404 Media

2026-04-11 13:00:06

The Oldest Octopus Fossil Ever Isn’t An Octopus At All, Scientists Discover

Welcome back to the Abstract! Here are the studies this week that were ritually sacrificed, kicked out of the galaxy, taxonomically revised, and wore many hats.

First, scientists shed light on human sacrifice and cousin sex using ancient DNA from the bones of people who lived in fifth-century Korea. Then: the yeeting of a star, an octopus imposter, and the indignities of a bare head.

As always, for more of my work, check out my book First Contact: The Story of Our Obsession with Aliensor subscribe to my personal newsletter the BeX Files.

All in the Family (this time with human sacrifice)

Moon, Hyoungmin, and Kim, Daewook et al. “Ancient genomes reveal an extensive kinship network and endogamy in a Three-Kingdoms period society in Korea.” Science Advances.

Ready or not, it’s time to visit an ancient burial ground packed with the bones of sacrificed families. Welcome to the Imdang-Joyeong site in Korea, which contains a cluster of 1,500-year-old tombs from the tumultuous Three Kingdoms period.

As the name suggests, this era was dominated by a trio of warring dynastic factions called the Goguryeo, Baekjae, and Silla. Historical and archaeological evidence suggests that the Silla kingdom followed unique customs, including the practice of “Sunjang,” a coburial of sacrificed people with an elite grave owner, as well as consanguineous marriages—marriages between close blood relatives.

Now, researchers have now sequenced ancient DNA from 78 deceased individuals to corroborate the findings with confirmed lineages. The results revealed that consanguineous marriages were indeed common, and that adult women were often buried together with their own kin, which is a rarity in ancient graveyards around the world.
The three main geographical locations of the tombs consisting of the Imdang-Joyeong burial complex with separate zoom-in panels (i to iii). The green gradient represents elevation, and the green circles represent the position of dirt mounds of the tombs. Image: Moon, Hyoungmin, and Kim, Daewook et al.
“Silla is thought to have practiced different marital customs from that of its neighbors, such as Goguryeo,” said researchers co-led by Hyoungmin Moon of Seoul National University and Daewook Kim of Yeungnam University. “Most notably, Silla royal elites are documented to have practiced consanguineous marriage, which is rarely observed in Goguryeo and Baekjae records. Historical accounts of consanguineous marriage are thought to be related to the consolidation of the rank and social status within Silla royals and local elites.”

“However, because of limited ancient genome studies in Korea, no corroborating genomic evidence so far has been reported regarding the marriage customs of the Three-Kingdoms period Koreans,” the team added. “Our research is the first to analyze the genome-wide composition of closely related individuals from an ancient Three-Kingdoms period of Korea.”
From left to right, a Baekje, Goguryeo, and Silla envoy depicted in a 6th-century painting.
Many tombs at this site include separate chambers for elite grave owners, and for sacrificed people, which often included entire families that may have been ritually sacrificed and buried alongside their masters. Both elites and sacrificed individuals were often born from unions between first or second cousins, suggesting that consanguineous marriages were common across class lines.

“We found decisive evidence of three cases of families in which parents and their offspring were sacrificed together in the same grave,” the team said. “Our genetic findings are the first to confirm the acts of Sunjang of an entire household and suggest that these practices might be common for sacrificial burials of the Three-Kingdoms period.”

In addition, some adult women were buried alongside their parents and grandparents, a pattern that is rare in most other ancient burial grounds in which women tend to be buried alongside their husbands and in-laws. The study offers a rare glimpse of a society with idiosyncratic customs that is ready-made to be the setting of a new HBO prestige series.

In other news…

♩ It’s a shooting star leaping through the sky ♩

Bhat, Aakash et al. “Discovery of a runaway star likely ejected by a Type Iax supernova.” Astronomy & Astrophysics.

Some space explosions go so hard that they can kick a star right out of a galaxy. Scientists report the serendipitous discovery of one of these so-called “runaway stars” that was likely ejected from the galaxy approximately 2.8 million years ago “with an ejection velocity exceeding 600 kilometers per second”—or about 1.3 million miles per hour—according to a new study.

This cosmic sprinter is a white dwarf, the collapsed remains of a star, that was accelerated to ludicrous speed by a “Type Iax” supernovae, a type of stellar kablooey that occurs in some binary star systems.

This runaway star “is notably hotter than previously studied members of this class,” said researchers led by Aakash Bhat of the University of Potsdam. “Kinematic analysis indicates that the star has a high probability of being unbound from the Galaxy.”

So long, runaway star, and safe travels through intergalactic space.

A 300-million-year-old case of mistaken identity

Clements, Thomas et al. “Synchrotron data reveal nautiloid characters in Pohlsepia mazonensis, refuting a Palaeozoic origin for octobrachians.” Proceedings of the Royal Society B.

Prepare to be ink-pilled, because it turns out that the oldest known octopus fossil ever found—a 300-million-year old species called Pohlsepia mazonensis—is not an octopus at all. It is a member of the nautilus family that just ended up looking sort of like an octopus in part because its shell fell off during the decomposition process.
Concept art of dead Pohlsepia mazonensis with its shell off. Image: Dr Thomas Clements, University of Reading
“We present the first comprehensive reassessment of this enigmatic fossil, alongside multiple new specimens, using a suite of advanced analytical techniques,” said researchers led by Thomas Clements of the University of Reading. During this process, the team discovered a special “radula”—a feeding organ lined with rows of teeth—that matched the nautilus family.

As a result, P. mazonensis “represents the oldest known fossil soft tissue nautiloid (albeit without its shell),” the team concluded. The finding is a boon to octopus scientists (a.k.a. Doc Ocks) who have been perplexed for years by this specimen, given that the fossil record otherwise suggests that octopuses emerged much later in time, during the age of dinosaurs.

It just proves the old adage: Don’t believe everything you hear about the evolutionary origins of octopuses.

We’re all mad hatters here

Capp, Bernard. “The Cultural, Social, and Ideological Role of the Hat in Early Modern England.” The Historical Journal.

We’ll cap off with a hat tip to a study that chronicles hat etiquette across early modern England, roughly spanning the 1400s to 1700s.

Authored by the aptly-named Bernard Capp of the University of Warwick, the work is packed with madcap anecdotes about hats as signifiers of identity, instruments of shame, tools for salutations, and even makeshift toilets in the most ribald tales.

“The ‘Pleasant History’ of Hodge tells of a simpleton humiliated by a maidservant who claps on his head the hat in which she had just defecated,” Capp noted in the study. “Such behaviour, moreover, was not confined to fiction; in 1747 a Wiltshire man admitted snatching a rival’s hat, pissing in it, and clapping it back on the victim’s head.”
Roundhead and cavalier soldiers, wearing partisan hats, face each other and urge their dogs to attack each other. Image: John Taylor (attributed), A dialogue, or, Rather a parley betweene Prince Ruperts dogge whose name is Puddle, and Tobies dog whose name is Pepper (1643).
Other highlights include the Cap Act of 1571, which allowed offenders “to be prosecuted for wearing hats to church;” jokes about fine ladies wearing towering ribboned hats that spooked local livestock; and a man named Thomas Ellwood who was rendered unable to leave his house for months in 1659 because his father confiscated all his hats, because who would dare, in his words, to “run about the Country bare-headed, like a Mad-Man”?

Hats off to this heady historical work, and beware the bareheaded Mad-Men.

Thanks for reading! See you next week.

First Contact

A narrative and visual exploration of humanity’s age-old search for and fixation with extraterrestrials.First Contact explores the ancient idea—and epic ...

^{Hachette Book Group}

(in)sicurezza digitale

2026-04-11 08:03:16

GlassWorm: il worm che infetta tutti gli IDE tramite un’estensione OpenVSX contraffatta

Un’estensione contraffatta nel marketplace OpenVSX installa silenziosamente un dropper compilato in Zig che individua e infetta tutti gli IDE compatibili con VS Code presenti sulla macchina, per poi deployare un RAT con C2 su blockchain Solana e un’estensione Chrome per rubare sessioni e keystroke. La campagna GlassWorm è attiva da oltre un anno e ha appena compiuto il suo salto evolutivo più sofisticato.

Una campagna che cresce da un anno

GlassWorm non è una minaccia nuova: Aikido Security ne traccia l’evoluzione dal marzo 2025, quando fu individuata la prima variante nascosta in pacchetti npm attraverso caratteri Unicode invisibili per offuscare il payload. Da allora, la campagna ha iterato costantemente le proprie tecniche, arrivando oggi a una versione che colpisce non un singolo editor, ma l’intero ecosistema degli ambienti di sviluppo installati su una macchina — con una catena di infezione a più stadi difficile da individuare con le sole difese tradizionali.

Il vettore iniziale: un’estensione che finge di essere WakaTime

Il punto di ingresso è un’estensione pubblicata sul marketplace OpenVSX sotto il nome specstudio/code-wakatime-activity-tracker. L’estensione si spaccia per WakaTime, uno strumento molto diffuso tra gli sviluppatori che tiene traccia del tempo trascorso nel codice. Una volta installata, esegue immediatamente un codice di installazione minimale — dove un modulo punta a binari nativi Node.js compilati per la piattaforma target.

Il dropper Zig: fuori dalla sandbox JavaScript

Il vero cuore della tecnica è l’uso di binari nativi Node.js (file .node) compilati con Zig — un linguaggio di sistema relativamente giovane e poco presidiato dai motori antivirus. Questi addon vengono caricati direttamente nel runtime di Node con accesso completo al sistema operativo, bypassando completamente la sandbox JavaScript di VS Code. Il comportamento è fondamentalmente diverso da quello di un’estensione normale: non è codice JS interpretato con permessi limitati, ma una libreria nativa con diritti equivalenti al processo padre. I binari identificati sono specifici per piattaforma: su Windows viene deployato win.node (PE32+ DLL), mentre su macOS viene utilizzato mac.node (Universal Mach-O). Quest’ultimo conteneva simboli di debug rivelatori, con un percorso che ha permesso ai ricercatori di identificare il developer environment dell’autore.

Autopropagazione: infettare ogni IDE sulla macchina

Una volta eseguito, il dropper Zig non si limita a compromettere l’IDE corrente: scansiona il filesystem alla ricerca di tutti gli ambienti di sviluppo compatibili con le estensioni VS Code. Su Windows controlla le directory %LOCALAPPDATA%\Programs\ e %ProgramFiles%; su macOS la cartella /Applications/. Gli IDE target includono Microsoft VS Code e VS Code Insiders, ma anche i fork come Cursor (AI-first IDE in rapida adozione), Windsurf, VSCodium e Positron. Ogni editor trovato viene infettato con una seconda estensione malevola, installata silenziosamente tramite CLI usando il parametro –install-extension. Il secondo stadio si maschera da una estensione di auto-import con milioni di installazioni, scaricato da un repository GitHub sotto controllo degli attaccanti.

Il payload finale: Solana come C2, RAT e furto di sessioni Chrome

La seconda estensione malevola implementa le capacità di spionaggio vere e proprie. Il meccanismo di C2 è particolarmente innovativo: invece di puntare a un server fisso, il malware interroga la blockchain Solana per recuperare l’indirizzo del server di comando — una tecnica che rende il blocco dell’infrastruttura C2 praticamente impossibile senza bloccare l’intera blockchain. Tra le funzionalità documentate ci sono: geofencing contro sistemi con impostazioni locali russe (l’esecuzione viene saltata), esfiltrazione di segreti, token di sessione e chiavi API dal workspace dello sviluppatore, installazione di un RAT persistente con comunicazione cifrata, e deploy di un’estensione Chrome malevola per il furto di cookie di sessione e keystroke logging.

Indicatori di compromissione

## Estensioni malevole OpenVSX
specstudio/code-wakatime-activity-tracker  (1° stadio)
floktokbok.autoimport                       (2° stadio)

## Hash SHA-256 dei binari nativi Zig
win.node (Windows PE32+ DLL):
  2819ea44e22b9c47049e86894e544f3fd0de1d8afc7b545314bd3bc718bf2e02

mac.node (macOS Universal Mach-O):
  112d1b33dd9b0244525f51e59e6a79ac5ae452bf6e98c310e7b4fa7902e4db44

## Repository GitHub per distribuzione stage-2
ColossusQuailPray/oiegjqde

## Debug artifact (attributione autore)
/Users/davidioasd/Downloads/vsx_installer_zig

## IDE target confermati
VS Code, VS Code Insiders, Cursor, Windsurf, VSCodium, Positron

Perché questa campagna è un segnale d’allarme per i team di sicurezza

GlassWorm dimostra come il marketplace delle estensioni IDE sia diventato una superficie d’attacco matura e sfruttata attivamente. La compromissione di un singolo sviluppatore può propagarsi a tutta l’organizzazione attraverso repository git, ambienti CI/CD e pipeline di build condivisi — con un impatto potenziale molto superiore a quello di un malware che colpisce un endpoint generico. Il fatto che il dropper salti deliberatamente i sistemi russi suggerisce un attore state-sponsored o comunque con motivazioni geograficamente definite, probabilmente orientato verso organizzazioni di sviluppo software in occidente e in Asia.

Consigli per i difensori

I team di sicurezza dovrebbero esaminare l’elenco delle estensioni installate su tutti gli IDE degli sviluppatori, con particolare attenzione a estensioni non presenti nel Visual Studio Marketplace ufficiale ma solo su OpenVSX. L’introduzione di policy di allowlist per le estensioni VS Code, già supportata dalla funzionalità di Policy Management di VS Code, è oggi una misura consigliata in ambienti corporate. A livello di EDR, alert sulla creazione di file .node in directory di estensioni IDE e sull’esecuzione di processi IDE con parametri –install-extension da processi non interattivi sono indicatori ad alta fedeltà. L’analisi dei log di rete alla ricerca di chiamate RPC verso nodi Solana da processi Node.js può aiutare a rilevare la fase di C2 in modo precoce.

(in)sicurezza digitale

2026-04-11 08:02:26

Operazione Olalampo: MuddyWater sfrutta Rust e Telegram per spiare il Medio Oriente

Dal gennaio 2026, il gruppo iraniano MuddyWater conduce una campagna di spionaggio sofisticata contro organizzazioni governative, energetiche e infrastrutturali del Medio Oriente e Nord Africa. L’Operazione Olalampo segna un salto qualitativo nelle capacità offensive del gruppo: malware scritto in Rust, sviluppo assistito da intelligenza artificiale e un canale di comando-e-controllo nascosto nei bot di Telegram.

Chi è MuddyWater e perché è pericoloso

MuddyWater — conosciuto anche come Seedworm, TA450, Mango Sandstorm ed Earth Vetala — è un gruppo APT ritenuto collegato al Ministero dell’Intelligence e Sicurezza iraniano (MOIS). Attivo da almeno il 2017, il gruppo ha nel tempo ampliato il proprio arsenale tecnico passando da strumenti commerciali come AnyDesk e SimpleHelp a malware completamente custom. L’Operazione Olalampo rappresenta la più recente e sofisticata evoluzione di questa traiettoria.

La catena d’attacco: da una macro Excel al controllo totale

L’infezione inizia con una campagna di spear-phishing mirata: le vittime ricevono email con allegati Microsoft Office (principalmente Excel) contenenti macro VBA malevole. Una volta attivata la macro, il codice decodifica ed esegue il payload iniziale in memoria, avviando una catena a più stadi progettata per massimizzare la furtività.

• Stadio 1 — GhostFetch: downloader di prima fase con funzioni di profilazione del sistema, controlli anti-debug e anti-VM, ed esecuzione in memoria del payload successivo.
• Stadio 2 — GhostBackDoor: backdoor completa con supporto per remote shell, operazioni sui file, esecuzione di comandi arbitrari e meccanismi di persistenza.
• HTTP_VIP: downloader alternativo che effettua ricognizione del sistema, si autentica al C2 e può distribuire AnyDesk per l’accesso remoto diretto, oltre a monitorare gli appunti di sistema.
• CHAR: backdoor scritta interamente in Rust, capace di esecuzione di comandi, accesso a PowerShell, operazioni di reverse proxy e deploy di proxy SOCKS5.

Il cuore dell’operazione: Telegram come infrastruttura C2

L’elemento più interessante di questa campagna è l’uso di un bot Telegram come canale di comando-e-controllo per la backdoor CHAR. Il bot — con display name “Olalampo” e username stager_51_bot — consente agli operatori di inviare comandi ai sistemi compromessi attraverso l’infrastruttura legittima di Telegram, rendendo il traffico indistinguibile da quello normale. Questo approccio offre tre vantaggi tattici significativi: il traffico viene cifrato end-to-end, si mimetizza nel traffico legittimo di messaggistica aziendale, e Telegram è molto difficile da bloccare completamente nei contesti aziendali.

Il monitoraggio del bot C2 ha permesso ai ricercatori di Group-IB di osservare direttamente le attività post-exploitation: comandi eseguiti, strumenti distribuiti e tecniche di raccolta dati utilizzate dagli operatori.

Sviluppo assistito da IA: una nuova frontiera per gli APT

Un dettaglio rivelatore nell’analisi del malware è la presenza di stringhe di debug contenenti emoji — un pattern tipico del codice generato o rifinito con l’assistenza di grandi modelli linguistici (LLM). Questo suggerisce che MuddyWater stia integrando strumenti di intelligenza artificiale nel proprio ciclo di sviluppo malware, potenzialmente accelerando la creazione di nuove varianti e riducendo gli errori. La scelta di Rust per CHAR va nella stessa direzione: Rust è un linguaggio relativamente giovane, ma molto popolare nei progetti LLM, cross-platform per definizione e che produce binari difficili da analizzare con i tradizionali strumenti di reverse engineering.

Infrastruttura e indicatori di compromissione

L’analisi DNS condotta da ricercatori indipendenti ha portato all’identificazione di quattro domini malevoli, tutti registrati tramite Namecheap con indirizzi di registrazione in Islanda — una tecnica di anonimizzazione comune tra gli attori state-sponsored. I domini risultano relativamente recenti, creati tra ottobre 2025 e febbraio 2026, confermando un’attiva preparazione dell’infrastruttura nelle settimane precedenti la campagna.

## Domini C2 identificati
jerusalemsolutions[.]com
miniquest[.]org
codefusiontech[.]org

## Indirizzi IP
162[.]0[.]230[.]185
209[.]74[.]87[.]100

## Telegram C2
Bot username: stager_51_bot
Bot display name: Olalampo

## Note infrastruttura
Registrar: Namecheap
Posizione registrazione: Islanda
Periodo creazione domini: 10/2025 – 02/2026
Comunicazioni victim-IoC osservate: 10 IP unici su 3 ASN (01/25–02/25/2026)

Settori e geografie colpite

I target primari dell’Operazione Olalampo includono agenzie governative, operatori di infrastrutture critiche, aziende del settore energetico, operatori di telecomunicazioni e professionisti di alto profilo nelle regioni MENA (Medio Oriente e Nord Africa). La scelta dei target è coerente con gli obiettivi di intelligence strategica del MOIS: raccolta di informazioni su politica estera, accordi energetici e comunicazioni riservate di governi nella sfera di influenza dell’Iran.

Consigli per i difensori

La natura dell’Operazione Olalampo richiede un approccio difensivo su più livelli. Limitare o monitorare il traffico verso i server Telegram (t.me, api.telegram.org) nei perimetri aziendali può bloccare il canale C2 principale, anche se ciò richiede un’analisi del rischio rispetto all’uso legittimo della piattaforma. A livello email, rafforzare i controlli sugli allegati Office con macro e abilitare Protected View/AMSI per documenti provenienti da fonti esterne è un primo scudo efficace. Sul fronte EDR, è fondamentale cercare attività anomale di PowerShell, processi figlio di applicazioni Office, e l’esecuzione di binari Rust non firmati. Infine, la presenza di processi AnyDesk o SimpleHelp avviati da percorsi inusuali dovrebbe costituire un alert ad alta priorità.