Per settimane, gli attaccanti sono riusciti a mantenere un accesso nascosto alle reti compromesse, sottraendo informazioni sensibili ed eludendo i sistemi di rilevamento grazie a un’infrastruttura di comando e controllo (C2) multistrato e all’impiego di strumenti avanzati per la cancellazione dei log.

Queste attività fanno parte di una campagna partita alla fine di marzo 2025, che sfrutta due vulnerabilità critiche – CVE-2025-0282 e CVE-2025-22457 – entrambe falle di tipo stack-based buffer overflow con un punteggio CVSS massimo di 9.0. Le falle sono state utilizzate per distribuire SPAWNCHIMERA, una suite malware modulare progettata per ottenere accesso remoto e persistente ai dispositivi compromessi.

Secondo un rapporto diffuso da TeamT5 dietro l’attacco ci sarebbe un gruppo APT legato agli interessi statali cinesi, che ha colpito organizzazioni attive in 12 paesi e in 20 settori industriali, sfruttando le falle nei dispositivi Ivanti Connect Secure VPN.

Il gruppo APT, valutato anche da Mandiant e monitorato come UNC5221 e legato agli interessi dello stato cinese, ha sfruttato le vulnerabilità di Ivanti per ottenere l’esecuzione di codice remoto non autenticato (RCE).

Una volta all’interno, gli aggressori hanno implementato SPAWNCHIMERA, un ecosistema malware modulare progettato specificamente per le appliance Ivanti. I componenti chiave includono:

• SPAWNANT : un programma di installazione stealth che aggira i controlli di integrità;
• SPAWNMOLE : un proxy SOCKS5 per il tunneling del traffico;
• SPAWNSNAIL : una backdoor SSH per l’accesso persistente;
• SPAWNSLOTH : uno strumento di cancellazione dei registri per eliminare le prove forensi.

La capacità di patching dinamico del malware consente di modificare i componenti Ivanti vulnerabili nella memoria, garantendone lo sfruttamento continuo anche dopo l’applicazione delle patch.

Gli analisti della sicurezza di Rapid7 hanno confermato la sfruttabilità delle vulnerabilità, osservando che CVE-2025-22457 inizialmente si presentava come un bug di negazione del servizio a basso rischio, ma è stato successivamente stato sfruttato come una potente RCE. TeamT5 esorta le organizzazioni interessate a:

1. Applicare immediatamente le patch della versione 22.7R2.5 di Ivanti;
2. Eseguire analisi forensi complete della rete per identificare malware dormienti;
3. Reimposta i dispositivi VPN e revoca le credenziali esposte durante le violazioni.

La campagna sottolinea i rischi persistenti dei dispositivi edge di rete non aggiornati, in particolare i gateway VPN. Poiché gli APT cinesi prendono sempre più di mira i sistemi legacy, il CISA ha imposto alle agenzie federali di correggere le vulnerabilità di Ivanti entro il 15 gennaio 2025, una scadenza che molti hanno mancato, aggravando la crisi.

L'articolo APT cinese hackera 12 Paesi con un solo bug di IVANTI VPN. Ecco come hanno fatto proviene da il blog della sicurezza informatica.

There are a number of reasons you might want to build your own smart speaker virtual assistant. Usually, getting your weather forecast from a snarky, malicious AI potato isn’t one of them, unless you’re a huge Portal fan like [Binh Pham].

[Binh Pham] built the potato incarnation of GLaDOS from the Portal 2 video game with the help of a ReSpeaker Light kit, an ESP32-based board designed for speech recognition and voice control, and as an interface for home assistant running on a Raspberry Pi.

He resisted the temptation to use a real potato as an enclosure and wisely opted instead to print one from a 3D file he found on Thingiverse of the original GLaDOS potato. Providing the assistant with the iconic synthetic voice of GLaDOS was a matter of repackaging an existing voice model for use with Home Assistant.

Of course all of this attention to detail would be for not if you had to refer to the assistant as “Google” or “Alexa” to get its attention. A bit of custom modelling and on-device wake word detection, and the cyborg tuber was ready to switch lights on and off with it’s signature sinister wit.

We’ve seen a number of projects that brought Portal objects to life for fans of the franchise to enjoy, even an assistant based on another version of the GLaDOS the character. This one adds a dimension of absurdity to the collection.

youtube.com/embed/cL3-J8UTgvc?…

hackaday.com/2025/04/15/this-p…

Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day per firewall Fortinet, che permetterebbe l’accesso completo e non autenticato ai dispositivi vulnerabili.

Il post è comparso sul forum underground exploit.in nella sezione dedicata a malware e exploit commerciali. L’attacco di tipo Unauthenticated Remote Code Execution (RCE) consentirebbe l’accesso completo ai dispositivi vulnerabili senza la necessità di autenticazione. Il prezzo per questo exploit? 6.500 dollari.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

L’annuncio, estremamente dettagliato, elenca i file e le informazioni che il tool in vendita sarebbe in grado di estrarre:

• Account VPN e GUI (file local_users.json)
• Credenziali e permessi degli amministratori (admin_accounts.json)
• Stato e configurazione del 2FA (two_factor.json)
• Tutte le policy firewall, NAT, VIP, indirizzi ecc
• Configurazioni SSL-VPN e IPsec, incluse sessioni attive
• Backup completi del sistema (config_backup.conf, backup_full)
• Routing, tabelle ARP, log di sistema, certificati e script CLI
• Certificati SSL utilizzati nei vari contesti dei firewall
• Licenze per le subscription Fortiguard

L’autore sottolinea che non sono necessarie credenziali per sfruttare l’exploit e ottenere il pieno controllo del dispositivo. Al momento, non esiste una conferma ufficiale da parte di Fortinet sull’autenticità dello zero-day, ma la natura tecnica del post e il linguaggio utilizzato fanno ipotizzare che si tratti di una minaccia concreta.

Il contesto in cui si presenta questa nuova minaccia per Fortinet

Il 10 Aprile (qualche giorno prima dell’apparsa del post sullo 0-Day) Fortinet, sul blog ufficiale del PSIRT, ha pubblicato un approfondimento relativo all’analisi di un attacco ad alcuni dispositivi vulnerabili alle CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762 (già note e patchate).

Nel post ufficiale Fortinet descrive come gli hacker, dopo aver sfruttato le vulnerabilità dei dispositivi non aggiornati, abbiamo creato un link simbolico, che collega il filesystem dell’utente con il filesystem di root del firewall, in una cartella utilizzata per servire i file di lingua per il portale di accesso SSL-VPN.

Con questa tecnica i threat actor hanno potuto mantenere un’accesso in read-only ai firewall compromessi sebbene questi fossero stati aggiornati. L’offuscamento del link simbolico nel filesytem dell’utente ha impedito inizialmente la rilevazione di queste modifiche.

Fortinet è riuscita successivamente a mitigare l’accaduto, aggiornando le proprie firme Antivirus/IPS per individuare e pulire i link sospetti. Apportando modifiche alle ultime versioni per rilevare e rimuovere il collegamento simbolico e garantire che il portale SSL-VPN serva solo i file previsti.

Fortinet ha rilasciato patch e mitigazioni per impedire l’abuso di queste tecniche e consiglia l’aggiornamento immediato a:

• FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16

In allarme tutti i CERT e le agenzie di cyber security

Il Computer Emergency Response Team francese (CERT-FR) ha rivelato, nel suo bollettino di sicurezza, che questa tecnica è stata utilizzata in una massiccia ondata di attacchi a partire dall’inizio del 2023. Ed invita tutti gli amministratori di sistema ad aggiornare i propri dispositivi e porre in atto tutte le mitigazioni indicate.

Il CISA americano ha invitato gli operatori di rete a segnalare eventuali incidenti e attività anomale legate al report di Fortinet al proprio Centro Operativo attivo 24/7.

Il CSIRT Italiano pubblica un bollettino relativo alle tecniche di post-sfruttamento e invita all’aggiornamento immediato dei dispositivi.

Abbiamo condotto una ricerca su shadowserver per renderci conto dei numeri dei dispostivi ad oggi vulnerabili alle 3 CVE in esame. Eccetto la CVE più “anziana” che conta pochi dispositivi, le altre due riportano numeri sull’ordine delle migliaia.

Conclusione

Il presunto zero-day in vendita rappresenta una minaccia attuale e potenzialmente devastante, mentre l’analisi di Fortinet dimostra che i dispositivi già compromessi possono contenere meccanismi di controllo persistente invisibili, anche a seguito di aggiornamenti.

Le due vicende non sono direttamente collegate, ma condividono un comune denominatore: la crescente attrattiva dei dispositivi perimetrali FortiGate come obiettivo critico per attacchi avanzati.

Che si tratti dunque di uno zero-day sconosciuto o di vulnerabilità già note, il pattern è chiaro: i firewall non sono più solo dispositivi di protezione, ma bersagli ad alto valore strategico.

Fonti

• FORTINET PSIRT: fortinet.com/blog/psirt-blogs/…
• CERT-FR: cert.ssi.gouv.fr/alerte/CERTFR…
• CISA: cisa.gov/news-events/alerts/20…
• CSIRT-IT: acn.gov.it/portale/w/rilevato-…
• BLEEPING COMPUTER: bleepingcomputer.com/news/secu…
• SHADOWSERVER CVE-2022-42475: dashboard.shadowserver.org/sta…
• SHADOWSERVER CVE-2023-27997: dashboard.shadowserver.org/sta…
• SHADOWSERVER CVE-2024-21762: dashboard.shadowserver.org/sta…

L'articolo Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari proviene da il blog della sicurezza informatica.

Se vedi la Madonna sei un allucinato, ma a quanto pare se "senti la AGI" e scrivi codice seguendo il vibe sei un genio della Silicon Valley.

spreaker.com/episode/dk-9x26-s…

Il gruppo OverFlame, in collaborazione con il team Sector16, ha recentemente annunciato di aver ottenuto il pieno accesso al sistema di gestione SCADA di una azienda italiana, situata nella celebre isola di Capri. Attraverso il sistema compromesso, i gruppi sono riusciti a interferire con il funzionamento di riscaldamento e condizionamento degli ambienti.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Post pubblicato da overflame all’interno dei suoi canali telegram
È importante sottolineare che, come dichiarato dagli stessi attori, l’accesso al sistema è avvenuto legalmente, tramite un accordo diretto con il soggetto proprietario della rete. Questo fa pensare a un’attività di red teaming o di pen test autorizzato, piuttosto che a un’azione malevola.
Post dove si afferma che l’accesso al sistema è avvenuto legalmente.
Gli ambienti SCADA, tradizionalmente utilizzati in ambito industriale, trovano applicazione anche nella gestione delle infrastrutture alberghiere di alto livello. La sicurezza di questi sistemi, spesso trascurata, rappresenta una falla critica che può impattare direttamente sul comfort degli ospiti, sulla reputazione e sui costi operativi.

Questo articolo è stato redatto attraverso l’utilizzo della piattaforma Recorded Future, partner strategico di Red Hot Cyber e leader nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.

Le implicazioni

• Dimostrazione pratica di vulnerabilità nelle infrastrutture critiche anche in ambiti non industriali.
• Importanza crescente dei test di sicurezza proattivi su sistemi SCADA.
• Maggiore consapevolezza sulla necessità di proteggere anche settori come l’hospitality, spesso meno preparati contro minacce cyber.

Pannello scada del sistema violato

Conclusioni

Questo evento sottolinea ancora una volta quanto i sistemi SCADA e di building management siano spesso esposti a vulnerabilità critiche, specialmente in settori come l’ospitalità di lusso.
Anche quando l’accesso avviene in modo concordato, resta evidente l’importanza di investire nella protezione delle infrastrutture digitali, adottando strategie di cybersecurity proattive e programmi di monitoraggio continuo.

Gli hotel e i resort, in particolare, devono comprendere che una violazione non si traduce solo in problemi tecnici, ma può anche avere gravi ripercussioni sull’immagine e sulla fiducia dei clienti.
Affidarsi a team di esperti per condurre test di penetrazione regolari può fare la differenza tra una vulnerabilità gestita in sicurezza e un disastro pubblico.

Come nostra consuetudine, lasciamo spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.
Altro pannello scada del sistema violato

L'articolo Attacco al sistema SCADA di un hotel a Capri: OverFlame e Sector16 ottengono pieno accesso proviene da il blog della sicurezza informatica.

Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-commerce attivo nel settore della telefonia che, secondo i dati condivisi, ha generato vendite per oltre 11 milioni di euro.

L’inserzione è concisa ma chiarissima:

“Escrow accepted, Access type: Magento web access, priv: admin, Italy shop, total selles: €11,006,570.52, admin access, Orders: 42786, Category: Phone store.
Price: 500$”

La richiesta? Solo 500 dollari per un accesso amministrativo completo alla piattaforma Magento del sito. Una cifra irrisoria se paragonata al potenziale valore dell’accesso in termini di impatto commerciale e reputazionale.

I dati esposti

Oltre all’indirizzo web del portale, l’annuncio fornisce dettagli che lasciano poco spazio a dubbi:

• Piattaforma: Magento
• Privilegi: accesso admin
• Ordini elaborati: 42.786
• Vendite totali: €11.006.570,52
• Settore: Telefonia

Se confermato, si tratterebbe di un accesso critico, in grado di compromettere completamente il backend del sito: gestione ordini, dati clienti, catalogo prodotti e persino l’interfaccia di pagamento.

Come avviene la compromissione?

Magento, pur essendo una piattaforma potente e diffusa nel mondo e-commerce, è anche notoriamente bersaglio di attacchi informatici. Le principali vulnerabilità sfruttate negli ultimi anni includono:

• Exploit di versioni non aggiornate
• Plugin o temi compromessi
• Credential stuffing
• Backdoor PHP iniettate via upload

Senza una corretta postura di sicurezza (WAF, aggiornamenti regolari, MFA per accessi amministrativi), l’intera infrastruttura può diventare un bersaglio facile.

I rischi concreti

L’accesso admin a un Magento compromesso apre le porte a numerosi scenari:

• Esfiltrazione dei dati dei clienti (nome, indirizzo, email, telefono e storici acquisti)
• Modifica delle impostazioni di pagamento, ad esempio per reindirizzare i pagamenti su conti controllati dagli attaccanti
• Installazione di malware o skimmer lato client (Magecart-style attack)
• Vendita del database o uso per phishing mirati

L’offerta vista su Exploit.in non è un caso isolato, ma l’ennesimo segnale di un mercato nero digitale florido, in cui accessi privilegiati si scambiano al pari di merci qualsiasi. Dall’inzio del 2025 il numero di accessi in vendita a siti basati su tecnologia magento sono stati 36.

Il ruolo della Cyber Threat Intelligence

In questo contesto, la Cyber Threat Intelligence (CTI) può giocare un ruolo chiave nella prevenzione e mitigazione di attacchi come quello ipotizzato. Un programma di CTI ben strutturato permette di:

• Monitorare in tempo reale i forum e marketplace del dark web, come Exploit.in, per individuare inserzioni sospette legate al proprio brand o dominio.
• Identificare precocemente segnali di compromissione (IOC, tecniche TTP, exploit zero-day legati alla piattaforma in uso).
• Allertare i team interni per attivare contromisure immediate prima che l’accesso venga venduto o sfruttato.

Un dato particolarmente rilevante emerso da analisi CTI su dump di credenziali provenienti da infostealer è la presenza di un accesso amministrativo riconducibile al sito in questione, su un archivio condiviso su BreachForum a metà dicembre 2024.

Non si tratta quindi solo di raccogliere dati, ma di trasformarli in intelligence azionabile, utile a ridurre la finestra di esposizione e a proteggere asset critici in ambienti ad alta esposizione come l’e-commerce.

Considerazioni finali

Al momento, non è noto se il sito in oggetto abbia rilevato o mitigato la violazione. Il sito è ancora online e funzionante. Tuttavia, se la vendita andasse a buon fine, le conseguenze potrebbero essere devastanti per l’azienda e i suoi clienti.

Nel frattempo, la vendita dell’accesso rimane pubblica, visibile a chiunque frequenti il forum. E il prezzo – 500$ – è il segnale più preoccupante: le barriere all’ingresso per compromettere aziende italiane non sono mai state così basse.

L'articolo Un e-commerce italiano sta per essere compromesso: accesso in vendita per 500$ proviene da il blog della sicurezza informatica.

A seguito dell’operazione Endgame, le forze dell’ordine hanno identificato i clienti della botnet Smokeloader e hanno segnalato l’arresto di almeno cinque persone. Ricordiamo che l’operazione Endgame è stata condotta l’anno scorso e vi hanno preso parte rappresentanti delle forze di polizia di Germania, Stati Uniti, Gran Bretagna, Francia, Danimarca e Paesi Bassi.

Inoltre, esperti di Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus e DIVD hanno fornito informazioni operative alle autorità, condividendo con le forze dell’ordine informazioni sull’infrastruttura della botnet e sul funzionamento interno del malware.

All’epoca, fu segnalato che erano stati sequestrati più di 100 server utilizzati dai principali downloader di malware, tra cui IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader e SystemBC. Tali dropper vengono utilizzati per ottenere l’accesso iniziale ai dispositivi delle vittime e per distribuire payload aggiuntivi.

In un nuovo comunicato stampa pubblicato questa settimana dall’Europol si afferma che l’operazione è in corso e che le forze dell’ordine stanno analizzando i dati provenienti dai server sequestrati e rintracciando i client del malware in questione.

Gli investigatori affermano che Smokeloader era gestito da un individuo noto come Superstar, che offriva la sua botnet ad altri aggressori come servizio a pagamento per l’installazione, al fine di ottenere l’accesso ai computer delle vittime. “A seguito di una serie di azioni coordinate, i clienti della botnet Smokeloader, gestita dall’aggressore noto come Superstar, hanno dovuto affrontare conseguenze quali detenzioni, perquisizioni domiciliari, mandati di arresto e colloqui preventivi”, ha affermato Europol.

Si dice che Smokeloader sia stato utilizzato anche per un’ampia gamma di reati informatici, dall’impiego di ransomware all’esecuzione di miner, fino all’accesso alle webcam e all’intercettazione delle sequenze di tasti premuti sui computer delle vittime.

Un database sequestrato durante l’operazione Endgame conteneva i dettagli dei clienti di Smokeloader, consentendo alla polizia di identificare gli hacker collegando i loro nickname alle identità reali. Si è notato che alcuni degli indagati hanno accettato di collaborare con le forze dell’ordine e hanno consentito che venissero esaminate le prove digitali presenti sui loro dispositivi personali. Molti di loro rivendevano i servizi di Smokeloader con un sovrapprezzo.

Mentre l’operazione prosegue, Europol ha creato un sito web dedicato per pubblicare le ultime notizie a riguardo. L’Europol ha inoltre pubblicato sul suo sito web una serie di video animati che mostrano le attività degli agenti delle forze dell’ordine e il modo in cui rintracciano i clienti e i partner di Smokeloader.

L'articolo L’Operazione Endgame Continua: colpo duro ai clienti della botnet Smokeloader. Scattano gli arresti proviene da il blog della sicurezza informatica.

A tornado can be an awe-inspiring sight, but it can also flip your car, trash your house, and otherwise injure you with flying debris. If you’d like to look at swirling air currents in a safer context, you might appreciate this tornado tower build from [Gary Boyd].

[Gary]’s build was inspired by museum demonstrations and the tornado machine designs of [Harald Edens]. His build generates a vortex that spans 1 meter tall in a semi-open cylindrical chamber. A fan in the top of the device sucks in air from the chamber, and exhausts it through a vertical column of holes in the wall of the cylinder. This creates a vortex in the air, though it’s not something you can see on its own. To visualize the flow, the cylindrical chamber is also fitted with an ultrasonic mist generator in the base. The vortex in the chamber is able to pick up this mist, and it can be seen swirling upwards as it is sucked towards the fan at the top.

It’s a nice educational build, and one that’s as nice to look at as it is to study. It produces a thick white vortex that we’re sure someone could turn into an admirable lamp or clock or something, this being Hackaday, after all. In any case, vortexes are well worth your study. If you’re cooking up neat projects with this physical principle, you should absolutely let us know!

hackaday.com/2025/04/14/buildi…

A major bottleneck with high-frequency wireless communications is the conversion from radio frequencies to optical signals and vice versa. This is performed by an electro-optic modulator (EOM), which generally are limited to GHz-level signals. To reach THz speeds, a new approach was needed, which researchers at ETH Zurich in Switzerland claim to have found in the form of a plasmonic phase modulator.

Although sounding like something from a Star Trek episode, plasmonics is a very real field, which involves the interaction between optical frequencies along metal-dielectric interfaces. The original 2015 paper by [Yannick Salamin] et al. as published in Nano Letters provides the foundations of the achievement, with the recent paper in Optica by [Yannik Horst] et al. covering the THz plasmonic EOM demonstration.

The demonstrated prototype can achieve 1.14 THz, though signal degradation begins to occur around 1 THz. This is achieved by using plasmons (quanta of electron oscillators) generated on the gold surface, who affect the optical beam as it passes small slots in the gold surface that contain a nonlinear organic electro optic material that ‘writes’ the original wireless signal onto the optical beam.

hackaday.com/2025/04/14/plasmo…

Amazing as volumetric displays are, they have one major drawback: interacting with them is complicated. A 3D mouse is nice, but unless you’ve done a lot of CAD work, it’s a bit unintuitive. Researchers from the Public University of Navarra, however, have developed a touchable volumetric display, bringing touchscreen-like interactions to the third dimension (preprint paper).

At the core, this is a swept-volume volumetric display: a light-diffusing screen oscillates along one axis, while from below a projector displays cross-sections of the scene in synchrony with the position of the screen. These researchers replaced the normal screen with six strips of elastic material. The finger of someone touching the display deforms one or more of the strips, allowing the touch to be detected, while also not damaging the display.

The actual hardware is surprisingly hacker-friendly: for the screen material, the researchers settled on elastic bands intended for clothing, and two modified subwoofers drove the screen’s oscillation. Indeed, some aspects of the design actually cite this Hackaday article. While the citation misattributes the design, we’re glad to see a hacker inspiring professional research.) The most exotic component is a very high-speed projector (on the order of 3,000 fps), but the previously-cited project deals with this by hacking a DLP projector, as does another project we’ve covered.

While interacting with the display does introduce some optical distortions, we think the video below speaks for itself. If you’re interested in other volumetric displays, check out this project, which displays images with a levitating styrofoam bead.

youtube.com/embed/4wwKOXxX9Ck?…

[Thanks to Xavi for the tip!]

hackaday.com/2025/04/14/elasti…

There’s something cool about the visual design language used in the aviation world. You probably don’t get much exposure to it if you’re not regularly flying a plane, but there are other ways you can bring it into your life. A great example would be building an aviation-themed clock, like this stylish timepiece from [oliverb.]

The electronic heart of the build is an ESP32. This wireless-capable microcontroller is a popular choice for clock builds these days. This is because it can contact network time servers out of the box, which allows you to build an incredibly capable and accurate clock without any additional parts. No real-time-clock needed—just have the ESP32 buzz the Internet for an accurate update on the regular!

As for the display itself, three gauges show hours, minutes, and seconds on aviation-like gauges. They’re 3D-printed, which means you can build them from scratch. That’s a touch easier than having to go out and source actual surplus aviation hardware. Each gauge is driven by a NEMA17 stepper motor. There’s also an ATMEGA328 on hand to drive a 7-segment gauge on the seconds display, and a PIR sensor which shuts the clock down when nobody is around to view it.

It’s a tidy build, and one with a compelling aesthetic at that. We’ve seen some similar builds before using real aviation gauges, too. Video after the break.

youtube.com/embed/pB9JtX6nKLQ?…

hackaday.com/2025/04/14/esp32-…

The C64 Mini is a beautiful and functional replica of the most popular computer ever made, except at 50% size and without a working keyboard. For maximum nostalgia, it was modeled after the brown breadbox C64 case which so characterized the model. However, [10p6] wanted to build a tiny C64C instead, so set about making a conversion happen.

The build is primarily about the case design. [10p6] created a nice 50% scale duplicate of the C64C, with an eye to making it work with the internals of the popular C64 Mini. The case was paired with a custom PETSCII keyboard PCB and keycaps designed by [Bleugh]. This was a key element, since it wouldn’t really feel like a functional C64C without a functional keyboard. The build also scored a bonus USB hub for more flexibility. For the best possible finish, the case, power button, and keycaps were all printed using a resin printer, which provides a more “production-like” result than FDM printers are capable of.

It’s funny how retro computers remain popular to this day, particularly amongst the hacker set. In contrast, we don’t see a whole lot of people trying to replicate Pentium II machines from the mid-1990s. If you do happen to have a crack at it, though, the tipsline is always open. Video after the break.

youtube.com/embed/CwKFFWvBH-g?…

hackaday.com/2025/04/14/conver…

The best kind of Hackaday posts are the ones where there was some insurmountable problem with an elegant solution devised through deep analysis of the problem and creativity. This is not one of those posts. I’m sure you are familiar with bit rot. You know, something works for a long time and then, for no apparent reason, stops working. Well, that has been biting me, and lacking the time for the creative, elegant solution, I decided to attack it with a virtual chainsaw.

It all started with a 2022 Linux Fu about using autokey.

The Problem

I use autokey to give me emacs-style keystrokes in Web browsers and certain other programs. It intercepts keystrokes and translates them into other keystrokes. The problem is, the current Linux community hates autokey. Well, that’s not strictly true. They just love Wayland more. One reason I won’t switch from X11 is that I haven’t found a way to do something like I do with autokey. But since most of the powers-that-be have decided that X11 is bad and Wayland is good, X11 development is starting to show cracks.

In particular, autokey isn’t in the normal repositories for my distro anymore (KDE Neon). Of course, I’ve installed the latest version myself. I’m perfectly capable of doing that or even building from source. But lately, I’ve noticed my computer hangs, especially after sleeping for a long time. Also, after a long time, I notice that autokey just quits working. It is running but not working and I have to restart it. The memory consumption seems high when this happens.

You know how it is. Your system has quirks; you just live with them for a while. But eventually those paper cuts add up. I finally decided I needed to tackle the issue. But I don’t really have time to go debug autokey, especially when it takes hours for the problem to manifest.

The Chainsaw

I’ll say it upfront: Finding the memory leak would be the right thing to do. Build with debug symbols. Run the code and probe it when the problem comes up. Try to figure out what combination of X11, evdev, and whatever other hocus pocus it uses is causing this glitch.

But who’s got time for that? I decided that instead of launching autokey directly, I’d launch a wrapper script. I already had autokey removed from the KDE session so that I don’t try to start it myself and then get the system restaring it also. But now I run the wrapper instead of autokey.

So what does the wrapper do? It watches the memory consumption of autokey. Sure enough, it goes up just a little bit all the time. When the script sees it go over a threshold it kills it and restarts it. It also restarts if autokey dies, but I rarely see that.

What’s Memory Mean?

The problem is, how do you determine how much memory a process is using? Is it the amount of physical pages it has? The virtual space? What about shared libraries? In this case, I don’t really care as long as I have a number that is rising all the time that I can watch.

The /proc file system has a directory for each PID and there’s a ton of info in there. One of them is an accounting of memory. If you look at /proc/$PID/smaps for some program you’ll see something like this:
00400000-00420000 r--p 00000000 fd:0e 238814592 /usr/bin/python3.12
Size: 128 kB
KernelPageSize: 4 kB
MMUPageSize: 4 kB
Rss: 128 kB
Pss: 25 kB
Pss_Dirty: 0 kB
Shared_Clean: 128 kB
Shared_Dirty: 0 kB
Private_Clean: 0 kB
Private_Dirty: 0 kB
Referenced: 128 kB
Anonymous: 0 kB
KSM: 0 kB
LazyFree: 0 kB
AnonHugePages: 0 kB
ShmemPmdMapped: 0 kB
FilePmdMapped: 0 kB
Shared_Hugetlb: 0 kB
Private_Hugetlb: 0 kB
Swap: 0 kB
SwapPss: 0 kB
Locked: 0 kB
THPeligible: 0
VmFlags: rd mr mw me sd
00420000-00703000 r-xp 00020000 fd:0e 238814592 /usr/bin/python3.12
Size: 2956 kB
KernelPageSize: 4 kB
MMUPageSize: 4 kB
Rss: 2944 kB
Pss: 595 kB
Pss_Dirty: 0 kB
Shared_Clean: 2944 kB
Shared_Dirty: 0 kB
Private_Clean: 0 kB
Private_Dirty: 0 kB
. . .

Note that there is a section for each executable and shared object along with lots of information. You can get all the PSS (proportional set size) numbers for each module added together like this (among other ways):

cat /proc/$PID/smaps | grep -i pss | awk '{Total+=$2} END { print Total}'

Building the Chainsaw

So armed with that code, it is pretty easy to just run the program, see if it is eating up too much memory, and restart it if it is. I also threw in some optional debugging code.
#!/bin/bash
#- Run autokey, kill it if it gets too big
#- what's too big? $MLIMIT
MLIMIT=500000
#- how often to check (seconds)
POLL=10

#- Print debug info if you want
function pdebug {
#- comment out if you don't want debugging. Leave in if you do
#- echo $1 $2 $3 $4
}

while true # do forever
do
PID=$(pgrep autokey-qt) # find autokey
pdebug "PID",$PID
if [ ! -z "$PID" ] # if it is there
then
# get the memory size
PSS=$(cat /proc/$PID/smaps | grep -i pss | awk '{Total+=$2} END { print Total}')
pdebug "PSS", $PSS
echo $PSS >>/tmp/autokey-current.log
# too big?
if [ "$PSS" -gt "$MLIMIT" ]
then
pdebug "Kill"
echo Killed >>/tmp/autokey-current.log
# save old log before we start another
cp /tmp/autokey-current.log /tmp/autokey-$PID.log
kill $PID
PID=
sleep 2
fi
fi
if [ -z $PID ]
then
# if died, relaunch
pdebug "Launch"
autokey-qt & 2>&1 >/tmp/autokey-current.log
fi
pdebug "Sleep"
sleep $POLL
done

In practice, you’ll probably want to remove the cp command that saves the old log, but while troubleshooting, it is good to see how often the process is killed. Running this once with a big number gave me an idea that PSS was about 140,000 but rising every 10 seconds. So when it gets to 500,000, it is done. That seems to work well. Obviously, you’d adjust the numbers for whatever you are doing.

Bad Chainsaw

There are lots of ways this could have been done. A systemd timer, for example. Maybe even a cgroup. But this works, and took just a few minutes. Sure, a chainsaw is a lot to just cut a 2×4, but then again, it will go through it like a hot knife through butter.

I did consider just killing autokey periodically and restarting it. The problem is I work odd hours sometimes, and that means I’d have to do something like tie it to the screensaver. But I agree there are dozens of ways to do this, including to quit using autokey. What would your solution be? Let us know in the comments. Have you ever resorted to a trick this dirty?

hackaday.com/2025/04/14/linux-…

I ricercatori della PCAutomotive hanno evidenziato diverse vulnerabilità nel veicolo elettrico Nissan Leaf. Gli esperti hanno dimostrato che i bug potrebbero essere utilizzati per l’hacking a distanza delle auto, la sorveglianza e l’intercettazione completa di varie funzioni.

PCAutomotive è specializzata in test di penetrazione e analisi delle minacce per il settore automobilistico e finanziario. La scorsa settimana, alla conferenza Black Hat Asia 2025, gli esperti hanno parlato dettagliatamente dell’attacco hacker alla Nissan Leaf.

L’oggetto dello studio era il veicolo elettrico Nissan Leaf di seconda generazione, lanciato nel 2020. Le vulnerabilità riscontrate al suo interno hanno consentito l’utilizzo delle funzioni Bluetooth del sistema di infotainment dell’auto per penetrare nella rete interna.

Gli esperti sostengono che queste problematiche hanno consentito di aumentare i privilegi e di stabilire un canale di comunicazione con il server di controllo tramite comunicazioni cellulari, garantendo un accesso nascosto e costante al veicolo elettrico direttamente tramite Internet.

L’aggressore potrebbe sfruttare le vulnerabilità scoperte per spiare il proprietario di una Nissan Leaf, monitorando la posizione dell’auto, catturando screenshot del sistema di infotainment e persino registrando le conversazioni delle persone all’interno dell’auto.

youtube.com/embed/56VreoKtStw?…

Inoltre, i problemi consentivano il controllo a distanza di varie funzioni dell’auto, tra cui l’apertura delle portiere, dei tergicristalli, del clacson, degli specchietti, dei finestrini, dei fari e perfino del volante, anche durante la guida.

Alle vulnerabilità sono stati assegnati otto identificatori CVE: da CVE-2025-32056 a CVE-2025-32063.

I ricercatori hanno affermato che il processo di divulgazione delle informazioni sui bug è iniziato già nell’agosto 2023, ma gli specialisti Nissan hanno confermato l’esistenza dei problemi solo nel gennaio 2024 e l’assegnazione degli identificatori CVE ha richiesto circa un altro anno.

Oltre al loro rapporto, gli esperti hanno pubblicato un video in cui hanno chiaramente dimostrato come hanno utilizzato i loro exploit per hackerare da remoto una Nissan Leaf.

I rappresentanti della Nissan hanno dichiarato ai media che l’azienda non può divulgare dettagli sulle vulnerabilità e sulle misure di protezione adottate per motivi di sicurezza. Allo stesso tempo, l’azienda ha sottolineato che continuerà a sviluppare e implementare tecnologie per combattere gli attacchi informatici “per il bene della sicurezza e della tranquillità dei clienti”.

L'articolo Shock Hacking: Come Guidare una Nissan Leaf Da Remoto! La ricerca al Black Hat Asia 2025 proviene da il blog della sicurezza informatica.

The ESP32 series of microprocessors with their cheap high-power cores and built-in wireless networking have brought us a wide variety of impressive projects over the years. We’re not sure we’ve quite seen the like of [Jonathan R]’s video walkie talkie before though, a pair of units which as you might guess, deliver two-way video and audio communications.

The trick involves not one but two ESP32s: an ESP32-S3 based camera module, and a more traditional Tensilica ESP32 in a screen module. It’s an opportunity for an interesting comparison, as one device uses the Cheap Yellow Display board, and the other uses an Elecrow equivalent. The audio uses ESP-NOW, while the video uses WiFi, and since the on-board audio amplifiers aren’t great, there’s a small amp module.

The video below has a comprehensive run-down including the rationale behind the design choices, as well as a demonstration. There’s a small lag, but nothing too unacceptable for what is after all an extremely cheap device. Perhaps after all this time, the video phone has finally arrived!

youtube.com/embed/rfnsuzQIYbs?…

hackaday.com/2025/04/14/a-chea…