях: Brave внедряет скриптлеты для продвинутых пользователей

Теперь браузер подчиняется вашим правилам и открывает двери к безграничным возможностям.

SLAP и FLOP: две стороны одной 0day-бреши в процессорах Apple

Даже самые мощные яблочные чипы оказались уязвимыми к новым атакам.

CSS как прикрытие: хакеры массово захватывают чужие веб-ресурсы

Невидимые скрипты атакуют сайты по всему миру. Как защититься?

Открытка с сюрпризом: как поздравление коллег обернулось взломом корпоративных систем

Под маской праздничного настроения скрывалась масштабная фишинговая атака.

Кошмар шопоголика: хакеры превращают WordPress-магазины в платёжный капкан

Когда каждая транзакция может стать последней для вашей карты.

Битва алгоритмов: ИИ научился делать вредоносный код невидимым

Нулевое детектирование на VirusTotal подчёркивает масштаб угрозы.

Sickle: новый стандарт для работы с шелл-кодом и полезными нагрузками

Технология, способная существенно упростить сложные задачи.

Чекаут с сюрпризом: ввод данных карты заканчивается полнейшим фиаско

Как «Чёрная пятница» превратила Magento в рассадник киберпреступлений.

Бунт против Oracle: JavaScript на пороге исторического освобождения

Райан Даль бросил компании вызов, способный разрушить былые IT-устои.

CrossBarking: как безобидные расширения превращают Opera в идеального шпиона

Новая уязвимость позволяет захватывать пользовательские аккаунты без лишних следов.

Astaroth нацелился на Бразилию: старый троян возвращается в новом обличье

Вредоносные вложения скрывают гораздо больше, чем кажется на первый взгляд.

Mongolian Skimmer: как Unicode помогает хакерам маскировать вредоносный код

Киберзлодеи умудряются атаковать одни и те же сайты одновременно. Как они делят выручку?

MutantBedrog: невидимая рука, управляющая вашим браузером

Злоумышленники научились использовать Trusted-Types против пользователей.

Flipper Zero получил масштабное обновление прошивки

Долгожданный выход из беты удивляет даже бывалых фанатов гаджета.

Скиммер отработал на 100%: Cisco закрывает фирменный интернет-магазин

Домен злоумышленников появился в сети всего за 48 часов до обнаружения взлома.

Rspack 1.0: новый король в мире упаковщиков JavaScript

За полтора года разработки проект завоевал сердца тысяч программистов.

Собеседование мечты или ловушка? Новый тренд в мире социальной инженерии

Ни один разработчик не застрахован от убедительных методов хакеров.

Критические уязвимости в MLOps: 20+ векторов атак на ИИ-модели

Исследователи обнаружили более 20 слабых мест в платформах машинного обучения.

PEAKLIGHT: просмотр пиратского фильма может стоить вам всех данных

Невидимый вирус приходит вместе с вашим любимым актером.

CVE-2024-7971: 0day позволяет получить полный контроль над системой жертвы

Проблема стала уже третьей по счёту в движке V8 с начала года.

Roundcube Webmail: случайный клик по письму открывает хакерам путь к вашим данным

Как разработчики допустили существование в своём продукте трёх уязвимостей одновременно?

NetSupport RAT эволюционирует: обнаружены сотни новых вариантов

Как хакеры приспособили легитимное ПО для удалённого управления заражёнными устройствами.

Логотипы Intel, AMD и Microsoft атакуют разработчиков

На платформе npm выявлены библиотеки-оборотни со скрытым функционалом.

Код-призрак: как хакеры используют движок V8 для обхода обнаружения

Check Point раскрывает многоуровневую тактику киберпреступников.

GootLoader 3: троянский конь в деловом костюме

Обновлённый вредонос проникает в компании через бизнес-файлы.

Интернет-чума: атака на Polyfill.io поразила свыше 380 000 хостов

Невидимый враг продолжает регистрировать новые домены для продолжения активности.

Passkey – всё: обнаружен простой способ обойти передовую технологию аутентификации

Криптографические ключи оказались бессильны перед смекалкой хакеров.

Polyfill.io: покупка домена привела ко взлому более 100 тысяч сайтов

Цепочка поставок оказалась скомпрометирована незаметно для владельцев сайтов.

Бесшумный убийца: хакер Boolka меняет тактику кибератак

Все ваши данные улетучатся с устройства, оставив после себя лишь хлебные крошки.

Волки в овечьей шкуре: как легитимные плагины WordPress стали оружием хакеров

Десятки тысяч сайтов оказались под прицелом цифровых диверсантов.

htmx 2.0.0: фокус на удобстве разработки и поддержке современных стандартов

Отказ от устаревших методов в сторону упрощения программирования.

Сохраняйте бдительность: космический кибершпион «BadSpace» прячется в обновлениях Chrome

Вредоносная кампания явно вдохновлена недавно обнаруженными вредоносами семейства FakeUpdates.

«Glup-debugger-log»: ложный друг разработчика, ворующий контроль над ПК

Почему вредоносный Node.js-пакет всё ещё доступен для скачивания?

Экстренное исправление 0day: Google защитила пользователей Chrome от раскрытия данных

Активно используемая уязвимость позволяет хакеру получить контроль над жертвой.

FROZEN#SHADOW: хладнокровные хакеры скрытно атакуют компании по всему миру

Вредонос SSLoad стал одним из основных инструментов в арсенале киберпреступников.

Meta Pixel: полезный инструмент веб-аналитики или ловушка для вашего кошелька?

Мошенники внедряют вредоносный код туда, где меньше всего ожидаешь его увидеть.

StrelaStealer поражает энергетику, производство и правительственные учреждения

Сложные техники обфускации существенно затрудняют обнаружение вредоноса.

Gleam 1.0.0: новый язык открывает дверь в мир безопасного кода

Всего один день обучения — эффективность в работе на долгие годы.

Earth Lusca: китайская шпионская операция с дипломатическим душком

Тайвань – новое поле боя в глобальной кибервойне.

В Tornado Cash найден бэкдор

Тысячи криптоинвесторов замерли в ожидании ответа, пострадали ли их активы.

Скрытность и устойчивость: новый Coyote как революция банковских троянов

Использование языка Nim и открытых инструментов показывает, как хакеры следуют трендам.

70 тысяч ловушек для интернет-пользователей: как устроена теневая империя VexTrio

Крупнейшая хакерская сеть набирает обороты уже 6 лет. Почему никто не может этому помешать?

npm-модули против разработчиков: GitHub в роли склада краденого

Злоумышленники придумали хитрый способ распространять скрипты через GitHub

Новая версия Parrot TDS становится невидимой для систем безопасности сайтов

Обфускация и изменения в структуре кода серьёзно затрудняют выявление JavaScript-инъекций.

Пакет “oscompatible” в npm оказался ловушкой: как он устанавливает скрытый троян на компьютерах с Windows и дает злоумышленникам удаленный доступ

Дерзкий подход к компрометации открыл хакерам доступ к цепочке поставок открытого ПО.

Срочно обновите Chrome: новый 0day раскрывает конфиденциальные данные

Уязвимость позволяет запустить цепочку эксплоитов.

Inferno Drainer: история самой успешной криптовалютной аферы

Исследователи из Group-IB поделились антидостижениями матёрых киберпреступников.

Zero-day «MyFlaw» в Opera позволяет хакерам запускать вредоносные файлы на Windows и macOS

Источником риска стала встроенная, но давно забытая функция браузера.

Balada Injector снова атакует Интернет: популярный Wordpress-плагин стал идеальной точкой входа для тёмных хакеров

Свыше 7000 заражённых страниц обеспечивают вредоносную активность против простых пользователей.

Какой язык программирования выбрать в 2024 году: топ-10 самых популярных и востребованных

Выбирать язык нужно с умом, а не по моде.

Наклон в 22 градуса — новый тренд в разработке ПО

Как реорганизация рабочего пространства позволяет улучшить производительность.

IBM предупреждает о JavaScript-инъекциях, нацеленных на банковские аккаунты

50 тысяч человек уже лишились своих сбережений. Сумеете ли вы защитить свои?

Дуглас Крокфорд представил универсальный язык программирования Misty

Новый проект от разработчика JSON сможет заинтересовать как новичков, так и опытных профессионалов.

AutoSpill: все существующие менеджеры паролей подвержены краже данных

Исследование индийских специалистов выявило фундаментальную проблему в безопасности Android.

Без лицензии, без защиты: новое исследование раскрывает тревожные тенденции в Open Source

Как отсутствие лицензирования влияет на безопасность кода и замедляет процесс разработки?

Google против веб-разработчиков: как изменение в кэшировании может повлиять на безопасность всего Интернета

Допустимо ли обманывать ожидания разработчиков ради сомнительного прироста скорости?

SugarGh0st: Кибероружие Китая атакует МИД Узбекистана

Написанный на C++ китайский вредонос обладает обширным спектром шпионских функций.

Новый бэкдор WailingCrab превращает вашу почту в оружие против вас

История о том, как одно электронное письмо раскрывает шпионам всю вашу цифровую жизнь.

Активно используемая уязвимость Linux грозит захватом систем федеральных агентств США

CISA призвала частные и госорганизации срочно устранить ошибку Looney Tunables, чтобы предотвратить потерю контроля над сетями.

Полтора миллиона биткоинов под угрозой кражи из-за уязвимости Randstorm

Если ваш криптокошелёк был создан до 2016 года, стоит внимательно изучить все риски.

Как группа Silver Fox использует .NET-объекты для удаленного контроля

Специалисты раскрыли тактику и инструменты скрытной группы для обхода защиты.

Иранский цифровой смерч: Imperial Kitten атакует Ближний Восток

Зачем группировка преувеличивает последствия своих кибератак?

GootBot: новая угроза с уникальным подходом к управлению системой

IBM описала преемника GootLoader и трудности блокировки его серверов.

Обнаружены критические уязвимости в Битрикс24: рекомендации по обновлению

Исследователи из Сингапура внесли неоценимый вклад в безопасность Битрикс.

Хакеры Kinsing активно эксплуатируют Looney Tunables для кражи учётных данных

Злоумышленники изменили своей привычной тактике и стали ещё опаснее.

Иранские хакеры Tortoiseshell и их новое кибероружие угрожают глобальной безопасности

Загрузчик IMAPLoader хитрым образом взаимодействует с письмами для развёртывания вредоносного ПО.

iLeakage: новая атака на Apple может привести к массовым утечкам данных

Несовершенство процессоров Apple позволяет незаметно выкачать все конфиденциальные данные пользователя.

Хакеры Winter Vivern активно эксплуатируют 0-day уязвимость в почтовом клиенте Roundcube

От потенциальной жертвы требуется лишь открыть письмо, а преступники сами найдут нужный путь.

ExelaStealer похищает обширный спектр данных, прикидываясь PDF-документами

Входной билет в мир киберпреступности стоит всего 20 долларов.

Смарт-контракты Binance: новое средство для заражения и кражи данных

А причём тут WordPress и обновления Chrome, мы с вами сейчас и узнаем...

Встречайте Lu0Bot — скрытного охотника в мире веб-приложений

Уникальный микс Node.js и JavaScript привлёк внимание специалистов.

Хакеры-турагенты используют Booking.com для кражи данных путешественников

В умелых руках Booking.com стал инструментом для взлома систем отелей и компьютеров путешественников.

NPM-пакеты стали платными: теперь платить нужно SSH-ключами и данными

Под видом доверенных библиотек злоумышленники пытаются атаковать цепочки поставок ПО.

«Excel в браузере, который никому не нужен» — откровения бывшего разработчика Uber

Иногда всего один случай может полностью изменить всё, но отчаиваться не стоит.

Коварство женской красоты: как модели OnlyFans стали орудием кибершпионажа

Новая операция «Steal-It» не оставляет шансов на сохранность конфиденциальных данных.

Python и Java: кто заберет золото?

Представлен рейтинг языков программирования 2023 от IEEE Spectrum.

Стоять, не двигаться! Блокировщик браузеров WoofLocker теперь еще сложнее обнаружить

Новая версия фреймворка научилась шпионить и использовать стеганографию.

Собирает ли Google незаконно ваши данные? новый иск против раскрывает реальность за пикселем отслеживания

Один маленький пиксель создал огромные проблемы для IT-гиганта.

Техподдержка нового уровня: WoofLocker или как продать воздух

Зачем специалисты решают несуществующие проблемы на компьютере жертвы?

StableCode: искусственный интеллект от Stability AI для автоматической генерации кода

Stability AI выпустила StableCode — трехуровневая модель для генерации кода.

Новая версия криптостилера Rilide маскируется под VPN-клиент от Palo Alto Networks

Хакеры развернули сразу несколько масштабных вредоносных кампаний с изощрёнными методами социальной инженерии.

Википедия стала инструментом для маскировки нового вредоносного загрузчика WikiLoader

Исследователи Proofpoint раскрыли методы и замыслы цифровых негодяев.

Хакеры эксплуатируют функцию поиска в проводнике Windows для установки троянов удалённого доступа

JavaScript-сценарий из браузера заманивает пользователей в хитроумную ловушку.

Киберпреступники активно подделывают системы авторизации Microsoft и Adobe

Эксперты компании Vade дали практические советы, как не попасться на удочку мошенников.

Бразилия и Филиппины в опасности: вирус RedEnergy шифрует и похищает данные через LinkedIn

Злоумышленники доставляют зловредный софт через поддельные страницы на LinkedIn.

HTML Smuggling — новая угроза для европейской кибербезопасности

Как китайские хакеры распространяют троян PlugX через обычные веб-браузеры?

Паника в сообществе разработчиков: NPM скрывает вредоносный код в пакетах

Проблема путаницы в манифестах ставит под угрозу целостность приложений.

«Был бы ты человек…»: новый JavaScript-дроппер PindOS угрожает безопасности зарубежных компаний

К производству вредоноса со столь оригинальным названием явно имеют отношения русскоязычные хакеры.

MULTI#STORM: новая фишинговая кампания атакует пользователей из Индии и США

Трояны удалённого доступа доставляются через JavaScript-файлы и скачивают дополнительные полезные нагрузки.

Новый инфостилер «Skuld» на базе языка Go массово атакует Windows-устройства

Вредонос способен целенаправленно похищать Discord-токены жертв, а кастомные модификации клиента бессильны.

Опрос Stack Overflow: самым распространённым языком программирования уже 11 лет остаётся JavaScript

Опрос разработчиков выявил какие нейросети и языки наиболее полезны для IT-специалистов.

Что такое стеганография или как обычная картинка может стать ключом к вашим данным?

Стеганография позволяет злоумышленнику спрятать вредоносный код в безобидном файле или изображении на вашем сайте. В этой статье мы расскажем, как происходит атака и каких последствий стоит ожидать.

Хакерская группа Asylum Ambuscade успешно сочетает финансовую мотивацию с кибершпионажем

Киберпреступники используют в своих атаках VBScript-сценарии, а также целый набор вредоносных программ и полезных нагрузок.

Google предупреждает о новой уязвимости нулевого дня в Chrome CVE-2023-3079

Обновление уже доступно, с установкой лучше не медлить.

Рекламные плагины браузера используются для распространения загрузчика LegionLoader

Злоумышленники умело подделывают сайты для скачивания вредоносного архива.

Инфостилер Vidar активно используется в атаках против онлайн-продавцов

Хакеры всеми силами стремятся получить доступ к сервисам электронной коммерции для расширения спектра своих атак.

Google удалила из Интернет-магазина Chrome 32 вредоносных расширения с 75 миллионами скачиваний

Достучаться до «корпорации добра» пытался независимый исследователь, но сподвижки появились только после подключения «тяжёлой артиллерии».

Администраторы групп Discord массово теряют свои аккаунты в атаках с использованием закладок браузера

Добавляя закладку в свой браузер, жертва добровольно передаёт хакеру доступ к своему аккаунту.

3 миллиона атак за 2 дня: очередной плагин WordPress активно эксплуатируется хакерами

Срочно обновите уязвимый плагин, пока злоумышленники не развернули полезную нагрузку.

Cайты логистических компаний Израиля пострадали от кибератаки иранских хакеров

Очередной пример того, как политика влияет на отношения в киберпространстве.

TurkoRat проник в NPM! Очередные вредоносные пакеты терроризируют разработчиков

Идентифицировать угрозу удалось лишь через два месяца после публикации.

Обнаружен новый инфостилер NodeStealer, который похищает учетные данные Facebook*

Вредоносное ПО может запускаться на любой ОС и выдавать себя за настоящего пользователя.

Группировка «Дыхание дракона» повышает градус кибератак против китаеязычных Windows-пользователей

«Двойной DLL Sideloading» помогает кибербандитам лучше избежать обнаружения в целевых сетях.

Инфостилер ViperSoftX не пропустит ни одного пароля и раскроет все секреты своих жертв

Популярный ранее похититель криптовалюты стал ещё опаснее, существенно расширив профиль деятельности.

Слепой орёл-шпион отслеживает компании в Южной Америке

Группировка Blind Eagle использует многоэтапную цепочку атак для кражи конфиденциальных данных целевых организаций.

Impala Stealer: очередной похититель криптовалюты добрался до разработчиков, на этот раз через платформу NuGet

Насколько вообще безопасны общедоступные репозитории программного обеспечения?

НАТО в ужасе: Winter Vivern похищает правительственные письма через уязвимость Zimbra

Исследователи уверены, что лишь халатность зарубежных «безопасников» позволила хакерам воспользоваться дырой в защите.

10 000 сайтов в Интернете перенаправляют пользователей на порносайты

Неизвестные хакеры необычным способом привлекают китайцев на сайты для взрослых.

Киберпреступники атакуют юридические компании с помощью вредоносных программ GootLoader и FakeUpdates

По словам исследователей, браузерные атаки в последние годы обошли по популярности e-mail фишинг.

Обновление Splunk Enterprise исправляет критические недостатки платформы

Патч безопасности затрагивает свыше десяти различных уязвимостей.

В репозитории NPM обнаружили 16 пакетов с криптомайнерами, выдающих себя за тестеры скорости интернета

Разработчик решил поэкспериментировать и использовал разную компоновку у каждого пакета, чтобы выявить наиболее эффективный.

Ранее неизвестная группа TA886 фотографирует жертву перед атакой

Хакеры атакуют компании США и Германии, предварительно проверяя – стоит ли начинать взлом.

Загрузчик Gootkit получил новый метод развёртывания для доставки Cobalt Strike

Заражённое устройство превращается в прокси-сервер злоумышленника.

Вредоносные игровые моды для Dota 2 заразили сотни игроков вредоносным ПО

Модификации были размещены в Steam WorkShop и не вызывали подозрений.

Крупнейший даркнет-маркет InTheBox продаёт тысячи фишинговых форм «за копейки»

Вредоносные пакеты для банковских троянов позволяют автоматизировать атаку и усовершенствовать свои навыки.

Обнаружен новый вариант ВПО Gootkit с обновлёнными инструментами

Операторы Gootkit подстраиваются под изменения в киберпространстве и обновляют своё ПО.

Как курица лапой: нейросеть научилась мастерски генерировать рукописный текст

Найдут ли мошенники применение подобной технологии?

Уязвимость из JavaScript перекочевала в Python

Неожиданно и интересно: знакомая угроза в новой оболочке.

Цифровой госномер позволяет отслеживать автомобиль

Экспертам удалось без навыков программирования изменить номерной знак и раскрыть его местоположение.

Северокорейские хакеры не гнушаются использовать трагедии в своих целях

Злоумышленники пытались атаковать южнокорейских пользователей с помощью “правительственных отчетов” о давке в Сеуле.

0-day уязвимость Google заставляет программу поверить в ложные данные

Пользователям нужно срочно обновить Google Chrome, чтобы не потерять контроль над компьютером.

Терпеливые хакеры используют устаревшие домены для проведения мошенничества с рекламой

Домены с большой «выдержкой» обходят средства защиты и нацелены на определенных жертв.

Обнаружена опасная RCE-уязвимость в Backstage от Spotify

Исследователи Oxeye обнаружили более 500 открытых экземпляров Backstage, которые могли быть использованы злоумышленниками.

15000 сайтов WordPress перенаправляют на мошеннический форум

Хакеры искусственно повышают рейтинг вредоносных сайтов в поиске Google.

Уязвимость загрязнения прототипа ставит под угрозу тысячи веб-приложений на Ember.js

Используя уязвимость, киберпреступники могут с легкостью провести XSS-атаку.

Ошибка в Samsung Galaxy Store позволяет тайно устанавливать приложения на смартфон

Настройка глубоких ссылок позволяет выполнить XSS-атаку и доставить дроппер на устройство.

0-day уязвимость в продуктах Microsoft открыла миллионы ПК для мощных кибератак

Аналитики уже зафиксировали кибератаки с использованием этой бреши в защите.

Поддельные обновления Windows заражают пользователей через файлы JavaScript

Любители пиратских сборок оказываются в ловушке злоумышленников.

Злоумышленники научились сбегать из JavaScript-песочницы vm2

В этом им помогает критическая RCE уязвимость, позволяющая обойти vm2 и выполнить произвольный код.

Тайная система разведки ЦРУ привела к массовым арестам агентов

В течение 10 лет ЦРУ общалось с информаторами за границей, используя сеть веб-сайтов со скрытыми коммуникационными функциями.

Oracle попросили разрешить использовать JavaScript

Название JavaScript сбивает с толку людей, которые думают, что это вариант Java.

Исследователи проанализировали новый неуловимый JavaScript-скиммер, используемый группировкой Magecart

Расследованием занимались специалисты из Cyble.

Злоумышленники похищают TikTok аккаунты в один клик

Опасная уязвимость в компоненте WebView приложения ставит под угрозу безопасность 1.5 миллиарда пользователей TikTok.

Китайские хакеры использовали старый и надежный инструмент для шпионажа за госучреждениями и тяжелой промышленностью

За шпионажем предположительно стоит Министерство госбезопасности Китая.

Отследить следящих: новый инструмент показывает как TikTok и Instagram* собирают ваши данные

Инструмент позволяет вам узнать как приложения внедряют свой JS-код в сайты.

Взломанные сайты на WordPress распространяют вредоносное ПО с помощью поддельных уведомлений от Cloudflare

Жертв заражают трояном NetSupport и инфостилером Raccoon Stealer.

Теперь Microsoft Edge будет лучше защищать пользователя на малопосещаемых сайтах

Новая стабильная версия браузера выйдет в ближайшие дни и повысит безопасность по умолчанию.

Израиль – лидер шпионажа: израильское шпионское ПО используется для слежки за журналистами

Киберпреступник использует 0-day уязвимость Google Chrome. Не поможет даже обновление

RCE-уязвимость обнаружена на платформе Blitz.js

С помощью запроса JSON и JavaScript можно удаленно выполнить код на устройстве жертвы

Один из крупнейших взломов NFT-платформ в этом году: киберпреступники украли 314 NFT с сайта Premint

Украденные NFT оцениваются в 275 ETH или $375 000.

Миллионы сайтов WordPress могут быть захвачены из-за одного плагина

Ежедневно происходит более 400 тыс. попыток взлома

Простая атака на цепочку поставок скомпрометировала тысячи веб-сайтов и приложений

Злоумышленники пытались нарушить цепочку поставок npm с помощью десятков вредоносных модулей.

APT-группа Evilnum возвращается с новой атакой на миграционные компании

Европейские организации стали жертвами хитрой вредоносной кампании

Скиммер Magecart возвращается с новым методом атак

Изменение вектора атак позволит Magecart действовать незаметно

Tor Browser: не такой уж и безопасный?

Разработчики Tails OS не рекомендуют использовать Tor до исправления критических уязвимостей Firefox.

В интернете разворачиваются неуловимые скимминговые кампании

Исследователи Microsoft бьют тревогу.

Исследователь взломал Mozilla Firefox всего за 8 секунд

В атаке использовались эксплоиты для двух ранее неизвестных уязвимостей.

Эксперты обнаружили 134 уязвимости в обработке скриптов приложениями Word и Acrobat

Специалисты создали инструмент Cooper для выявления ошибок в том, как Word и Acrobat обрабатывают JavaScript.

Автор npm-модуля node-ipc внедрил вредоносный код при обновлении из России и Беларуси

Под удар также попался vue-cli

В репозитории NPM обнаружено 25 новых вредоносных пакетов

Вредоносные JavaScript-библиотеки похищают токены Discord и переменные среды.

Команда npm удалила 17 вредоносных JavaScript-библиотек

Пакеты похищали токены доступа Discord и переменные среды с компьютеров пользователей и устанавливали RAT.

Невидимые символы в JavaScript-коде могут скрывать бэкдоры

Атака, получившая название Trojan Source, позволяет скрыть вредоносный код от глаз пользователя.

Представлена новая атака для обхода изоляции сайтов в Chrome

Spook.js – атака на базе JavaScript, направленная на обход реализованных Google механизмов защиты от уязвимостей Spectre.

Microsoft предупредила о спам-кампании с использованием техники HTML smuggling

HTML smuggling позволяет злоумышленникам собирать вредоносные файлы на устройствах жертв с помощью HTML5 и JavaScript.

Представлен JavaScript-эксплоит для осуществления атаки Rowhammer на DDR4

SMASH позволяет осуществлять атаки на современные модули DDR4 в обход мер безопасности, принятых против Rowhammer за последние семь лет.

Домен Coinhive теперь предупреждает пользователей о взломанных сайтах

Контроль над доменом был бесплатно передан ИБ-эксперту Трою Ханту.

Представлена первая в истории атака по сторонним каналам на чипы Apple M1

Ученые назвали свою атаку первой браузерной атакой по сторонним каналам, работающей даже при отключенном JavaScript.

Вредоносные nmp-пакеты распространяют троян для удаленного доступа njRAT

Вредоносные nmp-пакеты jdb.js и db-json.js замаскированы под легитимный инструмент для создания баз данных из JSON-файлов.

Вредоносный пакет npm похищает переписку в Discord

На портале npm обнаружена вредоносная JavaScript-библиотека discord.dll.

Во втором квартале 2020 года число атак уменьшилось, но вредоносное ПО стало агрессивнее

В 70% кибератак на организации использовалось вредоносное ПО, способное обходить антивирусы, полагающиеся на сигнатуры.

Обновление для JavaScript-библиотеки «сломало» часть JavaScript-экосистемы

Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за JavaScript-библиотеки из двух строк.

В Tor снова исправлена уязвимость, деанонимизировавшая пользователей

Разработчики выпустили версию Tor 9.0.7, отключив выполнение Javascript на высшем уровне безопасности.

В браузере Tor исправлена уязвимость, позволявшая запускаться JavaScript-кодам

Уязвимость позволяла запускаться JavaScript-кодам, даже если Tor работал в самом безопасном режиме.

Разработчик представил «плащ-невидимку» для web-камеры

С помощью TensorFlow.js можно в режиме реального времени «стереть» человека в кадре.

Ученые изобрели новый метод отслеживания браузеров

Новый метод облегчает отслеживание браузеров и помогает обойти ряд противодействующих слежке техник.

GoDaddy внедряет в сайты своих клиентов JavaScript-код без их согласия

Скрипт предназначен для улучшения производительности, но по иронии судьбы замедляет работу сайтов.

Новая мошенническая кампания заставляет Chrome расходовать 100% ЦП

Выдающие себя за техподдержку мошенники используют код JavaScript, заставляющий браузер расходовать все ресурсы ЦП.

Представлен новый метод шпионажа за браузингом пользователей в Сети

От слежки не будут защищены даже пользователи Tor.

Исследователь изучил остававшийся более 2 лет незамеченным вредонос

Вредоносный файл был распознан 6 из 60 антивирусов.

Серверы и приложения на JavaScript уязвимы к ReDoS-атакам

О проблеме известно еще с 2012 года, однако до сих пор она оставалась недооцененной.

Хакеры используют JavaScript для определения версии браузера пользователя

Наибольшей популярностью у злоумышленников пользуется функция setTimeout ().

Хакер взломал учетную запись одного из разработчиков менеджера пакетов npm

Скомпрометированный пакет JavaScript использовался для хищения учетных данных пользователей.

В JScript компоненте Windows обнаружена критическая уязвимость

Для эксплуатации проблемы атакующий должен заставить пользователя открыть вредоносную страницу или загрузить и открыть JS файл.

Новое расширение для Chrome предотвращает атаки на основе JavaScript

Несмотря на навязчивое поведение расширения, тесты показали минимальное влияние на производительность.

Защищенные приложения уязвимы к атакам из-за языков программирования

Уязвимости в языках программирования представляют угрозу безопасности создаваемых с их помощью программ.

Эксперты продемонстрировали способ эксфильтрации URL из HTTPS-трафика

Атакам могут быть подвержены все популярные браузеры на системах Windows, Mac и Linux.

Обнаружен новый вымогатель, написанный на JavaScript

Злоумышленники требуют выкуп в размере $250 за восстановления доступа к файлам жертвы.

Злоумышленники атакуют сайты на базе WordPress с помощью нового вредоносного ПО

Вирус вставляет вредоносный код во все JavaScript-сценарии на ресурсе.

Обнаружено первое в мире вымогательское ПО на JavaScript

Созданное с помощью фреймворка NW.js вредоносное ПО Ransom32 позволяет зашифровать пользовательские файлы.

Злоумышленники проводят атаки «хищения кликов» через вложения JavaScript

Вредоносная кампания, по данным SANS Internet Storm Center, длиться в течение последних трех дней.

Язык программирования C лидирует по количеству «грязных хаков»

В репозиториях с кодом на языке C строка ugly hack встречается в три раза чаще, чем в остальных.

Уязвимость в Feedly позволяет осуществлять XSS-нападение

XSS-нападения позволяют изменять или прочитывать файлы cookie, временно изменять контент web-страниц, изменять web-формы и пр.

Black Hat: JavaScript-атаки позволяют похитить данные браузера

Исследователи продемонстрировали новую технику нападения, представляющую собой комбинацию JavaScript- и тайминг-атаки.

Состоялся релиз Chrome 28 для Linux

В новой версии web-обозревателя были повышены минимальные требования для установки программы.

Исследователи предупреждают о распространении набора эксплоитов Whitehole

Главной особенностью нового инструмента является то, что он не детектируется большинством антивирусных программ.

Новое расширение для браузеров позволяет шифровать сообщения электронной почты

Разработчики программного обеспечения выпустили новый Java-сценарий для шифрования сообщений электронной почты в OpenPGP-стандарте.