Automotive racing is a grueling endeavor, a test of one’s mental and physical prowess to push an engineered masterpiece to its limit. This is all the more true of 24 hour endurance races where teams tag team to get the most laps of a circuit in over a 24 hour period. The format pushes cars and drivers to the very limit. Doing so on a $500 budget as presented by the 24 hours of Lemons makes this all the more impressive!

Of course, racing on a $500 budget is difficult to say the least. All the expected Fédération Internationale de l’Automobile (FIA) safety requirements are still in place, including roll cage, seats and fire extinguisher. However, brakes, wheels, tires and safety equipment are not factored into the cost of the car, which is good because an FIA racing seat can run well in excess of the budget. Despite the name, most races are twelve to sixteen hours across two days, but 24 hour endurance races are run. The very limiting budget and amateur nature of the event has created a large amount of room for teams to get creative with car restorations and race car builds.

The 24 Hours of Le-MINES Team and their 1990 Miata
One such team we had the chance of speaking to goes by the name 24 Hours of Le-Mines. Their build is a wonderful mishmash of custom fabrication and affordable parts. It’s built from a restored 1999 NA Miata complete with rusted frame and all! Power is handled by a rebuilt 302 Mustang engine of indeterminate age.

The stock Miata brakes seem rather small for a race car, but are plenty for a car of its weight. Suspension is an Amazon special because it only has to work for 24 hours. The boot lid (or trunk if you prefer) is held down with what look to be over-sized RC car pins. Nestled next to the PVC pipe inlet pipe is a nitrous oxide canister — we don’t know if it’s functional or for show, but we like it nonetheless. The scrappy look is completed with a portion of the road sign fabricated into a shifter cover.

The team is unsure if the car will end up racing, but odds are if you are reading Hackaday, you care more about the race cars then the actual racing. Regardless, we hope to see this Miata in the future!

This is certainly not the first time we have covered 24 hour endurance engineering, like this solar powered endurance plane.

hackaday.com/2025/05/21/a-look…

Introduction

Imagine a container zombie outbreak where a single infected container scans the internet for an exposed Docker API, and bites exploits it by creating new malicious containers and compromising the running ones, thus transforming them into new “zombies” that will mine for Dero currency and continue “biting” new victims. No command-and-control server is required for the delivery, just an exponentially growing number of victims that are automatically infecting new ones. That’s exactly what the new Dero mining campaign does.

During a recent compromise assessment project, we detected a number of running containers with malicious activities. Some of the containers were previously recognized, while others were not. After forensically analyzing the containers, we confirmed that a threat actor was able to gain initial access to a running containerized infrastructure by exploiting an insecurely published Docker API. This led to the running containers being compromised and new ones being created not only to hijack the victim’s resources for cryptocurrency mining but also to launch external attacks to propagate to other networks. The diagram below describes the attack vector:

Infection chain

The entire attack vector is automated via two malware implants: the previously unknown propagation malware nginx and the Dero crypto miner. Both samples are written in Golang and packed with UPX. Kaspersky products detect these malicious implants with the following verdicts:

• nginx: Trojan.Linux.Agent.gen;
• Dero crypto miner: RiskTool.Linux.Miner.gen.

nginx: the propagation malware

This malware is responsible for maintaining the persistence of the crypto miner and its further propagation to external systems. This implant is designed to minimize interaction with the operator and does not require a delivery C2 server. nginx ensures that the malware spreads as long as there are users insecurely publishing their Docker APIs on the internet.

The malware is named “nginx” to masquerade as the well-known legitimate nginx web server software in an attempt to evade detection by users and security tools. In this post, we’ll refer to this malware as “nginx”.

After unpacking the nginx malware, we parsed the metadata of the Go binary and were able to determine the location of the Go source code file at compilation time: “/root/shuju/docker2375/nginx.go”.

Nginx source code file

Infecting the container

The malware starts by creating a log file at “/var/log/nginx.log”.

Log file creation

This log file will be used later to log the running activities of the malware, including data like the list of infected machines, the names of created malicious containers on those machines, and the exit status code if there were any errors.

Malware operations log

After that, in a new process, a function called main.checkVersion loops infinitely to make sure that the content of a file located at “/usr/bin/version.dat” inside the compromised container always equals 1.4. If the file contents were changed, this function overwrites them.

Ensuring that version.dat exists and contains 1.4

If version.dat doesn’t exist, the malicious function creates this file with the content 1.4, then sleeps for 24 hours before the next iteration.

Creating version.dat if it doesn’t exist

The malware uses the version.dat file to identify the already infected containers, which we’ll describe later.
The nginx sample then executes the main.monitorCloudProcess function that loops infinitely in a new process making sure that a process named cloud, which is a Dero miner, is running. First, the malware checks whether or not the cloud process is running. If it’s not, nginx executes the main.startCloudProcess function to launch the miner.

Monitoring and executing the cloud process

In order to execute the miner, the main.startCloudProcess function attempts to locate it at “/usr/bin/cloud”.

Executing the miner

Spreading the infection

Host search

Next, the nginx malware will go into an infinite loop of generating random IPv4 /16 network subnets to scan them and compromise more networks with the main.generateRandomSubnet function.

Infinite loop of network subnets generation and scanning

The subnets with the respective IP ranges will be passed to the main.scanSubnet function to be scanned via masscan, a port scanning tool installed in the container by the malware, which we will describe in more detail later. The scanner is looking for an insecure Docker API published on the internet to exploit by scanning the generated subnet via the following command: masscan -p 2375 -oL – –max-rate 360.

Scanning the generated subnet via masscan

The output of masscan is parsed via regex to extract the IPv4s that have the default Docker API port 2375 open. Then the extracted IPv4s are passed to the main.checkDockerDaemon function. It checks if the remote dockerd daemon on the host with a matching IPv4 is running and responsive. To do this, the malware attempts to list all running containers on the remote host by executing a docker -H PS command. If it fails, nginx proceeds to check the next IPv4.

Remotely listing running containers

Container creation

After confirming that the remote dockerd daemon is running and responsive, nginx generates a container name with 12 random characters and uses it to create a malicious container on the remote target.

Container name generation

The malicious container is created with docker -H run -dt –name –restart always ubuntu:18.04 /bin/bash. The malware uses a –restart always flag to start the newly created containers automatically when they exit.

Malicious container created on a new host

Then nginx prepares the new container to install dependencies later by updating the packages via docker -H exec apt-get -yq update.

Updating container packages

Next, the malicious sample uses a docker -H exec apt-get install -yq masscan docker.io command to install masscan and docker.io in the container, which are dependencies for the malware to interact with the Docker daemon and to perform the external scan to infect other networks.

Remotely installing the malware dependencies inside the newly created container

Then it transfers the two malicious implants, nginx and cloud, to the container by executing docker -H cp -L /usr/bin/ :/usr/bin.

Transferring nginx and cloud to the newly created container

The malware maintains persistence by adding the transferred nginx binary to /root/.bash_aliases to make sure that it will automatically execute upon shell login. This is done via a docker -H exec bash –norc -c \'echo \"/usr/bin/nginx &\" > /root/.bash_aliases\' command.

Adding the nginx malware to .bash_aliases for persistence

Compromising running containers

Up until this point, the malware has only created new malicious containers. Now, it will try to compromise the ubuntu:18.04-based running containers. The sample first executes the main.checkAndOperateContainers function to check all the running containers on the remote vulnerable host for two conditions: the container has an ubuntu:18.04-base and it doesn’t contain a version.dat file, which is an indicator that the container had been previously infected.

Listing and compromising existing containers on the remote target

If these conditions are satisfied, the malware executes the main.operateOnContainer function to proceed with the same attack vector described earlier to infect the running container. The infection chain is repeated, hijacking the container resources to scan and compromise more containers and mining for the Dero cryptocurrency.

That way, the malware does not require a C2 connection and also maintains its activity as long as there is an insecurely published Docker API that can be exploited to compromise running containers and create new ones.

cloud – the Dero miner

Executing and maintaining cloud, the crypto miner, is the primary goal of the nginx sample. The miner is also written in Golang and packed with UPX. After unpacking the binary, we were able to attribute it to the open-source DeroHE CLI miner project found on GitHub. The threat actor wrapped the DeroHE CLI miner into the cloud malware, with a hardcoded mining configuration: a wallet address and a DeroHE node (derod) address.

If no addresses were passed as arguments, which is the case in this campaign, the cloud malware uses the hardcoded encrypted configuration as the default configuration. It is stored as a Base64-encoded string that, after decoding, results in an AES-CTR encrypted blob of a Base64-encoded wallet address, which is decrypted with the main.decrypt function. The configuration encryption indicates that the threat actors attempt to sophisticate the malware, as we haven’t seen this in previous campaigns.

Decrypting the crypto wallet address

Upon decoding this string, we uncovered the wallet address in clear text: dero1qyy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537vux60xxkx6hs7zqgde993y.

Behavioral analysis of the decryption function

Then the malware decrypts another two hardcoded AES-CTR encrypted strings to get the dero node addresses via a function named main.sockz.

Function calls to decrypt the addresses

The node addresses are encrypted the same way the wallet address is, but with other keys. After decryption, we were able to obtain the following addresses: d.windowsupdatesupport[.]link and h.wiNdowsupdatesupport[.]link.

Decoded addresses in memory

The same wallet address and the derod node addresses had been observed before in a campaign that targeted Kubernetes clusters with Kubernetes API anonymous authentication enabled. Instead of transferring the malware to a compromised container, the threat actor pulls a malicious image named pauseyyf/pause:latest, which is published on Docker Hub and contains the miner. This image was used to create the malicious container. Unlike the current campaign, the attack vector was meant to be stealthy as threat actors didn’t attempt to move laterally or scan the internet to compromise more networks. These attacks were seen throughout 2023 and 2024 with minor changes in techniques.

Takeaways

Although attacks on containers are less frequent than on other systems, they are not less dangerous. In the case we analyzed, containerized environments were compromised through a combination of a previously known miner and a new sample that created malicious containers and infected existing ones. The two malicious implants spread without a C2 server, making any network that has a containerized infrastructure and insecurely published Docker API to the internet a potential target.

Analysis of Shodan shows that in April 2025, there were 520 published Docker APIs over port 2375 worldwide. It highlights the potential destructive consequences of the described threat and emphasizes the need for thorough monitoring and container protection.

Docker APIs published over port 2375 ports worldwide, January–April 2025 (download)

Building your containerized infrastructure from known legitimate images alone doesn’t guarantee security. Just like any other system, containerized applications can be compromised at runtime, so it’s crucial to monitor your containerized infrastructure with efficient monitoring tools like Kaspersky Container Security. It detects misconfigurations and monitors registry images, ensuring the safety of container environments. We also recommend proactively hunting for threats to detect stealthy malicious activities and incidents that might have slipped unnoticed on your network. The Kaspersky Compromise Assessment service can help you not only detect such incidents, but also remediate them and provide immediate and effective incident response activities.

Indicators of compromise

File hashes
094085675570A18A9225399438471CC9 nginx
14E7FB298049A57222254EF0F47464A7 cloud

File paths
NOTE: Certain file path IoCs may lead to false positives due to the masquerading technique used.
/usr/bin/nginx
/usr/bin/cloud
/var/log/nginx.log
/usr/bin/version.dat

Derod nodes addresses
d.windowsupdatesupport[.]link
h.wiNdowsupdatesupport[.]link

Dero wallet address
dero1qyy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537vux60xxkx6hs7zqgde993y

securelist.com/dero-miner-infe…

Nel labirinto digitale in cui la nostra vita si svolge sempre più frequentemente, siamo costantemente bombardati da stimoli che promettono gratificazione immediata: un like sui social media, l’accesso istantaneo a informazioni, la comodità di un click.

In questo contesto di appagamento istantaneo, un potente meccanismo psicologico, il Bias del Presente, agisce silenziosamente, influenzando le nostre decisioni online, spesso a discapito della nostra sicurezza cibernetica. Questo articolo esplorerà come la nostra innata tendenza a privilegiare i benefici immediati rispetto alle conseguenze future ci rende vulnerabili ai pericoli del cyberspazio, analizzando le sue manifestazioni più comuni e suggerendo strategie per mitigare i rischi.

La sirena della gratificazione immediata

La nostra vita virtuale è un palcoscenico di interazioni fugaci e desideri istantanei. La notifica che promette un premio immediato, il link allettante che cattura la nostra curiosità, l’applicazione “gratuita” che ci offre un accesso senza intoppi: tutte queste sirene digitali fanno leva sul nostro innato desiderio di gratificazione immediata. In questi frangenti, il Bias del Presente prende il sopravvento sulla nostra razionalità, spingendoci a compiere azioni che, se valutate con una prospettiva a lungo termine, apparirebbero palesemente rischiose. Clicchiamo impulsivamente, condividiamo incautamente e accettiamo condizioni senza la dovuta diligenza, attratti dalla promessa di un appagamento immediato, ignorando i potenziali pericoli che si celano dietro l’angolo digitale.

Password facili e clic impulsivi

Consideriamo l’esempio emblematico delle password. La creazione e la memorizzazione di password complesse e uniche rappresentano un piccolo “costo” immediato in termini di tempo e sforzo cognitivo. Tuttavia, il beneficio a lungo termine di una maggiore sicurezza e della protezione dai tentativi di accesso non autorizzato è incommensurabilmente più grande. Eppure, molti di noi cedono alla tentazione della semplicità, scegliendo password banali e facilmente prevedibili, spinti dal desiderio di un accesso rapido e senza intoppi ai nostri account. Il Bias del Presente ci impedisce di percepire appieno la gravità del rischio futuro, focalizzandoci unicamente sulla piccola “scomodità” del momento.

Lo stesso principio si applica alla nostra interazione con link ed allegati sconosciuti. La promessa di un’offerta esclusiva, di un’informazione sensazionale o di un video virale fa leva sulla nostra curiosità e sul desiderio di essere “sul pezzo”. Cliccare su un link sospetto o scaricare un allegato da una fonte non verificata offre una gratificazione immediata (la potenziale scoperta di qualcosa di interessante), ma ci espone al rischio concreto di malware, phishing e furto di dati personali. Il Bias del Presente ci rende ciechi al potenziale danno futuro, accecati dal luccichio effimero dell’interesse immediato.

Il costo nascosto della condivisione

Anche la nostra presenza sui social media è profondamente influenzata da questo bias. La ricerca di validazione sociale attraverso “like” e commenti, il desiderio di condividere momenti della nostra vita per sentirci connessi e parte di una comunità, ci spingono spesso a trascurare le implicazioni a lungo termine della nostra impronta digitale. Condividiamo informazioni personali, dettagli sulla nostra posizione, opinioni controverse, senza considerare appieno come questi dati potrebbero essere utilizzati in futuro, magari contro di noi. La gratificazione immediata dell’interazione sociale e del riconoscimento prevale sulla prudenza e sulla consapevolezza dei rischi per la nostra privacy a lungo termine.

La seduzione della continuità

Il Bias del Presente si insinua anche nel nostro approccio agli aggiornamenti software e alle misure di sicurezza. L’installazione di un aggiornamento può sembrare un’interruzione fastidiosa della nostra attività online immediata. Ignoriamo i promemoria, posticipiamo l’operazione, attratti dalla continuità del nostro flusso digitale attuale. Tuttavia, questi aggiornamenti spesso contengono patch di sicurezza cruciali che ci proteggono da vulnerabilità note. La nostra impazienza e il desiderio di mantenere inalterato il nostro presente digitale ci rendono bersagli più facili per gli attacchi informatici che sfruttano proprio quelle falle di sicurezza non sanate.

Coltivare la forza mentale per un mondo digitale sicuro

Sviluppare la forza mentale non è un processo passivo, ma richiede impegno e pratica costante. Ecco alcune strategie per rafforzare la nostra resilienza psichica nel contesto digitale. Invece di considerare le azioni pratiche di sicurezza come meri compiti da spuntare su una lista, incorniciamole come atti di auto-compassione digitale.

Ogni password robusta che creiamo è un abbraccio protettivo alla nostra identità online, uno scudo eretto con cura contro l’intrusione.

Aggiornare il software diventa un atto di nutrimento del nostro ecosistema digitale, fornendogli le vitamine necessarie per resistere alle malattie del web.

Essere scettici prima di cliccare non è solo prudenza, ma un esercizio di intelligenza emotiva digitale, riconoscendo che non tutte le offerte scintillanti sono genuine.

Pensare due volte prima di condividere online è un atto di mindfulness digitale, una pausa consapevole per valutare l’impronta emotiva che lasciamo nel mondo virtuale.

Configurare impostazioni di privacy restrittive è un modo per definire i nostri confini psicologici online, proteggendo la nostra energia mentale dalla dispersione.

Fare backup regolari è un atto di resilienza emotiva anticipata, preparandoci con cura per eventuali “lutti” digitali.

In definitiva, ogni azione pratica di sicurezza è intrisa di psicologia: è un atto di auto-efficacia, un modo tangibile per riprendere il controllo in un ambiente digitale che spesso ci fa sentire impotenti.

In conclusione, la sicurezza nel mondo digitale non è solo una questione di strumenti e tecnologie, ma anche di forza mentale. Coltivare la consapevolezza, la gestione dell’attenzione, il pensiero critico e l’intelligenza emotiva ci permette di diventare utenti più resilienti e capaci di proteggerci attivamente dalle insidie del cyberspazio. Investire nella nostra forza mentale è investire nella nostra sicurezza digitale a lungo termine. Non si tratta solo di proteggere dati, ma di proteggere la nostra tranquillità mentale, la nostra fiducia e la nostra capacità di vivere serenamente nell’era digitale. Che ne pensate?

L'articolo Il Bias del Presente! E’ il nemico subdolo della tua sicurezza informatica! proviene da il blog della sicurezza informatica.

Taking a break from his usual prodding at suspicious AliExpress USB chargers, [DiodeGoneWild] recently had a gander at what used to be a good USB charger.
The Anker 737 USB charger prior to its autopsy.
Before it went completely dead, the Anker 737 GaNPrime USB charger which a viewer sent him was capable of up to 120 Watts combined across its two USB-C and one USB-A outputs. Naturally the charger’s enclosure couldn’t be opened non-destructively, and it turned out to have (soft) potting compound filling up the voids, making it a treat to diagnose. Suffice it to say that these devices are not designed to be repaired.

With it being an autopsy, the unit got broken down into the individual PCBs, with a short detected that eventually got traced down to an IC marked ‘SW3536’, which is one of the ICs that communicates with the connected USB device to negotiate the voltage. With the one IC having shorted, it appears that it rendered the entire charger into an expensive paperweight.

Since the charger was already in pieces, the rest of the circuit and its ICs were also analyzed. Here the gallium nitride (GaN) part was found in the Navitas GaNFast NV6136A FET with integrated gate driver, along with an Infineon CoolGaN IGI60F1414A1L integrated power stage. Unfortunately all of the cool technology was rendered useless by one component developing a short, even if it made for a fascinating look inside one of these very chonky USB chargers.

youtube.com/embed/-JV5VGO55-I?…

hackaday.com/2025/05/21/fault-…

Da febbraio 2024, il Chrome Web Store ha iniziato a distribuire componenti aggiuntivi dannosi per il browser, camuffati da utili utility, ma in realtà utilizzati per rubare dati, dirottare sessioni ed eseguire codice arbitrario. Questi componenti aggiuntivi sono creati da un gruppo sconosciuto e sono rivolti a utenti che cercano strumenti di produttività, servizi VPN, piattaforme bancarie e crittografiche, nonché strumenti per l’analisi e la creazione di contenuti multimediali.

Secondo il team di DomainTools Intelligence, gli aggressori stanno creando siti web falsi che sembrano servizi reali come DeepSeek, Manus, DeBank, FortiVPN e Site Stats. Queste pagine reindirizzano gli utenti a estensioni false nel Chrome Web Store che sembrano svolgere le funzioni promesse. Tuttavia, oltre a questo, rubano cookie, login e password, iniettano pubblicità, reindirizzano il traffico verso risorse dannose e interferiscono con il contenuto delle pagine web utilizzando la manipolazione del DOM.

Il pericolo è aggravato dal fatto che queste estensioni si assegnano privilegi eccessivi nel file manifest.json. Ciò consente loro di accedere a tutti i siti visitati dall’utente, scaricare codice arbitrario da server remoti, utilizzare WebSocket per instradare il traffico e persino aggirare la protezione della Content Security Policy tramite il gestore di eventi “onreset” incorporato negli elementi DOM temporanei.

Non si sa ancora esattamente come gli utenti arrivino su pagine dannose, ma si presume che vengano utilizzati schemi standard: phishing, pubblicità e link sui social network. DomainTools ha scoperto che i siti contengono spesso tracker di Facebook, che potrebbero indicare una promozione tramite piattaforme Meta: pagine, gruppi e campagne pubblicitarie.

Nonostante gli sforzi di Google per rimuovere le estensioni dannose dal suo store, i criminali informatici dispongono ancora di un’infrastruttura molto vasta: oltre 100 siti falsi ed estensioni correlate. Grazie ai siti web e all’inserimento nell’archivio delle estensioni ufficiale, gli aggressori possono comparire nei risultati di ricerca sia su Internet sia all’interno dello stesso Chrome Web Store, creando l’illusione di legittimità.

Si consiglia agli utenti di scaricare componenti aggiuntivi solo da sviluppatori affidabili, di leggere attentamente le recensioni, di analizzare le autorizzazioni richieste e di evitare estensioni il cui nome o logo ricorda prodotti popolari ma presenta piccole differenze.

L'articolo False VPN, Finti Tool: Le Estensioni Chrome che Rubano Tutto proviene da il blog della sicurezza informatica.

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle reti compromesse.

Secondo gli analisti di Prodaft, il malware è stato pubblicizzato sui forum di hacking dall’aprile 2024 e ha iniziato a guadagnare popolarità tra gli estorsori all’inizio del 2025. Ad esempio, Skitnet è già stato utilizzato negli attacchi degli operatori di BlackBasta e Cactus.

Un’infezione da Skitnet inizia con l’esecuzione di un loader scritto in Rust sul computer di destinazione, che decifra il binario Nim crittografato con ChaCha20 e lo carica nella memoria. Il payload Nim crea una reverse shell basata su DNS per comunicare con il server C&C, avviando una sessione utilizzando query DNS casuali.

Il malware avvia quindi tre thread: uno per inviare richieste di segnalazione DNS, un altro per monitorare ed estrarre l’output della shell e un altro per ascoltare e decifrare i comandi dalle risposte DNS.

I messaggi e i comandi da eseguire vengono inviati tramite HTTP o DNS in base ai comandi inviati tramite il pannello di controllo Skitnet. In questo pannello, l’operatore può visualizzare l’indirizzo IP del target, la sua posizione, il suo stato e inviare comandi per l’esecuzione.

Il malware supporta i seguenti comandi:

• Start: si insinua nel sistema scaricando tre file (tra cui una DLL dannosa) e creando un collegamento al file eseguibile legittimo Asus (ISP.exe) nella cartella di avvio. Ciò attiva un hook DLL che esegue lo script PowerShell pas.ps1 per comunicare continuamente con il server C&C;
• Screen: tramite PowerShell, viene acquisito uno screenshot del desktop della vittima, caricato su Imgur e quindi l’URL dell’immagine viene inviato al server C&C;
• Anydesk : scarica e installa in modo silenzioso lo strumento di accesso remoto AnyDesk, nascondendone la finestra e l’icona nella barra delle applicazioni;
• Rutserv : scarica e installa in modo silenzioso lo strumento di accesso remoto RUT-Serv;
• Shell : esegue un ciclo di comandi PowerShell. Invia un messaggio iniziale “Shell running…”, quindi interroga il server ogni 5 secondi per nuovi comandi, che vengono eseguiti utilizzando Invoke-Expression, e quindi i risultati vengono inviati indietro;
• Av — elenca i software antivirus e di sicurezza installati sul computer tramite query WMI (SELECT * FROM AntiVirusProduct nello spazio dei nomi root\SecurityCenter2). I risultati vengono inviati al server di controllo.

Oltre a questi comandi, gli operatori di Skitnet possono sfruttare le funzionalità del loader .NET, che consente l’esecuzione di script PowerShell in memoria per personalizzare ulteriormente gli attacchi.

Gli esperti sottolineano che, sebbene i gruppi estorsivi utilizzino spesso strumenti propri, adattati per operazioni specifiche e difficili da rilevare da parte degli antivirus, il loro sviluppo non è economico e richiede il coinvolgimento di sviluppatori qualificati, non sempre disponibili.

Utilizzare malware standard come Skitnet è più economico, consente una distribuzione più rapida e rende più difficile l’attribuzione perché il malware è utilizzato da molti aggressori.

I ricercatori di Prodaft hanno pubblicato su GitHub degli indicatori di compromissione relativi a Skitnet.

C2 servers

github.com/prodaft/malware-ioc…

109.120.179.170
178.236.247.7
181.174.164.47
181.174.164.41
181.174.164.4
181.174.164.240
181.174.164.2
181.174.164.180
181.174.164.140
181.174.164.107
181.174.164.238

L'articolo Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware proviene da il blog della sicurezza informatica.

Dall’inizio del 2025, l’app di messaggistica Telegram ha consegnato alle autorità i dati di 22.777 utenti, ovvero più di tre volte in più rispetto allo stesso periodo del 2024, quando furono scoperti 5.826 account.

Le informazioni provengono da un repository GitHub in cui vengono pubblicati i report sulla trasparenza di Telegram per Paese. Secondo questi dati, solo negli Stati Uniti, da gennaio a marzo sono stati trasferiti i dati di 1.664 utenti, per un totale di 576 richieste ricevute dalle autorità statunitensi.

Telegram, nonostante la sua immagine di piattaforma per la comunicazione libera, è da tempo utilizzato non solo per comunicare con gli amici, ma anche come piattaforma per attività illegali, che vanno da falsi schemi finanziari al traffico di armi e al gioco d’azzardo. In passato, Pavel Durov, il fondatore del servizio, ha sempre dichiarato il suo impegno a favore della libertà di parola e il suo rifiuto di collaborare con le agenzie governative.

Tuttavia, la posizione cambiò dopo il suo arresto in Francia nel 2024. Allora le autorità del Paese chiesero a Telegram di fornire informazioni su un caso di abusi su minori e il rifiuto dell’azienda si concluse con l’arresto del suo responsabile.

Da allora, l’approccio di Telegram alle richieste è cambiato. Il servizio ha iniziato a rispondere in modo più attivo alle richieste delle forze dell’ordine. L’app di messaggistica dispone addirittura di uno speciale bot che consente agli utenti di scoprire quante richieste sono state ricevute nel loro Paese e quanti account sono stati interessati. Sebbene il bot sia limitato alla registrazione di un utente specifico, esistono risorse di terze parti e canali Telegram in cui vengono pubblicate versioni aggiornate dei report. Una di queste risorse è curata da Tek, specialista in tecnologia di Human Rights Watch.

Secondo i dati aggiornati di GitHub, Telegram ha elaborato almeno 13.615 richieste provenienti da diversi paesi nel primo trimestre del 2025. Di conseguenza, sono state trasferite informazioni su 22.277 utenti. A titolo di paragone, il numero di richieste di questo tipo nello stesso periodo del 2024 era significativamente inferiore.

Il numero di richieste provenienti dalla Francia è aumentato in modo particolarmente significativo, passando da 4 a 668. Nel 2024, 17 utenti sono stati esposti tramite queste richieste e nel 2025 sono stati 1.425. La Romania, che non era inclusa nei rapporti dell’anno precedente, ha inviato 37 richieste nel 2025, ricevendo dati su 88 account.

Questi cambiamenti avvengono sullo sfondo di relazioni tese tra Durov e le autorità francesi. Dopo il suo arresto nel 2024, non ha potuto lasciare la Francia per molto tempo, ma nel marzo 2025 i suoi avvocati sono riusciti a ottenere la sua liberazione temporanea, dopodiché è volato a Dubai. Da quel momento in poi, ha iniziato a pubblicare post al vetriolo sui social media, tra cui allusioni a pressioni politiche.

Così, dopo le elezioni in Romania, in cui ha vinto un candidato centrista, Durov ha accusato uno Stato dell’Europa occidentale, di cui non ha fatto il nome, di aver tentato di interferire nel processo elettorale. Sul suo canale Telegram ha scritto che un certo regime europeo gli aveva chiesto di “sopprimere le voci conservatrici in Romania”, presumibilmente per proteggere la democrazia. Secondo lui, lui rifiutò.

Telegram sottolinea che, nonostante il cambio di rotta, non bloccherà i canali politici o i movimenti di protesta, né in Europa né in altre regioni. Allo stesso tempo, il forte aumento del numero di richieste e del volume di dati divulgati indica che la piattaforma sta gradualmente perdendo il suo status di “paradiso digitale”.

L'articolo Telegram ha ceduto i dati di 22.277 utenti nel 2025. La svolta dopo l’arresto di Durov proviene da il blog della sicurezza informatica.

Every Thursday of the week, Bastian’s Night is broadcast from 21:30 CET (new time).

Bastian’s Night is a live talk show in German with lots of music, a weekly round-up of news from around the world, and a glimpse into the host’s crazy week in the pirate movement aka Cabinet of Curiosities.

If you want to read more about @BastianBB: –> This way

piratesonair.net/bastians-nigh…

Although plenty of us have our preferred language for coding, whether it’s C for its hardware access, Python for its usability, or Fortran for its mathematic prowess, not every language is specifically built for problem solving of a particular nature. Some are built as thought experiments or challenges, like Whitespace or Chicken but aren’t used for serious programming. There are a few languages that fit in the gray area between these regions, and one example of this is the language MOUSE which can now be run on an Arduino.

Although MOUSE was originally meant to be a minimalist language for computers of the late 70s and early 80s with limited memory (even for the era), its syntax looks more like a more modern esoteric language, and indeed it arguably would take a Python developer a bit of time to get used to it in a similar way. It’s stack-based, for a start, and also uses Reverse Polish notation for performing operations. The major difference though is that programs process single letters at a time, with each letter corresponding to a specific instruction. There have been some changes in the computing world since the 80s, though, so [Ivan]’s version of MOUSE includes a few changes that make it slightly different than the original language, but in the end he fits an interpreter, a line editor, graphics primitives, and peripheral drivers into just 2KB of SRAM and 32KB Flash so it can run on an ATmega328P.

There are some other features here as well, including support for PS/2 devices, video output, and the ability to save programs to the internal EEPROM. It’s an impressive setup for a language that doesn’t get much attention at all, but certainly one that threads the needle between usefulness and interesting in its own right. Of course if a language where “Hello world” is human-readable is not esoteric enough, there are others that may offer more of a challenge.

hackaday.com/2025/05/20/the-mo…

Il cittadino americano-israeliano Alexander Gurevich è stato arrestato a Gerusalemme con l’accusa di essere coinvolto in uno dei più grandi attacchi informatici nella storia della finanza decentralizzata. L’attacco in questione riguarda il ponte cross-chain Nomad, che ha portato al furto di circa 190 milioni di dollari in criptovalute nell’agosto 2022.

Secondo la piattaforma analitica TRM Labs, sono stati i loro specialisti a fornire alle agenzie internazionali di contrasto le informazioni che hanno permesso loro di stabilire l’identità di Gurevich. Il suo arresto è stato il risultato del coordinamento tra la polizia israeliana, il Dipartimento di Giustizia degli Stati Uniti, l’FBI e l’Interpol. Gurevich sarà presto estradato negli Stati Uniti; sono già state concordate le necessarie procedure legali.

Nomad Bridge è un protocollo che consente agli utenti di trasferire asset tra diverse blockchain. Il 1° agosto 2022, gli aggressori hanno sfruttato una vulnerabilità nella funzione process() dello smart contract Replica, emersa dopo un aggiornamento. Invece di verificare completamente la prova del messaggio, il sistema accettava qualsiasi transazione con un hash di radice corretto, indipendentemente dalla sua validità. Ciò ha consentito all’aggressore di aggirare il controllo e di prelevare fondi dal bridge.

Lo schema in sé era così primitivo che è stato rapidamente copiato da centinaia di altri wallet: era sufficiente ripetere il formato di una transazione riuscita. L’attacco hacker “in stile mob” che ne risultò si trasformò in un attacco di massa spontaneo, con centinaia di partecipanti che saccheggiarono simultaneamente le risorse del bridge. In totale sono stati rubati più di 190 milioni di dollari in ETH, USDC, WBTC e altri token ERC-20.

Sebbene Gurevich, secondo TRM Labs, non abbia creato l’exploit né lanciato l’attacco, il suo ruolo nel crimine è considerato fondamentale. Ha collaborato con i primi partecipanti ed è stato coinvolto nel riciclaggio di ingenti quantità di beni rubati. I portafogli associati hanno iniziato a ricevere fondi nel giro di poche ore dall’attacco.

Gurevich ha utilizzato il “chain-hopping” per nascondere le sue tracce, trasferendo fondi tra diverse blockchain tramite il mixer Tornado Cash e trasferendo anche ethereum nelle criptovalute anonime Monero (XMR) e Dash. Per incassare la criptovaluta, ha utilizzato exchange non depositari, broker over-the-counter, conti offshore e società fittizie. Una parte dei fondi è stata trasferita in valuta fiat tramite piattaforme che non richiedono la verifica dell’identità.

Nonostante il sistema di occultamento a più stadi e il lungo lasso di tempo trascorso dall’attacco, gli specialisti sono riusciti a tracciare le transazioni e a stabilire un contatto con Gurevich, cosa che ha portato al suo arresto. Secondo i pubblici ministeri, l’uomo avrebbe personalmente prelevato da Nomad Bridge asset digitali per un valore di circa 2,89 milioni di dollari. Inoltre, il 4 agosto 2022, contattò il direttore tecnico di Nomad, ammise di essere alla ricerca di vulnerabilità, si scusò per l’accaduto e chiese addirittura una “ricompensa” di 500 mila dollari.

Inizialmente, nei rapporti di TRM Labs compariva un nome diverso: Ocie Morrell. Tuttavia, il 17 maggio 2025 è stato pubblicato un emendamento che confermava che la questione era in discussione. Al momento del suo arresto, stava tentando di lasciare Israele passando per l’aeroporto Ben Gurion, utilizzando documenti che riportavano il nome Alexander Blok, nome da lui ufficialmente cambiato poco prima dell’arresto.

Il caso Nomad Bridge è considerato uno degli esempi più chiari di come anche le vulnerabilità più semplici nell’infrastruttura DeFi possano portare a furti di massa e alla partecipazione di centinaia di wallet anonimi. Nonostante l’apparente anonimato delle transazioni blockchain, l’analisi delle tracce digitali e la cooperazione internazionale consentono di identificare gli organizzatori anche a distanza di anni.

L'articolo 190 milioni rubati in pochi click: così è stato arrestato l’uomo chiave del caso Nomad proviene da il blog della sicurezza informatica.

Although the idea of containing a plasma within a magnetic field seems straightforward at first, plasmas are highly dynamic systems that will happily escape magnetic confinement if given half a chance. This poses a major problem in nuclear fusion reactors and similar, where escaping particles like alpha (helium) particles from the magnetic containment will erode the reactor wall, among other issues. For stellarators in particular the plasma dynamics are calculated as precisely as possible so that the magnetic field works with rather than against the plasma motion, with so far pretty good results.

Now researchers at the University of Texas reckon that they can improve on these plasma system calculations with a new, more precise and efficient method. Their suggested non-perturbative guiding center model is published in (paywalled) Physical Review Letters, with a preprint available on Arxiv.

The current perturbative guiding center model admittedly works well enough that even the article authors admit to e.g. Wendelstein 7-X being within a few % of being perfectly optimized. While we wouldn’t dare to take a poke at what exactly this ‘data-driven symmetry theory’ approach exactly does differently, it suggests the use machine-learning based on simulation data, which then presumably does a better job at describing the movement of alpha particles through the magnetic field than traditional simulations.

Top image: Interior of the Wendelstein 7-X stellarator during maintenance.

hackaday.com/2025/05/20/pluggi…

Our hacker [Andrew Zonenberg] reports in on his open-source high-speed Ethernet switch. He hasn’t finished yet, but progress has been made.

If you were wondering what might be involved in a high-speed Ethernet switch implementation look no further. He’s been working on this project, on and off, since 2012. His design now includes a dizzying array of parts. [Andrew] managed to snag some XCKU5P FPGAs for cheap, paying two cents in the dollar, and having access to this fairly high-powered hardware affected the project’s direction.

You might be familiar with [Andrew Zonenberg] as we have heard from him before. He’s the guy who gave us the glscopeclient, which is now ngscopeclient.

As perhaps you know, when he says in his report that he is an “experienced RTL engineer”, he is talking about Register-Transfer Level, which is an abstraction layer used by hardware description languages, such as Verilog and VHDL, which are used to program FPGAs. When he says “RTL” he’s not talking about Resistor-Transistor Logic (an ancient method of developing digital hardware) or the equally ancient line of Realtek Ethernet controllers such as the RTL8139.

When it comes to open-source software you can usually get a copy at no cost. With open-source hardware, on the other hand, you might find yourself needing to fork out for some very expensive bits of kit. High speed is still expensive! And… proprietary, for now. If you’re looking to implement Ethernet hardware today, you will have to stick with something slower. Otherwise, stay tuned, and watch this space.

hackaday.com/2025/05/20/workin…

For all that “should have used a 555” is a bit of a meme around here, there’s some truth to it. The humble 555 is a wonderful tool in the right hands. That’s why it’s wonderful to see this all-analog stylus synth project by EE student [DarcyJ] bringing the 555 out for the new generation.

The project is heavily inspired by the vintage stylophone, but has some neat tweaks. A capacitor bank means multiple octaves are available, and using a ladder of trim pots instead of fixed resistors makes every note tunable. [Darcy] of course included the vibrato function of the original, and yes, he used a 555 for that, too. He put a trim pot on that, too, to control the depth of vibrato, which we don’t recall seeing on the original stylophone.

The writeup is very high quality and could be recommended to anyone just getting started in analog (or analogue) electronics– not only does [Darcy] explain his design process, he also shows his pratfalls and mistakes, like in the various revisions he went through before discovering the push-pull amplifier that ultimately powers the speaker.

Since each circuit is separately laid out and indicated on the PCB [Darcy] designed in KiCad for this project. Between that and everything being thru-hole, it seems like [Darcy] has the makings of a lovely training kit. If you’re interested in rolling your own, the files are on GitHub under a CERN-OHL-S v2 license, and don’t forget to check out the demo video embedded below to hear it in action.

Of course, making music on the 555 is hardly a new hack. We’ve seen everything from accordions to paper-tape player pianos to squonkboxes over the years. Got another use for the 555? Let us know about it, in the inevitable shill for our tip line you all knew was coming.

youtube.com/embed/EBShBqbxInw?…

hackaday.com/2025/05/20/stylus…

There’s a section of our community who concern themselves with the technological aspects of preparing for an uncertain future, and for them a significant proportion of effort goes in to communication. This has always included amateur radio, but in more recent years it has been extended to LoRa. To that end, [Bertrand Selva] has created a LoRa communicator, one which uses a Pi Pico, and delivers secure messaging.

The hardware is a rather-nice looking 3D printed case with a color screen and a USB A port for a keyboard, but perhaps the way it works is more interesting. It takes a one-time pad approach to encryption, using a key the same length as the message. This means that an intercepted message is in effect undecryptable without the key, but we are curious about the keys themselves.

They’re a generated list of keys stored on an SD card with a copy present in each terminal on a particular net of devices, and each key is time-specific to a GPS derived time. Old keys are destroyed, but we’re interested in how the keys are generated as well as how such a system could be made to survive the loss of one of those SD cards. We’re guessing that just as when a Cold War spy had his one-time pad captured, that would mean game over for the security.

So if Meshtastic isn’t quite the thing for you then it’s possible that this could be an alternative. As an aside we’re interested to note that it’s using a 433 MHz LoRa module, revealing the different frequency preferences that exist between enthusiasts in different countries.

youtube.com/embed/R846vWyKoqg?…

hackaday.com/2025/05/20/as-the…