Una campagna di malware sofisticata è stata individuata all’interno del marketplace di Visual Studio Code (VS Code). I ricercatori di ReversingLabs (RL) sono riusciti a identificare 19 estensioni malevole che sono state in grado di eludere con successo i metodi standard di rilevamento, occultando i loro payload all’interno delle cartelle delle dipendenze in modo profondo.

Attiva da febbraio 2025, utilizza una combinazione astuta di tecniche di “typosquatting-adjacent” e steganografia al fine di compromettere i computer degli sviluppatori.

“I file dannosi hanno abusato di un pacchetto npm legittimo per eludere il rilevamento e hanno creato un archivio contenente file binari dannosi che si spacciavano per un’immagine: un file con estensione PNG”, hanno riportato i ricercatori.

Per oscurare ulteriormente le loro tracce, gli aggressori hanno utilizzato un file ingannevole denominato banner.png. Sebbene sembrasse un file immagine standard per la presentazione dell’estensione sul marketplace, in realtà era un archivio modificato.

La catena di attacco inizia quando il file index.js della dipendenza compromessa viene eseguito all’avvio di VS Code. Attiva una classe nascosta che decodifica un dropper JavaScript da un file chiamato semplicemente lock. Questo dropper estrae quindi il payload dal file PNG falso.

Il modo in cui le estensioni di VS Code gestiscono i loro componenti fondamentali è ciò che rende questo attacco geniale. Le estensioni di VS Code, diversamente dai progetti npm tradizionali che scaricano le dipendenze in tempo reale, sono fornite con una cartella node_modules già pronta, contenente tutte le librerie richieste.

Questa struttura consente alle estensioni di funzionare “out of the box”, ma ha anche offerto agli aggressori un nascondiglio perfetto, riportano i ricercatori.

Per questa campagna, gli autori della minaccia hanno preso il popolarissimo pacchetto path-is-absolute, una libreria con oltre 9 miliardi di download, e lo hanno modificato localmente all’interno delle loro estensioni dannose. Non hanno toccato il pacchetto ufficiale nel registro npm; hanno invece manomesso la versione inclusa nella loro estensione.

“In questo modo, l’autore della minaccia sta trasformando un pacchetto popolare e altrimenti sicuro in una bomba a orologeria pronta a esplodere non appena viene utilizzata una delle estensioni dannose”, afferma il rapporto. “Il file banner.png, come si è scoperto, non era un file immagine. Si tratta invece di un archivio contenente due file binari dannosi”.

Una volta decompresso, il malware non si limita a essere eseguito: sfrutta il sistema contro se stesso. Il dropper decodificato esegue i file binari dannosi utilizzando cmstp.exe, uno strumento legittimo di installazione dei profili di Microsoft Connection Manager, spesso utilizzato dagli hacker come file binario “Living Off the Land” (LOLBIN) per aggirare i controlli di sicurezza .

Sebbene la maggior parte delle estensioni identificate abusasse del pacchetto path-is-absolute, i ricercatori hanno notato che quattro estensioni utilizzavano un vettore diverso, modificando il pacchetto @actions/io e nascondendo i payload nei file TypeScript (.ts) e sourcemap (.map) invece dell’immagine falsa.

L'articolo Sviluppatori nel mirino: malware nascosto nel marketplace di Visual Studio Code proviene da Red Hot Cyber.

Un significativo aggiornamento di sicurezza è stato rilasciato da NVIDIA per il suo framework Merlin, il quale risolve alcune vulnerabilità di alta gravità. Tali vulnerabilità potrebbero permettere agli aggressori di eseguire codice malevolo o alterare dati sensibili all’interno delle pipeline di raccomandazione dell’intelligenza artificiale.

La prima vulnerabilità , identificata come CVE-2025-33214, riguarda NVTabular. La questione è incentrata sul Workflow del software, in quanto una vasta gamma di funzionalità per l’elaborazione dei dati, studiata per gestire dataset di enormi dimensioni, fino a terabyte, presenta una criticità specifica proprio nel suo componente di Workflow.

Se non corretta, questa falla apre le porte a un’ampia gamma di attività dannose. NVIDIA avverte che “uno sfruttamento riuscito di questa vulnerabilità potrebbe portare all’esecuzione di codice, al diniego di servizio, alla divulgazione di informazioni e alla manomissione dei dati”.

Le vulnerabilità in questione, valutata con un punteggio CVSS di 8,8 (alto), derivano dalla deserializzazione non sicura, una debolezza comune che gli aggressori spesso sfruttano per indurre le applicazioni a eseguire dati non attendibili come codice.

Data scientist e ingegneri che utilizzano NVTabular per la pre-elaborazione di enormi dataset dovrebbero essere consapevoli che un aggressore potrebbe, in linea teorica, compromettere la pipeline di dati o addirittura provocare un completo collasso del sistema.

Le patch risolvono le falle in due componenti chiave, NVTabular e Transformers4Rec, entrambi in esecuzione su sistemi Linux. Secondo il bollettino di sicurezza , “NVIDIA NVTabular per Linux contiene una vulnerabilità nel componente Workflow, in cui un utente potrebbe causare un problema di deserializzazione”.

Un’altra falla di sicurezza, equivalente è stata individuata nella libreria Transformers4Rec e impiegata per l’allenamento delle architetture Transformer destinate ai sistemi di raccomandazione è stata scoperta. Il componente Trainer è risultata essere la sede di questa vulnerabilità (CVE-2025-33213).

Il bollettino afferma che “NVIDIA Merlin Transformers4Rec per Linux contiene una vulnerabilità nel componente Trainer che potrebbe causare un problema di deserializzazione da parte di un utente”.

È essenziale assicurare che i sistemi di formazione siano protetti dallo sfruttamento a distanza, il che rende questi aggiornamenti cruciali per salvaguardare l’integrità dei processi lavorativi nell’ambito dell’intelligenza artificiale e dell’apprendimento automatico.

L'articolo AI a rischio: bug ad alta gravità in NVIDIA Merlin espongono le pipeline proviene da Red Hot Cyber.

Gli americani sono i più propensi a imprecare sui social media, ma gli australiani sono più creativi nell’uso della famigerata parolaccia che inizia con la “f”. Questa è la conclusione a cui sono giunti i ricercatori dell’Università della Finlandia Orientale dopo aver analizzato il comportamento di quasi mezzo milione di utenti negli Stati Uniti, nel Regno Unito e in Australia. Hanno scoperto che le persone usano imprecazioni più tra conoscenti che tra amici intimi e raramente imprecano nei social network più piccoli.

Gli autori dello studio, descritto in uno studio pubblicato una analisi che ha esaminato gli aggiornamenti e le connessioni degli utenti su Twitter dal 2006 al 2023, integrandoli con metadati relativi al luogo e al contesto della comunicazione. In primo luogo, i ricercatori hanno selezionato oltre 2.300 varianti ortografiche della parola con la f, inclusi errori di ortografia e distorsioni intenzionali, e poi hanno monitorato come e in quali reti venivano utilizzate. Utilizzando metodi computazionali, hanno stimato quindi la densità delle connessioni sociali e la dimensione delle reti per comprendere esattamente dove le parolacce siano più comuni.

Lo studio ha rivelato tre tendenze chiave. In primo luogo, gli utenti imprecano più spesso quando comunicano con conoscenti lontani rispetto agli amici intimi. In secondo luogo, in reti molto piccole, fino a 15 persone, le imprecazioni non vengono quasi mai utilizzate, indipendentemente da quanto siano vicine le persone. Questo è coerente con precedenti osservazioni sul comportamento delle persone in reti sociali molto piccole e dimostra che le dimensioni della rete stessa influenzano significativamente la tendenza a imprecare.

In terzo luogo, man mano che una rete cresce, la distinzione tra amici e conoscenti si assottiglia gradualmente. Nelle reti molto grandi, a partire da circa 100-120 membri, la densità delle connessioni non ha praticamente alcun effetto sulla frequenza delle parolacce: gli utenti imprecano più o meno allo stesso modo, indipendentemente dal livello di conoscenza reciproca.

Questo risultato rispecchia studi precedenti sulla fiducia e l’interazione nei gruppi sociali, in cui una soglia simile di circa 100 membri è già stata individuata come soglia oltre la quale i meccanismi sociali cambiano significativamente.

A prima vista, studiare le parolacce online può sembrare un argomento leggero e frivolo.

Tuttavia, i ricercatori osservano che tale analisi può aiutare a identificare account falsi e partecipanti a campagne di disinformazione sui social media. Il comportamento reale delle persone, incluso come e dove imprecano, crea un'”impronta digitale” linguistica e sociale unica di un utente, difficile da falsificare.

Secondo l’autore principale dello studio, il professor Mikko Laitinen, la sola analisi del testo non è più sufficiente, poiché l’intelligenza artificiale generativa è diventata abile nell’imitare il linguaggio umano. Pertanto, è importante considerare anche la struttura delle reti di comunicazione stesse, comprese le connessioni che un account stabilisce, la sua durata e il suo comportamento in diversi contesti.

Nel complesso, i dati sul linguaggio, la frequenza delle parolacce e le caratteristiche della rete possono aiutare a distinguere un utente autentico da un profilo creato artificialmente e impegnato a diffondere disinformazione.

Tale ricerca richiede una combinazione di linguistica e informatica, pertanto il team di Laitinen comprende sia filologi che analisti di big data. I ricercatori ritengono che tali approcci interdisciplinari costituiranno la base di strumenti futuri per l’identificazione di account falsi, operazioni di informazione e altre minacce online.

L'articolo Imprecare sui social: lo studio sulla “parolacce” aiuta ad individuare bot e disinformazione proviene da Red Hot Cyber.

It stands to reason that if you have access to an LLM’s training data, you can influence what’s coming out the other end of the inscrutable AI’s network. The obvious guess is that you’d need some percentage of the overall input, though exactly how much that was — 2%, 1%, or less — was an active research question. New research by Anthropic, the UK AI Security Institute, and the Alan Turing Institute shows it is actually a lot easier to poison the well than that.

We’re talking parts-per-million of poison for large models, because the researchers found that with just 250 carefully-crafted poison pills, they could compromise the output of any size LLM. Now, when we say poison the model, we’re not talking about a total hijacking, at least in this study. The specific backdoor under investigation was getting the model to produce total gibberish.

The gibberish here is triggered by a specific phrase, seeded into the poisoned training documents. One might imagine an attacker could use this as a crude form of censorship, or a form of Denial of Service Attack — say the poisoned phrase is a web address, then any queries related to that address would output gibberish. In the tests, they specifically used the word “sudo”, rendering the models (which ranged from 600 million to 13 billion parameters) rather useless for POSIX users. (Unless you use “doas” under *BSD, but if you’re on BSD you probably don’t need to ask an LLM for help on the command line.)

Our question is: Is it easier to force gibberish or lies? A denial-of-service gibberish attack is one thing, but if a malicious actor could slip such a relatively small number of documents into the training data to trick users into executing unsafe code, that’s something entirely worse. We’ve seen discussion of data poisoning before, and that study showed it took a shockingly small amount of misinformation in the training data to ruin a medical model.

Once again, the old rule rears its ugly head: “trust, but verify”. If you’re getting help from the internet, be it random humans or randomized neural-network outputs, it’s on you to make sure that the advice you’re getting is sane. Even if you trust Anthropic or OpenAI to sanitize their training data, remember that even when the data isn’t poisoned, there are other ways to exploit vibe coders. Perhaps this is what happened with the whole “seahorse emoji” fiasco.

hackaday.com/2025/12/14/it-onl…

If you live in a major city, you’ve probably seen a street performer with some variety of slapophone. It’s a simple musical instrument that typically uses different lengths of PVC pipe to act as resonant cavities. When struck with an implement like a flip-flop, they release a dull but pleasant tone. [Ivan Miranda] decided to build such an instrument himself and went even further by giving it MIDI capability. Check it out in the video below.

[Ivan’s] design uses a simple trick to provide a wide range of notes without needing a lot of individual pipes. He built four telescoping pipe assemblies, each of which can change length with the aid of a stepper motor and a toothed belt drive. Lengthening the cavity produces a lower note, while shortening it produces a higher note. The four pipe assemblies are electronically controlled to produce notes sent from a MIDI keyboard, all under the command of an Arduino. The pipes are struck by specially constructed paddles made of yoga mats, again controlled by large stepper motors.

The final result is large, power-hungry, and vaguely playable. It’s a little unconventional, though, because moving the pipes takes time. Thus, keypresses on a MIDI keyboard set the pipes to a given note, but don’t actually play it. The slapping of the pipe is then triggered with a drum pad.

We love weird instruments around these parts.

youtube.com/embed/EG3dnPZUVh4?…

youtube.com/embed/-j1tRMPwwRY?…

hackaday.com/2025/12/14/finall…

È stato rilasciato uno strumento che consente il monitoraggio discreto dell’attività degli utenti di WhatsApp e Signal utilizzando solo un numero di telefono. Il meccanismo di monitoraggio copre oltre tre miliardi di account e consente di ricostruire la routine quotidiana di una persona con una precisione allarmante: il momento del rientro a casa, i periodi di utilizzo attivo dello smartphone, le ore di sonno, gli spostamenti e i periodi prolungati di disconnessione dalla rete. Un ulteriore effetto collaterale è l’accelerazione del consumo di batteria e dati mobili, che passano inosservati al proprietario del dispositivo.

Il metodo si basa sulle specifiche dei protocolli di recapito dei messaggi nelle app di messaggistica più diffuse. L’algoritmo si basa sui riconoscimenti di servizio relativi alla ricezione dei pacchetti dati e analizza il tempo di andata e ritorno (RTT). Le applicazioni rispondono automaticamente a tali richieste a un livello di rete basso, anche prima di verificare il contenuto del messaggio, garantendo che la parte riceva risposte misurabili indipendentemente dal fatto che la comunicazione sia effettivamente in corso.

Chiunque può inviare i cosiddetti “ping” al dispositivo della vittima: l’app risponde istantaneamente, ma il tempo di risposta varia significativamente a seconda dello stato dello smartphone, del tipo di connessione e delle condizioni di ricezione. L’utilizzo di Wi-Fi, una rete mobile, uno schermo attivo o la modalità standby creano profili temporali diversi, facilmente individuabili con misurazioni frequenti.

La vulnerabilità è stata descritta per la prima volta dai ricercatori dell’Università di Vienna e di SBA Research in un articolo pubblicato lo scorso anno. Gli autori hanno dimostrato che le richieste nascoste possono essere inviate ad alta frequenza (fino a frazioni di secondo) senza attivare notifiche, pop-up o messaggi di interfaccia, anche se non c’è mai stata una conversazione tra le parti.

Ora, queste scoperte teoriche sono state messe in pratica. Un ricercatore noto con lo pseudonimo di gommzystudio ha pubblicato su GitHub una proof-of-concept funzionante che dimostra quanto sia facile estrarre dati sensibili sull’utilizzo del telefono. Dimostra chiaramente come, utilizzando un singolo numero di telefono, sia possibile determinare se un dispositivo è attivo, inattivo o completamente disconnesso dalla rete, oltre a identificare ulteriori indicatori comportamentali.

Un altro trucco chiave consiste nell’inviare reazioni a messaggi inesistenti. Queste richieste non sono visibili al destinatario, ma attivano comunque conferme automatiche di consegna. L’app segnala prima la ricezione di un pacchetto di rete e solo successivamente verifica se il messaggio associato esiste, garantendo che la catena di spionaggio rimanga completamente nascosta.

Gli esperimenti hanno dimostrato che tali controlli possono essere eseguiti a intervalli di circa 50 millisecondi senza lasciare tracce nell’interfaccia utente. Tuttavia, lo smartphone inizia a consumare molta più energia e la quantità di dati trasferiti aumenta drasticamente. L’unico modo per rilevarlo è collegare fisicamente il dispositivo a un computer e analizzarne i registri interni.

L’interpretazione delle latenze apre un’ampia gamma di possibilità di osservazione. Valori RTT bassi corrispondono in genere all’uso attivo del telefono con lo schermo acceso e la connessione Wi-Fi. Risposte leggermente più lente indicano attività di rete mobile mentre è ancora attiva. Latenze elevate sono tipiche della modalità inattiva su accesso wireless, mentre latenze molto elevate indicano la modalità di sospensione su una connessione cellulare o una scarsa ricezione. Una mancata risposta indica la modalità aereo o uno spegnimento completo, mentre fluttuazioni significative nel tempo di risposta indicano lo spostamento del proprietario.

Accumulando queste misurazioni possiamo costruire un quadro comportamentale dettagliato. Le letture stabili del Wi-Fi in genere coincidono con la permanenza a casa, i lunghi periodi di inattività con il sonno e i modelli caratteristici della rete mobile indicano viaggi e uscite.

Il repository contenente lo strumento ha rapidamente attirato l’attenzione della community: in poco tempo, il progetto ha accumulato centinaia di “Mi piace” e decine di fork. Sebbene l’autore sottolinei la natura di ricerca e didattica dell’opera, chiunque può scaricare e utilizzare il programma, rendendo i potenziali abusi piuttosto concreti.

L’impatto dell’attacco sulla durata della batteria del dispositivo merita un’attenzione particolare. Le prime ricerche scientifiche hanno rivelato che un aggressore può scaricare quasi completamente la batteria di un dispositivo in poche ore senza accedere né all’account né al dispositivo stesso. In condizioni di utilizzo normale, uno smartphone tipico perde meno dell’1% della batteria all’ora. Tuttavia, nei test di WhatsApp, l’iPhone 13 Pro ha consumato circa il 14% della batteria nello stesso periodo, l’iPhone 11 il 18% e il Samsung Galaxy S23 circa il 15%.

Signal si è dimostrato più resiliente grazie all’implementazione di un limite di velocità per le conferme. In condizioni simili, la batteria si è scaricata solo dell’1% all’ora, poiché il sistema ha bloccato le richieste eccessive. WhatsApp non aveva tali limiti al momento degli esperimenti, rendendo l’attacco significativamente più efficace.

A dicembre 2025, la vulnerabilità rimane sfruttabile sia in WhatsApp che in Signal.

L'articolo WhatsApp: basta un numero di telefono per sapere quando dormi, esci o torni a casa proviene da Red Hot Cyber.

Cambridge City Manager Yi-An Huang pulled Cambridge’s Flock surveillance camera contract as a result of the December 9th Public Safety Meeting. Thanks to everyone who spoke out against these cameras and to Digital 4th and the ACLU for their efforts on this issue.

The Cambridge Police Department still wants to put up surveillance cameras from a different vendor instead of Flock, who put up two additional cameras after the City Council ordered them removed. That is a fight for another day. For now, we are happy for the win!

masspirates.org/blog/2025/12/1…

One part wants 3.3V logic. Another wants 5V. What do you do? Over on the [Playduino] YouTube channel, there’s a recent video running us through a not-so-recent concern: various approaches to level-shifting.

In the video, the specific voltage domains of 3.3 volts and 5 volts are given, but you can apply the same principles to other voltage domains, such as 1.8 volts, 2.5 volts, or nearly any two levels. Various approaches are discussed depending on whether you are interfacing 5 V to 3.3 V or 3.3 V to 5 V.

The first way to convert 5 V into 3.3 V is to use a voltage divider, made from two resistors. This is a balancing act: if the resistors are too small, the circuit wastes power; if they are too large, they inhibit fast signals.

The second approach to converting 5 V into 3.3 V is to use a bare resistor of at least 10K. This is a controversial approach, but it may work in your situation. The trick is to rely on the voltage drop across the series resistor to either drop enough voltage or limit the current flowing through input protection diodes, which will clamp the voltage but also burn out with too much current flow.

The third approach to converting 5 V into 3.3 V is to use chips from the 74AHC series or 74LVC series, such as inverting or non-inverting buffers. These chips can do the level shifting for you.

The easiest approach for going in the other direction is to simply connect them directly and hope you get lucky! Needless to say, this approach is fraught with peril.

The second approach for converting 3.3 V into 5 V is to make your own inverting or non-inverting buffer using, in this case, an N-channel Enhancement-mode MOSFET. Use one MOSFET for an inverting buffer and two MOSFETs for a non-inverting buffer. Just make sure you pick N-MOSFETs with 3.3 V or 5 V gate drive voltage V_GS. Alternatively, you can use a buffer from the 74HCT series.

The video provides a myriad of approaches to level shifting, but you still have to decide. Do you have a favorite approach that wasn’t listed? Have you had good or bad luck with any of the approaches? Let us know in the comments! For more info on level shifting, including things to watch out for, check out When Your Level Shifter Is Too Smart To Function.

youtube.com/embed/4bitY6zHLP0?…

hackaday.com/2025/12/14/differ…

PLA (polylactic acid) has become the lowest common denominator in FDM 3D printing, offering decent performance while being not very demanding on the printer. That said, it’s often noted that the supposed biodegradability of PLA turned out to be somewhat dishonest, as it requires an industrial composting setup to break it down. Meanwhile, a potential alternative has been waiting in the wings for a while, in the form of PHA. Recently, [JanTec Engineering] took a shot at this filament type to see how it prints and tests its basic resistance to various forms of abuse.

PHA (polyhydroxyalkanoates) are polyesters that are produced by microorganisms, often through bacterial fermentation. Among their advantages are biodegradability without requiring hydrolysis as the first step, as well as UV-stability. There are also PLA-PHA blends that exhibit higher toughness, among other improvements, such as greater thermal stability. So far, PHA seems to have found many uses in medicine, especially for surgical applications where it’s helpful to have a support that dissolves over time.

As can be seen in the video, PHA by itself isn’t a slam-dunk replacement for PLA, if only due to the price. Finding a PHA preset in slicers is, at least today, uncommon. A comment by the CTO of EcoGenesis on the video further points out that PHA has a post-printing ‘curing time’, so that mechanical tests directly after printing aren’t quite representative. Either you can let the PHA fully crystallize by letting the part sit for ~48 hours, or you can speed up the process by putting it in an oven at 70 – 80°C for 6-8 hours.

Overall, it would seem that if your goal is to have truly biodegradable parts, PHA is hard to beat. Hopefully, once manufacturing capacity increases, prices will also come down. Looking for strange and wonderful printing filament? Here you go.

youtube.com/embed/Me8UEWEKvmA?…

hackaday.com/2025/12/14/printi…

The best part about BEV and hybrid cars is probably the bit where their electronics are taken out for a good teardown and comparison with previous generations and competing designs. Case in point: This [Denki Otaku] teardown of a fifth-generation Prius inverter and motor controller, which you can see in the video below. First released in 2022, this remains the current platform used in modern Prius hybrid cars.

Compared to the fourth-generation design from 2015, the fifth generation saw about half of its design changed or updated, including the stack-up and liquid cooling layout. Once [Otaku] popped open the big aluminium box containing the dual motor controller and inverters, we could see the controller card, which connects to the power cards that handle the heavy power conversion. These are directly coupled to a serious aluminium liquid-cooled heatsink.

At the bottom of the Prius sandwich is the 12VDC inverter board, which does pretty much what it says on the tin. With less severe cooling requirements, it couples its heat-producing parts into the aluminium enclosure from where the liquid cooling loop can pick up that bit of thermal waste. Overall, it looks like a very clean and modular design, which, as noted in the video, still leaves plenty of room inside the housing.

Regardless of what you think of the Prius on the road, you have to admit it’s fun to hack.

youtube.com/embed/sH0UqYOQHVA?…

hackaday.com/2025/12/14/teardo…

ICYMI

On October 20th, the United States Pirate Party had begun the process of determining the location of the 2026 Pirate National Conference, marking 20 years of the United States Pirate Party.

This week was the finals week between finalist cities Boston, MA (1) and Vicksburg, MS (4).

Tomorrow, December 15th, we shall reveal the winner of the location tournament finals and find out once and for all where the Conference will take place.

Those of you who are disappointed in your city of choice not making it to the finals, fear not: all ten cities eliminated, including the eleventh city due to be eliminated tomorrow, will remain in consideration for future conferences. San Francisco, which was the host city for the 2024 Pirate National Conference, shall return to consideration as well.

Pirates: Will it be Boston or will it be Vicksburg?

We shall find out tomorrow.

uspirates.org/icymi-the-tourna…

L’informatica e la tecnologia non sono più semplici strumenti al servizio dell’uomo: sono diventate l’infrastruttura invisibile su cui poggia gran parte dell’economia globale. Ogni gesto quotidiano, dal pagamento con lo smartphone allo streaming di un contenuto, dall’invio di una mail all’uso di un assistente vocale, attraversa piattaforme digitali costruite, gestite e monetizzate da colossi dell’hi-tech. Dietro l’apparente semplicità dell’interfaccia si muove un ecosistema complesso fatto di software, hardware, dati, algoritmi e soprattutto di business. Un business enorme, stratificato, spesso opaco, ma incredibilmente efficiente.

noblogo.org/lalchimistadigital…

When driving around in video games, whether racing games like Mario Kart or open-world games like GTA, the game often displays a mini map in the corner of the screen that shows where the vehicle is in relation to the rest of the playable area. This idea goes back well before the first in-vehicle GPS systems, and although these real-world mini maps are commonplace now, they don’t have the same feel as the mini maps from retro video games. [Garage Tinkering] set out to solve this problem, and do it on minimal hardware.

Before getting to the hardware, though, the map itself needed to be created. [Garage Tinkering] is modeling his mini map on Need For Speed: Underground 2, including layers and waypoints. Through a combination of various open information sources he was able to put together an entire map of the UK and code it for main roads, side roads, waterways, and woodlands, as well as adding in waypoints like car parks, gas/petrol stations, and train stations, and coding their colors and gradients to match that of his favorite retro racing game.

To get this huge and detailed map onto small hardware isn’t an easy task, though. He’s using an ESP32 with a built-in circular screen, which means it can’t store the whole map at once. Instead, the map is split into a grid, each associated with a latitude and longitude, and only the grids that are needed are loaded at any one time. The major concession made for the sake of the hardware was to forgo rotating the grid squares to keep the car icon pointed “up”. Rotating the grids took too much processing power and made the map updates jittery, so instead, the map stays pointed north, and the car icon rotates. This isn’t completely faithful to the game, but it looks much better on this hardware.

The last step was to actually wire it all up, get real GPS data from a receiver, and fit it into the car for real-world use. [Garage Tinkering] has a 350Z that this is going into, which is also period-correct to recreate the aesthetics of this video game. Everything works as expected and loads smoothly, which probably shouldn’t be a surprise given how much time he spent working on the programming. If you’d rather take real-world data into a video game instead of video game data into the real world, we have also seen builds that do things like take Open Street Map data into Minecraft.

Thanks to [Keith] for the tip!

youtube.com/embed/sAp7oCB939c?…

hackaday.com/2025/12/14/need-f…

Barracuda ha pubblicato i dettagli di un nuovo kit di phishing-as-a-service (PhaaS) elusivo e stealth che nasconde i contenuti dannosi all’interno di iframe di pagine web per eludere il rilevamento e massimizzare la flessibilità.

È la prima volta che Barracuda rileva un framework di phishing completo costruito attorno alla tecnica degli iframe.

Gli analisti delle minacce monitorano il nuovo PhaaS da settembre 2025 e lo hanno soprannominato GhostFrame. Ad oggi, a questo kit sono stati attribuiti oltre un milione di attacchi.

L’analisi tecnica di Barracuda dimostra che la funzionalità di GhostFrame è apparentemente semplice, ma molto efficace.

A differenza della maggior parte dei kit di phishing, GhostFrame utilizza un semplice file HTML apparentemente innocuo, in cui tutte le attività dannose si svolgono all’interno di un iframe, una piccola finestra all’interno di una pagina web che può visualizzare contenuti provenienti da un’altra fonte. Questo approccio fa apparire la pagina di phishing autentica, nascondendone però la vera origine e il vero scopo.

Le caratteristiche più importanti di GhostFrame includono:

• Un file HTML esterno dall’aspetto innocuo che non contiene alcun contenuto di phishing che potrebbe attivare il rilevamento e utilizza codice dinamico per generare e manipolare i nomi dei sottodomini, in modo che ne venga generato uno nuovo per ogni destinazione.
• Tuttavia, all’interno di questa pagina sono presenti dei puntatori incorporati che indirizzano gli utenti a una pagina di phishing secondaria tramite un iframe.
• La pagina iframe ospita i componenti di phishing veri e propri. Gli aggressori nascondono i moduli di acquisizione delle credenziali all’interno di una funzione di streaming di immagini progettata per file di grandi dimensioni, rendendo difficile per gli scanner statici, che in genere cercano moduli di phishing hardcoded, rilevare l’attacco.
• Il design dell’iframe consente agli aggressori di modificare facilmente il contenuto di phishing, testare nuovi trucchi o prendere di mira regioni specifiche, il tutto senza modificare la pagina web principale che distribuisce il kit. Semplicemente aggiornando la destinazione dell’iframe, il kit può eludere il rilevamento da parte degli strumenti di sicurezza che controllano solo la pagina esterna.
• Come altri kit di phishing di nuova generazione, GhostFrame impedisce e interrompe in modo aggressivo l’ispezione. Tra le altre cose, blocca il clic destro del mouse, blocca il tasto F12 (utilizzato per gli strumenti di sviluppo) e il tasto Invio, e impedisce l’uso di scorciatoie da tastiera comuni come Ctrl/Cmd e Ctrl/Cmd+Shift. Queste scorciatoie sono spesso utilizzate dagli analisti della sicurezza per visualizzare il codice sorgente, salvare pagine o aprire strumenti di sviluppo.

Le email di phishing di GhostFrame alternano temi tradizionali, come falsi accordi commerciali e falsi aggiornamenti delle risorse umane. Come altre email di phishing, sono progettate per indurre i destinatari a cliccare su link pericolosi o a scaricare file dannosi.

“La scoperta di GhostFrame evidenzia la rapidità e l’intelligenza con cui i kit di phishing si stanno evolvendo. GhostFrame è il primo esempio che abbiamo visto di una piattaforma di phishing basata quasi esclusivamente su iframe, e gli aggressori stanno sfruttando appieno questa funzionalità per aumentare la flessibilità ed eludere il rilevamento” , ha affermato Saravanan Mohankumar, direttore dell’analisi delle minacce di Barracuda.

“Per rimanere protette, le organizzazioni devono andare oltre le difese statiche e adottare strategie multilivello: formazione degli utenti, aggiornamenti regolari del browser, strumenti di sicurezza per rilevare iframe sospetti, monitoraggio continuo e condivisione di informazioni sulle minacce”.

L'articolo GhostFrame: il primo framework PhaaS interamente basato su iframe proviene da Red Hot Cyber.