Something rather significant happened on the Internet back in May, and it seems that someone only noticed it on September 3rd. [Youfu Zhang] dropped a note on one of the Mozilla security mailing lists, pointing out that there was a certificate issued by Fina for 1.1.1.1. That IP address may sound familiar, and you may have questions.

First off, yes, TLS certificates can be issued for IP addresses. You can even get a numeric TLS certificate for your IP address, via Lets Encrypt. And second, 1.1.1.1 sounds familiar because that’s CloudFlare’s public DNS resolver. On that address, Cloudflare notably makes use of DoH, a charming abbreviation for DNS over HTTPS. The last important detail is that Cloudflare didn’t request or authorize the certificate. Significant indeed.

This is a high-profile example of the major weakness of the TLS certificate system. There are over 300 trusted certificate authorities in the Microsoft Root Certificate Program, Financijska agencija (Fina) being one of them. All it takes is for one of those trusted roots to issue a bad certificate, to compromise that system. That it took four months for someone to discover and point out the problem isn’t great.

Don’t Just Copy That Into Your Terminal

I’ve given Linux newbies the advice several times, not to be careless about copying and pasting commands into the Linux terminal. Sometimes that’s because practical jokers suggest running rm -rf /, or a fork bomb, or some other “fun” command to fix a problem. But there’s also the problem of malware, and it’s not limited to Linux. For example, this reasonably convincing looking notification from Cloudflare instructs the user to copy and past a completely benign-looking string into a terminal on a Mac machine.

… say what now

— Tim Pierce (@unchi.org) 2025-09-02T15:35:51.123Z

It’s pretty obviously not a real command as it’s presented. Instead, a base64 encoded string is decoded and executed in Bash. It executes a script from the Internet, which immediately begins looking for interesting files to upload. It’s not a terribly new approach, but is apparently still being used in the wild, and is a great object lesson about not trusting commands from the Internet.

CSS is Turing Complete Now, So Let’s Use it to Steal Data

OK, Turing complete might be a slight exaggeration, but CSS does now have if() statements. CSS also can do background downloads from remote sites. Put that together, and you have a way to steal data.

There are some serious limitations that are likely to keep this from becoming a widely used technique. Top of the list is that CSS doesn’t have any string carving functions. That if() statement is limited to matching the complete value of fields. To steal information strictly using CSS, you have to know what you’re looking for ahead of time.

Creative C2

It’s always interesting to see the creative Command and Control (C2) techniques that are dreamt up by researchers and threat actors. MeetC2 is up first, a demonstration of using Google Calendar for C2 via calendar events. It works because no security solution will block access to Google Calendar, and it’s fairly trivial to add notes to a calendar event.

The other creative C2 involves a project I’m intimately familiar with. MeshC2 is a clever, but admittedly vibe-coded C2 tool using Meshtastic to run commands on remote hosts. It’s from [Eric Escobar], one of the researchers at Sophos. When dropping a Raspberry Pi off for a penetration test, there’s an inevitable problem that knocks the platform off the Internet, and the ability to run a few simple commands could make all the difference.

youtube.com/embed/DLvPaYZfZR4?…

Persuasion and LLMs

Persuasion is the art of influencing. When a car salesman buys a potential customer a drink from the car lot’s vending machine, it’s an attempt to persuade. When a negotiators picks up on and imitates the small habits of their counterparts, it’s also an attempt to leverage persuasion. From appeals to authority, to priming, to framing, there are countless tricks that are tried, with varying amounts of success, to influence people. The question here is whether those tricks might work on an LLM.

A pre-print study seems to indicate that persuasion does indeed work on AIs. And while persuasion may convince a human to buy a car beyond one’s means, persuasion can be used to convince an AI to do something beyond its guardrails. The two test cases were to ask the LLM to return an insult, and to return the recipe for lidocaine. While this isn’t the only way to jailbreak an LLM, it’s a novel bit of work, determining that the AI has some of the same weaknesses as humans.

The Scam Become Real

If you run your own mail server, or check your spam folder, you’ve surely seen the emails where a scammer claims to have taken over your webcam while you were watching pornography. Historically this has been a complete lie, simply to extort the naive. Unfortunately, it seems that someone took this as a challenge, and has actually built malware that attempts to do exactly what the classic spam has threatened. And of course, it’s open source.

Bits and Bytes

Researchers at Silent Signal took a look at the IBM i mainframe system, and have a CVE to show for it. The exploit was a replay attack followed by a command injection. The first approach allowed for blind code execution, but the challenge on this second time around was to find something more useful, and SQL turned out to be the key.

And finally, the folks at Trail of Bits are looking at the application integrity problem, when running applications inside electron and even Chrome. The binaries themselves may be signed, but there’s a part of the program that isn’t: The heap snapshots. This is a V8 feature used to significantly speed up the loading of the pages inside these apps. It turns out that snapshot can also be used to poison the internal state of those apps, and sidestep existing controls. Electron has patched the issue, but there are some cases where Chrome itself may still be vulnerable to this fascinating approach.

hackaday.com/2025/09/05/this-w…

L’azienda californiana Figure ha svelato un altro traguardo per il suo umanoide Figure 02: il robot ha caricato una lavastoviglie con elevata precisione utilizzando il versatile modello Helix, basato sull’architettura Vision-Language-Action (VLA). Un compito apparentemente banale per gli umani si trasforma in un complesso test di precisione, forza di presa e adattamento a diversi tipi di oggetti per l’assistente artificiale .

La particolarità è che non sono state create nuove logiche o algoritmi speciali per eseguire questa operazione. Il successo si basa sullo stesso sistema universale Helix, che ha già dimostrato capacità in altri scenari. Grazie a dati aggiuntivi e all’apprendimento da esempi di comportamento umano, Figure 02 ha padroneggiato in modo indipendente le complessità del lavoro con piatti, bicchieri e altre stoviglie.

Le principali sfide per il robot sono afferrare con precisione gli oggetti con le dita, ruotarli alla giusta angolazione, posizionarli nello spazio ristretto del cestello con un errore di pochi centimetri e trattenere gli oggetti con una forza sufficiente a impedirne lo scivolamento, ma anche la rottura. Helix ha permesso a Figure 02 di dimostrare una precisione pari a quella dei movimenti delle dita umane, nonché di adattarsi a diversi set di piatti e correggere le azioni in caso di errore o collisione.

Solo pochi anni fa, i robot necessitavano di una programmazione speciale per svolgere tali compiti, e lavare i piatti era considerato una delle operazioni domestiche “impossibili”.

Ora Figure dimostra che un modello universale e nuovi dati sono sufficienti per far funzionare il sistema senza bisogno di alcuna progettazione mirata. Lo stesso principio consentiva in precedenza a Figure 02 di piegare gli asciugamani e distribuire i pacchi su un nastro trasportatore.

Helix è stato presentato a febbraio di quest’anno e da allora è diventato il cervello degli umanoidi dell’azienda. Durante l’estate, il robot ha impressionato il pubblico con un video in cui caricava i vestiti in una lavatrice, per poi dimostrare la sua capacità di seguire comandi verbali adattandosi a compiti diversi, come piegare gli asciugamani. A giugno, Figure 02 ha mostrato il lavoro su una catena di montaggio, smistando scatole. Ogni nuova abilità si aggiunge al set di competenze complessivo, ampliando la versatilità del sistema.

A prima vista, caricare la lavastoviglie, piegare il bucato o gestire la logistica possono sembrare attività non correlate. Tuttavia, Figure integra tutti questi scenari in un’unica architettura. Ciò significa che è possibile apprendere nuove funzionalità senza dover riscrivere il codice o progettare singoli moduli, aprendo le porte a uno sviluppo scalabile.

Sebbene siamo ancora lontani da un “robot maggiordomo” a tutti gli effetti, compiti come spolverare, portare fuori la spazzatura o passare l’aspirapolvere restano ancora da realizzare. Ma i risultati ottenuti dimostrano che gli assistenti umanoidi stanno già imparando a svolgere diverse funzioni e ogni nuova abilità ci avvicina al futuro, dove troveranno il loro posto nella vita quotidiana e nella produzione.

L'articolo Figure02, il robot che carica la lavastoviglie con precisione proviene da il blog della sicurezza informatica.

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spacciano per la procura colombiana, distribuendo allegati email contenenti codice JavaScript nascosto. L’analisi automatica ha rivelato comportamenti che i programmi antivirus non erano in grado di rilevare.

Il formato SWF, formalmente “deceduto” da quando Flash è stato disattivato nel 2020, continua a comparire nel traffico. In 30 giorni, VirusTotal ha ricevuto 47.812 file SWF univoci precedentemente sconosciuti e 466 di questi hanno attivato almeno un motore antivirus. In un caso, solo 3 trigger su 63 indicavano segnali “sospetti” di una vecchia vulnerabilità, ma un’analisi dettagliata ha rivelato che si trattava di un gioco complesso con rendering 3D, audio e un editor di livelli integrato.

Classi offuscate , utilizzo di RC4/AES e raccolta di informazioni di sistema sembravano allarmanti, ma erano coerenti con la logica di protezione contro cheat e modifiche. In tali artefatti non è stato rilevato alcun comportamento dannoso.

SVG è l’opposto di entrambi, sia nello spirito che nell’epoca: uno standard aperto per il web e il design. Ecco perché è il preferito dagli aggressori. Negli ultimi 30 giorni, VirusTotal ha ricevuto 140.803 file SVG univoci precedentemente sconosciuti, di cui 1.442 segnalati da almeno un motore. Uno dei campioni non è stato rilevato da alcun motore, ma durante il rendering ha eseguito uno script incorporato che ha decodificato e incorporato una pagina HTML di phishing che copiava il portale del sistema giudiziario colombiano. Per renderlo più plausibile, la pagina simulava il caricamento di documenti con una barra di avanzamento e, in background, un archivio ZIP veniva scaricato e forzato. Il comportamento è stato confermato nella sandbox: elementi visivi, numeri di, “token di sicurezza” erano presenti, sebbene si trattasse solo di un’immagine SVG.

Secondo VirusTotal, questo non è un caso isolato. Una richiesta di tipo type:svg con menzione della Colombia ha restituito 44 SVG univoci, tutti privi di rilevamento antivirus, ma con le stesse tattiche: offuscamento, polimorfismo, codice “spazzatura” di grandi dimensioni per aumentare l’entropia. Allo stesso tempo, gli script contenevano ancora commenti in spagnolo come “POLIFORMISMO_MASIVO_SEGURO” e “Funciones dummy MASIVAS“, un punto vulnerabile adatto a una semplice firma YARA.

Una ricerca durata un anno ha prodotto 523 risultati. Il campione più antico era datato 14 agosto 2025, scaricato anch’esso dalla Colombia, e anch’esso non è stato rilevato. Una nuova analisi ha confermato lo stesso schema di phishing e download stealth. I primi campioni erano più grandi, circa 25 MB, poi le dimensioni sono diminuite, indicando un perfezionamento del payload.

Il canale di distribuzione era la posta elettronica, che ci ha permesso di collegare la catena in base ai metadati del mittente, agli oggetti e ai nomi degli allegati.

L'articolo Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione proviene da il blog della sicurezza informatica.