javascript

Любой сайт может узнать, какие вкладки и приложения открыты на вашем устройстве. Сайты получили еще один скрытый способ следить за посетителями. Для этого не нужны камера, микрофон или вредоносное расширение. Достаточно обычного кода на JavaScript, который замечает едва уловимые задержки в...

Участившиеся хакерские атаки заставили создателей сервиса действовать предельно жёстко. Компания GitHub, которой принадлежит платформа npm, сообщила о двух новых мерах защиты для экосистемы JavaScript. Обновления должны усложнить атаки, при которых злоумышленники пытаются подменять...

Google рассекретила уязвимость в Chromium раньше, чем успела её исправить. Google случайно раскрыла код атаки на ещё не исправленную уязвимость в Chromium. Под угрозой оказались пользователи Chrome, Microsoft Edge и других браузеров на базе Chromium . Уязвимость связана с программным...

Эксперимент стал релизом за пять дней. Проект Bun, теперь связанный с Anthropic, за несколько дней прошёл путь от рискованного эксперимента до огромного слияния в основной репозиторий . Среду выполнения JavaScript и набор инструментов для веб-разработки перенесли с Zig на Rust с помощью...

Критическая ошибка во Flowise позволяет получить полный контроль над системой. Уязвимость в популярной платформе для создания ИИ-приложений Flowise перешла из разряда теоретических рисков в практическую угрозу. Специалисты зафиксировали первые атаки, в которых злоумышленники уже используют...

Фейковый Slack, дипфейк-звонок, троян под видом обновления Teams... Популярный JavaScript-пакет axios , который используют миллионы проектов, на несколько часов превратился в канал доставки вредоносного кода. Злоумышленники целенаправленно взломали аккаунт ведущего мейнтейнера и через него...

В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа. Популярная библиотека axios, без которой трудно представить современную веб-разработку, неожиданно оказалась в центре серьёзной атаки. Злоумышленники внедрили вредоносный код прямо в официальные версии пакета, и...

Внутренняя проверка безопасности обернулась цепной реакцией, которая за считанные минуты испортила Meta-Wiki и заразила пользовательские скрипты. У Wikimedia Foundation выдался очень неприятный день. На проектах Wikimedia сработал самораспространяющийся JavaScript-червь, который начал портить...

Как один неправильный символ довел Mozilla до истерики. В движке JavaScript SpiderMonkey, который используется в Mozilla Firefox, нашли критическую уязвимость удалённого выполнения кода (RCE) . Источник оказался почти анекдотическим: одна опечатка в один символ в коде сборщика мусора для...

Как рекламные фильтры деанонимизируют пользователей. Исследователь представил PoC-инструмент Adbleed , который показывает неожиданный способ частично «деанонимизировать» пользователей <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>. Идея в...

Украсть крипту теперь проще, чем заказать доставку еды. Хакерам даже не нужно уметь программировать. Специалисты обнаружили одну из самых прибыльных схем кражи криптовалюты за последние годы. Сеть под названием Rublevka Team сумела выстроить почти промышленный сервис по опустошению цифровых...

Похоже, защитные барьеры просто перестали работать. Команда специалистов по информационной безопасности обнаружила две критически опасные уязвимости в платформе автоматизации рабочих процессов n8n. Обе ошибки позволяют авторизованным пользователям выполнить произвольный код на целевой...

Похоже, защитные барьеры просто перестали работать. Команда специалистов по информационной безопасности обнаружила две критически опасные уязвимости в платформе автоматизации рабочих процессов n8n. Обе ошибки позволяют авторизованным пользователям выполнить произвольный код на целевой...

Хакеры перехватывали данные банковских карт и пароли сотрудников финансовой группы США в течение 18 часов. Сотрудники одной из трех крупнейших банковских групп США почти сутки могли вводить свои логины, пароли и платежные данные прямо в руки злоумышленников. Компания Sansec сообщила, что...

Дыра на 9.2 балла, патч вышел месяц назад — но кто проверяет обновления библиотек? В популярной JavaScript-библиотеке jsPDF, которую используют для генерации PDF-файлов, обнаружили критическую уязвимость. Она позволяет злоумышленнику подсовывать произвольные пути к файлам и встраивать...

Брендан Эйх раскритиковал Windows 11 за чрезмерную зависимость от WebView2 и Electron. Windows 11 продолжает обрастать веб-компонентами буквально повсюду — от Discord и Teams до WhatsApp, поиска Windows, меню «Пуск» и даже нового представления повестки дня в центре уведомлений. Ситуация...

Шпион выживает после перезагрузки и продолжает сливать конфиденциальные данные. Специалисты компании Securonix обнаружили многоуровневую вредоносную кампанию, направленную на скрытую установку инструмента удалённого доступа NetSupport RAT. Атака разворачивается через серию тщательно...

Странности синтаксиса, наследие спешки и десятилетия костылей не помешали JavaScript стать стандартом по умолчанию для всего веба. Тридцать лет назад Netscape Communications и Sun Microsystems выпустили совместный пресс-релиз, в котором объявили о появлении JavaScript. Новый...

Тридцать лет назад Брендан Айк написал прототип JavaScript за десять дней — сегодня этот «допиленный в спешке» язык управляет браузерами, серверами и приложениями. Тридцать лет назад разработчик Netscape за десять дней наспех собрал прототип языка, который сегодня держит на себе почти весь...

Вредоносный скрипт может лишить доступа к аккаунтам в КУБ24. Эксперт компании «СайберОК» Роберт Торосян обнаружил 0-day уязвимости в КУБ24 – облачном онлайн-сервисе для автоматизации финансовых и управленческих задач в бизнесе. По информации вендора, этот сервис используют более 120 тысяч...

Исключительный случай, когда системы защиты оказались абсолютно беспомощны. Google сообщила о многолетней разведывательной операции, в рамках которой группировка APT24, связанная с Китаем, использовала ранее неизвестный вредоносный инструмент BadAudio. Кампания длилась три года и...

Надпись «Открыть защищённый документ» ещё никогда не была такой опасной. Исследователи из компании Varonis сообщили о появлении нового набора инструментов под названием MatrixPDF, который позволяет злоумышленникам превращать обычные PDF -файлы в интерактивные фишинговые приманки. Эти файлы...

Подробности нового рейтинга IEEE и причины неожиданного спада интереса к веб-разработке. С 2013 года IEEE ежегодно публикует интерактивный рейтинг самых популярных языков программирования. Но сегодня привычные способы измерять популярность могут потерять смысл — и всё из-за того, как...

Как векторная графика превратилась в марионетку киберпреступников. На десятках зарубежных порносайтов обнаружена новая схема распространения вредоносного кода, замаскированного под изображения в формате .svg. Как выяснили специалисты Malwarebytes, злоумышленники встраивают в такие файлы...

Миллиардные инвестиции оказались бессильны против простой JavaScript-атаки. Свежее автоматизированное исследование от компании ETHIACK показало , что современные средства защиты веб-приложений, включая широко используемые Web Application Firewall (WAF) , — уязвимы к атакам нового типа...