Екосистема JavaScript зіткнулася з новою хвилею компрометацій: дослідники повідомили про більш ніж 180 заражених npm-пакетів, в які вбудовано саморозповсюджувану малварь, що автоматично троянізує залежні проєкти та збирає секрети розробників. Кампанію названо Shai-Hulud за однойменним файлом workflow shai-hulud.yaml, який зловмисники розміщують у репозиторіях жертв. Атака на ланцюг постачання npm: масштаб і перші сигнали На інцидент першим … Read more

Samsung випустила оновлення безпеки для критичної zero-day уразливості CVE-2025-21043, що вже використовувалася у таргетованих атаках. Оцінка CVSS 8.8 підкреслює високий ризик: уразливість дає змогу віддалено виконувати код на пристроях з Android 13 і новіше. Про проблему вперше повідомили 13 серпня 2025 року команди безпеки Meta та WhatsApp. Де помилка: вразливий код у libimagecodec.quram.so від Quramsoft … Read more

Організована кампанія WhiteCobra спрямована проти екосистеми розширень для розробників. За даними Koi Security, у VS Code Marketplace та Open VSX Registry розміщено щонайменше 24 шкідливих VSIX, які націлені на користувачів VS Code, Cursor і Windsurf. Інфраструктура поширення працює за принципами «безперервного розгортання»: видалені плагіни оперативно замінюються новими версіями, що ускладнює ліквідацію загрози. Ланцюжок атаки: маскування … Read more

Світовий ринок комерційного шпигунського ПЗ (spyware) демонструє прискорене зростання інвестицій, попри регуляторні спроби стримування. Новий звіт Atlantic Council показує, що капітал — насамперед зі США та Ізраїлю — підживлює екосистему постачальників, реселерів і брокерів, формуючи складні ланцюги постачання та підвищуючи ризики зловживань технологіями нагляду. Географія капіталу та динаміка ринку Дослідження охоплює 561 організацію у 46 … Read more

Європейська комісія оштрафувала Google на 2,95 млрд євро за зловживання домінуючим становищем у технологіях цифрової реклами та самопріоритизацію власної інфраструктури. Регулятор, посилаючись на статтю 102 ДФЄС (TFEU), вимагає припинити антиконкурентні практики й запровадити структурні заходи для мінімізації конфліктів інтересів у екосистемі adtech. Ключ претензій: доступ до «найкращих ставок» і преференції для AdX За висновками Єврокомісії, … Read more

Apple оголосила про Memory Integrity Enforcement (MIE) — постійний механізм контролю цілісності пам’яті, який увімкнено за замовчуванням в iOS 26 на нових iPhone 17 та iPhone Air. Рішення розроблене для протидії дорогоцінним «нульовим дням» і складним ланцюжкам експлойтів, які застосовують постачальники комерційного шпигунського ПЗ. Компанія заявляє, що завдяки апаратним можливостям A19/A19 Pro MIE працює без … Read more

ESET повідомила про виявлення зразка шкідника HybridPetya на VirusTotal — ранньої версії або proof‑of‑concept, який комбінує прийоми Petya/NotPetya з функціональністю UEFI-буткіта. Попри тестовий вигляд, HybridPetya вже здатен обходити механізм Secure Boot, що переводить загрозу у категорію високого ризику для систем Windows, особливо з застарілими політиками блокування. Походження гібриду та спадковість Petya/NotPetya Грозливий код відтворює знайомі … Read more

Microsoft оприлюднила вересневий пакет оновлень безпеки, який закриває 81 уразливість у продуктовій лінійці компанії. У переліку — дев’ять критичних дефектів (переважно RCE) і два 0‑day, деталі яких стали публічними до виходу патчів. За даними MSRC, ознаки активної експлуатації не зафіксовані, однак вікно ризику традиційно високе для сервісів, що доступні ззовні. Головні 0‑day: SMB relay та … Read more

Антипремія AI Darwin Awards відкрила прийом номінацій, аби не висміювати технології, а привернути увагу до наслідків безвідповідального впровадження ШІ. Ініціатор проєкту — інженер-програміст на ім’я Піт — розповів 404 Media, що мета ініціативи — систематизувати «AI-фейли» та перетворити їх на навчальні кейси для ринку. AI Darwin Awards: місія, формат і відповідальність розробників Концепція натхненна Премією … Read more

Критична уразливість CVE-2025-54236, відома як SessionReaper, зачіпає Adobe Commerce і Magento та має оцінку 9,1 за CVSS. За даними Adobe і дослідників Sansec, дефект дозволяє без аутентифікації перехоплювати активні сесії клієнтів через REST API і отримувати контроль над обліковими записами. Adobe вже випустила патч, а для клієнтів Adobe Commerce on Cloud активовано WAF-правило як тимчасовий … Read more