Security Lab

Python

1627
Python
Python - высокоуровневый язык программирования общего назначения с динамической строгой типизацией и автоматическим управлением памятью. Он ориентирован на повышение производительности разработчика, читаемости кода и его качества, а также на обеспечение переносимости написанных на нём программ.
Язык является полностью объектно-ориентированным.
Необычная особенность языка - выделение блоков кода пробельными отступами.
Синтаксис ядра языка минималистичен, за счёт чего на практике редко возникает необходимость обращаться к документации

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Telegram устранил 0day, используемый для удаленного запуска кода

Разработчики объяснили в чем дело – все оказалось намного проще.

Свобода в каждой строке: язык Mojo открывает своё сердце разработчикам

Modular решила сделать исходный код своего продукта доступным для всех.

Токены Discord нарасхват: взлом Top.gg обернулся кошмаром для разработчиков

Сколько пользователей пострадало от компрометации цепочки поставок Discord?

Прощальное обновление HexChat 2.16.2: конец эпохи IRC-клиентов

HexChat объявляет о последнем релизе после 12 лет разработки.

Никакого фишинга: итальянские хакеры заражают местные организации весьма старомодным способом

Группа UNC4990 доказала, что даже вышедшие из употребления техники до сих пор остаются вполне эффективными.

White Phoenix Online: известный дешифратор стал ещё проще в эксплуатации

Теперь для восстановления файлов достаточно загрузить их в сервис и нажать одну кнопку.

WhiteSnake: вредоносное ПО, способное управлять вашим компьютером через Tor

Почему вы должны быть осторожны при установке пакетов PyPI?

GitHub – новая социальная сеть для киберпреступников

Recorded Future подчёркивает глобальный рост угрозы легитимных платформ.

Какой язык программирования выбрать в 2024 году: топ-10 самых популярных и востребованных

Выбирать язык нужно с умом, а не по моде.

Black Basta Buster: дешифратор, который поможет жертвам вымогательского ПО

Несмотря на все свои недостатки, инструмент позволяет восстановить самые ценные файлы без уплаты выкупа.

Проверяйте код: PyPI-пакеты с инфостилером нацелены на данные и криптовалюту разработчиков

116 пакетов заражают системы специально созданным бэкдором на основе стилера W4SP.

GPT-4 заперли в теле безногого робота: гримасы Alter3 не в силах передать тех страданий, которые он испытывает

Разработка японских исследователей поражает качеством имитации человеческих поз и эмоций.

Фишинг на грани: фейковое обновление Adobe Flash Player служит каналом распространения MrAnon Stealer

Хакеры искусно пользуются неосведомлённостью немецких пользователей, заражая их устройства вредоносным ПО.

Без лицензии, без защиты: новое исследование раскрывает тревожные тенденции в Open Source

Как отсутствие лицензирования влияет на безопасность кода и замедляет процесс разработки?

Бесплатная дешифровка: разработчики вымогателя QazLocker остались с носом

Специалисты из Acronis взломали алгоритм шифрования и поделились готовым решением с миром.

Малвертайзинг в массы: хакеры манипулируют выдачей Google и заражают наивных пользователей вредоносным ПО

Исследователи Securonix раскрыли вредоносную кампанию, реализованную через поддельный WinSCP.

BlackCat маскирует вредоносный загрузчик Nitrogen под популярный корпоративный софт

Поддельная реклама стала новым вектором атаки для известной вымогательской группировки.

Открытый код, закрытые секреты: Растущая проблема утечек конфиденциальных данных в разработке ПО

Почему специалисты пренебрегают основами безопасности и почему ситуация не меняется с годами?

ChatGPT Plus: хакеры могут использовать интерпретатор Python для кражи конфиденциальных данных

Сервис не исправляет эксплойт, который позволяет атаковать виртуальные машины.

Ботнет OracleIV использует общедоступные API Docker Engine для захвата контейнеров

Стоит ли нам ожидать масштабных отключений устройств?

Иранский цифровой смерч: Imperial Kitten атакует Ближний Восток

Зачем группировка преувеличивает последствия своих кибератак?

Даже разработчики не застрахованы от кибератак: какие угрозы таят в себе открытые Python-библиотеки?

IT-специалистам лучше заклеить камеры на своих ноутбуках…

Хакеры Kinsing активно эксплуатируют Looney Tunables для кражи учётных данных

Злоумышленники изменили своей привычной тактике и стали ещё опаснее.

Money Message: скрытый гость в корпоративных сетях Австралии

Финансы, бухгалтерия и отчёты отправляются хакерам, а затем надёжно шифруются.

Малвертайзинг на примере PyCharm: как контекстная реклама обманывает Python-разработчиков

Пособником киберпреступников невольно стал владелец свадебной фирмы.

YoroTrooper: Казахстанская группировка хакеров наносит удар по государственным структурам СНГ

Кибершпионы YoroTrooper и их планы украсть данные госструктур СНГ.

ExelaStealer похищает обширный спектр данных, прикидываясь PDF-документами

Входной билет в мир киберпреступности стоит всего 20 долларов.

Невидимый враг: троян SeroXen RAT проник в репозиторий NuGet

Почему лишь внимательность может спасти разработчиков от вездесущих хакеров?

Палестинские хактивисты AnonGhost объявили ядерную угрозу в Израиле

Киберпреступность стала одним из главных направлений в конфликте между Израилем и ХАМАС.

Версия Python 3.12: что нового для разработчиков и какие перспективы открывает 3.13?

Разбираем ключевые моменты Python 3.12.

Откровенно о безопасности: как узнать IP-адрес собеседника в Telegram

Разбираемся в тонкостях приватности: инструменты, риски и официальная позиция Telegram.

Двойная жизнь Python: как универсальность превращается в скрытую угрозу

Оказывается, репозитории PyPI и GitHub хранят в себе множество загадок.

Атака на MinIO: пересмотрите свои стратегии безопасности прежде, чем стать следующей жертвой

Кибербандиты использовали интересную уловку, чтобы удалённо выполнять вредоносный код.

Вредоносные кимчи: хакеры из Северной Кореи спрятали в репозитории PyPI три неприятных сюрприза

Как зловредные Python-пакеты заражают систему и какие цели преследуют их разработчики.

Попались на соли: исследователи безопасности выпустили дешифратор против вымогателя Key Group

Хакеры допустили непростительную ошибку в процессе хеширования пользовательских файлов.

Python и Java: кто заберет золото?

Представлен рейтинг языков программирования 2023 от IEEE Spectrum.

Взлом по смете: испанские вымогатели маскируются под клиентов архитектурных организаций

Чёткая и продуманная кампания социальной инженерии даёт свои плоды — данные десятков фирм зашифрованы.

Открытый код на страже производительности: ученые ускоряют Python с помощью ИИ

Если бы Python мог заснуть от скуки, он бы это сделал.

Python в Excel: революция в анализе данных начинается сегодня

Функция уже доступна в программе Microsoft 365 Insider, опробовать может любой желающий.

Обновлённый вредонос Sphynx от группировки BlackCat зашифрует всю вашу инфраструктуру за один клик

Инструменты Remcom и Impacket делают своё дело, значительно облегчая боковое перемещение хакеров по сетям жертв.

РобоCup на Python: когда футбол встречает науку без границ

Роботы из Канады меняют игру с помощью Python.

Хакеры похоронили Большого Брата: «Культ Мёртвой Коровы» официально представил платформу Veilid

Новинка исключит возможность слежки и шпионажа в Интернете, надёжно шифруя данные пользователей.

StableCode: искусственный интеллект от Stability AI для автоматической генерации кода

Stability AI выпустила StableCode — трехуровневая модель для генерации кода.

Охота на охотников: хакеры атакуют своих коллег с помощью пентест-инструмента OpenBullet

Чтобы поймать киберпреступника, нужно думать, как киберпреступник.

Новый штамм NodeStealer угрожает коммерческим аккаунтам на Facebook*

Вредоносный Python душит ваш бизнес и заползает в криптокошельки.

Молчание – не всегда золото: база данных PySecDB будет обнаруживать «тихие» исправления уязвимостей Python

Неопубликованные уязвимости являются большой опасностью для приложений и кладом для хакеров.

Клик не туда: хакеры продолжают маскировать трояны под легальный софт

Как избежать заражения через рекламные объявления в поисковой строке?

PyLoose: новый метод бесфайловой атаки на облачную инфраструктуру

Всего девять строк кода позволяют злоумышленникам использовать высокопроизводительные серверы для майнинга криптовалюты.

Руководство LongEval: грандиозный прорыв в области оценки текстов ChatGPT

Новый инструмент оценки LongEval вводит общие стандарты для проверки достоверности ИИ-текстов.

HTTP-бомбардировка и шифрование списка целей — зловредный инструментарий DDoSia обновился до новой версии

Кроссплатформенный вредонос, реализованный на Python и Go, распространяется через Telegram в обмен на криптовалютный платёж.

«Путаница манифестов» в NPM больше не страшна, энтузиасты решили проблему самостоятельно

Новый инструмент на базе Python покажет любые скрытые зависимости в пакетах популярного репозитория.

Snappy: продвинутый детектор мошеннических Wi-Fi сетей

Как не попасться на удочку хакеров в общественных местах?

ThirdEye: новый похититель информации, направленный на Windows-системы

Судя по всему, целью хакеров являются русскоязычные пользователи.

Японская криптовалютная биржа стала жертвой атаки JokerSpy

Раскрытая недавно вредоносная программа маскируется под встроенный антивирус в macOS.

MULTI#STORM: новая фишинговая кампания атакует пользователей из Индии и США

Трояны удалённого доступа доставляются через JavaScript-файлы и скачивают дополнительные полезные нагрузки.

JokerSpy — новая шпионская угроза для систем Apple macOS

Исследователи раскрыли подробности зловредной операции и обнаружили сразу несколько экземпляров вредоносного ПО.

WannaCry возвращается! Или нет? Вымогательское ПО было встроено в установщик российской видеоигры

Эксперты считают, что Enlisted — лишь первая игра в серии атак, и скоро злоумышленники могут нацелиться на другие популярные в РФ проекты.

Опрос Stack Overflow: самым распространённым языком программирования уже 11 лет остаётся JavaScript

Опрос разработчиков выявил какие нейросети и языки наиболее полезны для IT-специалистов.

Галлюцинации ChatGPT могут использоваться для распространения вредоносных NPM-пакетов

Хакер может "сломать" ChatGPT и заставить его рекомендовать пользователям скачать вредоносный пакет.

PyPI-пакет смешал вредоносный код со скомпилированным для обхода средств защиты

Техническая особенность кода позволила хакерам внедрить в пакет загрузчик вредоносного ПО.

Правительство США запросило данные пользователей PyPI

Фонд программного обеспечения Python получил три повестки с требованием предоставить данные пяти пользователей PyPI.

COSMICENERGY: Новое вредоносное ПО связано с учениями по ликвидации чрезвычайных ситуаций

По словам исследователей, Red Team-инструмент специально разработан для имитации атак.

Исследователи раскрыли детали работы шпионского ПО Predator

Даже после глубокого анализа специалистов совершенное шпионское ПО осталось неизведанным.

PyPI борется с мошенниками и временно запрещает добавлять новых пользователей и проекты

Администраторы обещают вернуться к обычному режиму работы после того, как найдут способ бороться с хакерами.

FRRouting под угрозой: эксперты нашли серьезные ошибки в коде

Крупные поставщики, использующие уязвимое решение, подвергают рискам цепочки поставок.

Дешевый инструмент массового взлома: инфостилер EvilExtractor продается в даркнете за копейки

Мощный похититель данных, ориентированный на Windows-системы, явно подстегнёт вредоносную активность в киберпространстве.

Технологический переворот: Google Research и Bard готовы устранить необходимость в программистах

Google Research развивает армию ИИ-программистов.

Массовое распространение вредоносного инструмента «Legion» - как ваша цифровая жизнь становится игрушкой для киберпреступников

Специальные YouTube-уроки наглядно демонстрируют, как им пользоваться.

Шпионское ПО безнаказанно распространяется в репозитории PyPI

Злоумышленники не скрывают вредоносные функции программы и умело обходят антивирусные проверки.

Новый инфостилер на Python использует Юникод, чтобы избежать обнаружения

Хакеры вновь воспользовались платформой PyPI для распространения своего вредоносного пакета.

Вредонос BATLOADER использует Google Ads для доставки инфостилеров Vidar и Ursnif

Модераторы всемирно известной корпорации в очередной раз сами открыли путь злоумышленникам.

PoC-эксплойт для исправленной недавно уязвимости Microsoft Word стал общедоступным

Всем пользователям «офиса №1» рекомендуется применить последние обновления безопасности.

Эксперты обнаружили продвинутый троян-инфостилер в одном из пакетов PyPI

Вредонос, который специалисты назвали «Colour-Blind», обладает поистине обширным функционалом.

Чему нас учит экосистема языка Python?

Сотни разработчиков могут потерять криптовалюту из-за вредоносных пакетов PyPI

5 заражённых пакетов содержат инфостилер W4SP Stealer.

Жертвы вымогателя Clop для Linux на протяжении нескольких месяцев бесплатно расшифровывали свои данные

Досадный недочёт в коде шифровальщика не позволил хакерам как следует заработать.

Новый скрытый троян атакует Windows

Троян не обнаруживается антивирусами и извлекает всю информацию о цели.

Уязвимость из JavaScript перекочевала в Python

Неожиданно и интересно: знакомая угроза в новой оболочке.

Среди нас предатель: троян Pupy научился выдавать себя за службу регистрации ошибок Windows

О новой необычной стратегии злоумышленников сообщили исследователи из K7 Labs.

Вредоносные PyPI-пакеты обходят файрволы по туннелям Cloudflare

На этот раз злоумышленники загрузили в PyPI шесть вредоносных пакетов с инфостилерами внутри.

ChatGPT позволяет писать вредоносное ПО без навыков программирования

А также разработать даркнет-маркет для продажи украденных аккаунтов.

Осы жалят пользователей репозиториев PyPI

Злоумышленники заражают десятки пакетов инфостилерами, написанными на основе W4SP.

SentinelOne собирает конфиденциальные данные разработчиков

PyPI-пакет с более 1000 загрузок крадет учетные данные специалистов.

(Не)безопасная разработка: как защититься от вредоносных Python-пакетов

Вебинар для разработчиков, специалистов по AppSec и анализу вредоносного кода состоится 20 декабря в 14:00.

Нейросеть AlphaCode от Google сможет заменить программистов уровня Junior и Middle

Нейросеть AlphaCode входит в 54% лучших программистов.

Новый вредоносный Python-пакет shadrez открывает новые возможности для атак на цепочки поставок

Про опасную находку в официальном репозитории PyPI сообщили исследователи Fortinet.

Обнаружен PyPI-пакет, скрывающий вредоносный код внутри изображения

Злоумышленники пользуются доверием к каталогу PyPI для организации атак на цепочки поставок.

29 пакетов PyPI распространяют инфостилеры

Невнимательные разработчики рискуют поделиться своими паролями и личными данными.

Малыш Аль Капоне заплатит $22 млн. жертве мошенничества

15-летний подросток провел аферу с криптовалютой на $24 млн. и подкупом оператора связи.

Вернули 2007: уязвимость 15-летней давности в Python затрагивает 350 000 проектов

Про брешь в защите было известно еще в 2007, но исправлять ее никто не стал.

Первая в мире фишинговая кампания против пользователей PyPI

Почти треть PyPI-пакетов позволяют злоумышленнику завладеть устройством жертвы.

Дешево и сердито: обнаружен новый сервис Dark Utilities, предлагающий услуги по созданию C&C-серверов

За 9,99 евро хакеры получают C&C инфраструктуру со всеми нужными функциями.

Группа исследователей uCode выпустила инструменты для дешифровки микрокода Intel

Для определения ключа шифрования была использована уязвимость в Intel TXE.

Создан Python–пакет, делающий новостные статьи менее предвзятыми с помощью ИИ

Пакет был совместно разработан исследователями из Канады, Индии, Китая и Австралии.

Авторов PyPI проектов принудят внедрить двухфакторную аутентификацию

Критически важные проекты должны иметь дополнительную защиту

Опасная SQL-инъекция угрожает пользователям веб-фреймворка Django

Разработчики рекомендуют пользователям как можно скорее применить обновление, исправляющее уязвимость.

Исследователи обнаружили несколько вредоносных пакетов в официальном репозитории PyPi

Вредоносные пакеты способны похищать учетные данные AWS и другую конфиденциальную информацию.

Пакеты PyPI содержат бэкдор

Простая опечатка в коде может привести к утечке данных и захвату устройства

Вредоносные Python-пакеты похищали токены Discord

Вредоносные пакеты также устанавливали оболочки удаленного доступа на компьютерных системах.

GeekBrains провела масштабное исследование самых востребованных профессий в IT

Самым востребованным языком разработки у работодателей стал Python.

Вымогатели зашифровали серверы VMware ESXi с помощью Python-скрипта

С момента взлома до шифрования виртуальных дисков на сервере VMware ESXi прошло чуть более трех часов.

Вредоносные Python-пакеты похищали токены Discord и данные кредитных карт

Два пакета позволяли удаленному злоумышленнику запускать вредоносные команды на устройстве жертвы.

Спамеры наводняют репозиторий PyPI поддельными пакетами

Web-страницы поддельных пакетов содержат ссылки на стриминговые сайты с пиратским контентом.

Codeby стал партнером ГК Axxtel

Преступник использовал Python-библиотеки для кражи SSH- и GPG-ключей

Вредоносные пакеты маскировались под другие более популярные библиотеки с помощью техники typosquatting.

Разработчикам советуют отказаться от Python 2

Компании, не осуществившие переход с Python 2.x на Python 3, может постигнуть участь Equifax или жертв WannaCry.

В библиотеке NumPy обнаружена критическая уязвимость

Проблема затрагивает версии NumPy с 1.10 по 1.16.

Проект Python откажется от использования терминов «master» и «slave»

По мнению одного из разработчиков, термины являются неполиткорректными.

Установка Python-пакетов может спровоцировать запуск вредоносного кода

Эксперт представил метод атаки, эксплуатирующий файл setup.py в модулях Python для запуска кода при установке пакета.

Представлен новый метод повышения безопасности ПО на стадии разработки

Исследователи модифицировали библиотеку PyCrypto таким образом, чтобы заранее выявлять проблемы и предоставлять рекомендации по их исправлению.

В уведомления безопасности GitHub добавлена поддержка проектов на Python

При обнаружении уязвимой библиотеки, рядом с ней будет отображаться предупреждение «Известная уязвимость системы безопасности».

Python разрешит инструментам безопасности «заглядывать» в среду выполнения

В будущих версиях Python могут появиться два новых API, позволяющих инструментам безопасности обнаруживать потенциально опасные операции.

Защищенные приложения уязвимы к атакам из-за языков программирования

Уязвимости в языках программирования представляют угрозу безопасности создаваемых с их помощью программ.

Злоумышленники внедрили бэкдор в репозиторий Python

Злоумышленники загрузили вредоносные библиотеки, собиравшие информацию о пользователях.

В Python устранена уязвимость коллизии хеш-таблиц

Разработчики Python устранили публично известную DoS уязвимость, в своем продукте.

Collage - инструмент для стеганографии в социальных сетях

Исследователи из Технологического института Джорджии (США) разработали инструмент под названием Collage, который позволит интернет-диссидентам вставлять скрытые сообщения в Twitter-посты и Flickr-фотографии, чтобы обойти цензуру и обмануть репрессивные правительства.

Binary Analysis Tool найдет в программах нарушения GPL

Новый инструмент позиционируется как "модульный фреймворк, который помогает проводить аудит содержимого скомпилированного программного обеспечения".

Evans Data: Python стал популярнее благодаря App Engine

По данным недавнего исследования, проведенного Evans Data в Северной Америке, уровень использования Python вырос на 45 процентов с весны 2008 года.

TIOBE Software: рейтинг языков программирования

Компания TIOBE Software обновила свой индекс популярности языков программирования. В сентябрьском отчете отмечается, что PHP впервые вышел на третье место.

Вышел Python 3.1

Спустя 8 месяцев с момента выпуска первого релиза ветки Python 3, представлен следующий этап развития языка - Python 3.1.

Вышла финальная версия Parrot 1.0

Вышла финальная версия виртуальной машины для динамических языков Parrot. Примечательна она тем, что её планируют сделать бэкэндом для реализации Perl 6. Кроме Perl, для Parrot разрабатываются реализации Tcl, JavaScript, Scheme, PHP, Python.

Назван самый удобный язык для веб-разработчиков

Согласно данным опроса исследовательской компании Evans Data, язык веб-разработки PHP является средством, которое наиболее полно удовлетворяет потребности современных разработчиков.

Вышел Python 2.5.3

Релиз Python 2.5.3 содержит исправления ошибок, связанных с безопасностью. В Python 2.5.3 внесено более 80 патчей.

CookieMonster ворует cookies с персональной информацией

Программист Майкл Перри разработал инструментарий CookieMonster, позволяющий обманным путем получить cookies, используемые для авторизации на различных ресурсах.

Microsoft разработала новый язык программирования

Язык программирования F# сможет работать как автономно, так и с операционной системой, промежуточным программным обеспечением и системами управления базами данных.