Для подписчиков
Сегодня расскажем, как не погибнуть в ручном поиске IDOR-уязвимостей в коде тысяч хендлов API. В ход пойдут правила Semgrep в режиме join. Затем попробуем восстановить логику бизнес‑сценариев по артефактам от QA-автотестов и обернуть ее в шаблоны nuclei.
В конце августа 2025 года британская автомобилестроительная компания Jaguar Land Rover (JLR) объявила, что вынуждена отключить ряд своих систем из‑за хакерской атаки. Как выяснилось вскоре, это инцидент стал одной из крупнейших кибератак в истории страны и может повлиять на показатели роста экономики Великобритании в целом.
Эксперты предупредили, что новую версию стилера MacSync для macOS распространяют через подписанное и нотаризованное Apple Swift-приложение. Это серьезный шаг вперед по сравнению с прошлыми итерациями малвари, которые использовали для заражения примитивные техники вроде «перетащи-в-терминал» и ClickFix.
Японский автопроизводитель Nissan Motor Co. Ltd. сообщил о компрометации персональных данных тысяч своих клиентов. Этот инцидент стал побочным эффектом сентябрьской атаки на американскую компанию Red Hat, разрабатывающую корпоративное ПО.
Пользователи обнаружили фальшивый домен, маскирующийся под MAS-утилиту (Microsoft Activation Scripts) проекта Massgrave. Домен использовали для распространения вредоносных PowerShell-скриптов, которые заражали Windows-системы загрузчиком малвари Cosmali Loader.
Аналитики компании F6 изучили свежую версию трояна Mamont, который стал главной угрозой для российских пользователей Android. По данным компании, 47% всех скомпрометированных устройств в РФ заражены именно этим вредоносом. Только в ноябре 2025 года ущерб от его атак превысил 150 млн рублей.
Обнаружены два расширения для Chrome, распространяющиеся под общим названием Phantom Shuttle. Они выдают себя за плагины для прокси-сервиса, однако на самом деле перехватывают трафик пользователей и воруют конфиденциальные данные.
Для подписчиков
День 29 ноября 2025 года стал кошмарным для всех владельцев веб‑приложений на React Server Components. ИБ‑исследователь нашел возможность одним POST-запросом без авторизации исполнять команды на сервере. Опасность по CVSS — 10 из 10. Сегодня разберем, как работает эта уязвимость, а также посмотрим на фейковый PoC.
В феврале 2025 года злоумышленники похитили криптовалюту на сумму около 1,5 миллиарда долларов с одного из холодных кошельков биржи Bybit. Это крупнейший криптовалютный взлом в истории, более чем вдвое превзошедший предыдущий рекорд.
В репозитории npm обнаружили вредоносный пакет, маскирующийся под легитимную библиотеку для работы с WhatsApp Web API. Малварь похищала переписку пользователей, выгружала контакты и давала атакующим доступ к аккаунтам жертв.
