The Macintosh Plus was Apple’s third version on the all-in-one Mac, and for its time it was a veritable powerhouse. If you don’t have one here in 2025 there are a variety of ways to emulate it, but should you wish for something closer to the silicon there’s now [max1zzz]’s all-new Mac Plus motherboard in a mini-ITX form factor to look forward to.

As with other retrocomputing communities, the classic Mac world has seen quite a few projects replacing custom parts with modern equivalents. Thus it has reverse engineered Apple PALs, a replacement for the Sony sound chip, an ATtiny based take on the Mac real-time clock, and a Pi Pico that does VGA conversion. It’s all surface mount save for the connectors and the 68000, purely because a socketed processor allows for one of the gold-and-ceramic packages to be used. The memory is soldered, but with 4 megabytes, this is well-specced for a Mac Plus.

At the moment it’s still in the prototype spin phase, but plenty of work is being done and it shows meaningful progress towards an eventual release to the world. We are impressed, and look forward to the modern takes on a Mac Plus which will inevitably come from it. While you’re waiting, amuse yourself with a lower-spec take on an early Mac.

Thanks [DosFox] for the tip.

hackaday.com/2025/05/21/a-new-…

Una riflessione sull'autoreferenzialità con cui invadiamo i social media.

noblogo.org/transit/l-ombelico…

Transit

2025-05-21 15:20:40

L' ombelico del mondo.

(165)

Guardarsi l’ombelico, sui #socialmedia è diventata una delle dinamiche comunicative più evidenti e problematiche del nostro tempo. Si manifesta come una continua conferma del proprio punto di vista all’interno di comunità digitali omogenee, dove gli utenti si confrontano quasi esclusivamente con contenuti che rispecchiano le loro convinzioni. Questo fenomeno crea un effetto di “eco chamber” (camera dell’eco), termine coniato per descrivere gli ambienti chiusi in cui le opinioni vengono amplificate e rafforzate dal continuo rimando tra soggetti che condividono idee simili.

La dinamica ha conseguenze profonde sulla qualità del dibattito pubblico, in particolare su temi complessi e controversi come la politica, l’ambiente, i diritti civili o la scienza. L’autoreferenzialità riduce la possibilità di confronto, impedisce l’incontro con punti di vista differenti e genera una polarizzazione che ostacola l’approfondimento. I social media, in teoria, dovrebbero essere strumenti potenti per la condivisione della conoscenza e la promozione del dialogo, ma nella pratica spesso si trasformano in spazi di conferma identitaria, dove l’obiettivo principale è ottenere consenso e visibilità piuttosto che interrogarsi, dubitare o cambiare opinione.

Secondo Eli Pariser, autore del saggio “The Filter Bubble: What the Internet Is Hiding from You” (2021), gli algoritmi che regolano le piattaforme digitali personalizzano i contenuti che vediamo in base ai nostri comportamenti precedenti. Questo porta a una selezione automatica delle informazioni che rafforza la nostra visione del mondo e riduce l’esposizione a fonti alternative o critiche. E’ una bolla filtrante, dove ogni contenuto che entra è già stato pre-selezionato per piacere, non per stimolare il pensiero critico.

Il problema, dunque, non è solo sociale o culturale, ma anche strutturale: le stesse piattaforme sono progettate per massimizzare il tempo di permanenza degli utenti, non per favorire il confronto aperto. In questo contesto, l’autoreferenzialità diventa una forma di autodifesa e, al tempo stesso, di auto-promozione. Gli utenti non cercano un dialogo autentico, ma piuttosto la legittimazione della propria identità e delle proprie idee. Questo spiega perché spesso gli argomenti più seri vengano affrontati con superficialità o, peggio, strumentalizzati per ottenere like e approvazione.

Un altro contributo utile alla riflessione è quello di Sherry Turkle, psicologa e sociologa del MIT, nel suo libro “Reclaiming Conversation: The Power of Talk in a Digital Age” (2015). Turkle sostiene che la comunicazione mediata da schermo impoverisce la qualità del dialogo e porta a evitare i confronti più complessi, quelli che richiedono tempo, empatia e disponibilità all’ascolto.

Essere autoreferenziali rappresenta una piccola sfida per la democrazia e per la crescita culturale collettiva. Per andare oltre, è necessario sviluppare una nuova alfabetizzazione digitale, che insegni non solo a usare le piattaforme, ma anche a riconoscere i propri bias, a cercare attivamente il dissenso e ad apprezzare la complessità. Solo così i social potranno diventare davvero strumenti di apertura e non semplici specchi narcisistici.

E dato che tutti, prima o poi, ce la suoniamo solo per sentirci bene, più benvoluti, più apprezzati forse è il momento per cambiare musica.

#Blog #SocialMedia #Opinioni #Società

Mastodon: @alda7069@mastodon.unoTelegram: t.me/transitblogFriendica: @danmatt@poliverso.orgBio Site (tutto in un posto solo, diamine): bio.site/danielemattioli

Gli scritti sono tutelati da “Creative Commons” (qui)

Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com

Transit

Il blog di Alessandra Corubolo & Daniele Mattioli. On line -in varie forme- dal 2005.

^Telegram

If legend is to be believed, three disparate social forces in early 20th-century America – the temperance movement, the rise of car culture, and the Scots-Irish culture of the South – collided with unexpected results. The temperance movement managed to get Prohibition written into the Constitution, which rankled the rebellious spirit of the descendants of the Scots-Irish who settled the South. In response, some of them took to the backwoods with stills and sacks of corn, creating moonshine by the barrel for personal use and profit. And to avoid the consequences of this, they used their mechanical ingenuity to modify their Fords, Chevrolets, and Dodges to provide the speed needed to outrun the law.

Though that story may be somewhat apocryphal, at least one of those threads is still woven into the American story. The moonshiner’s hotrod morphed into NASCAR, one of the nation’s most-watched spectator sports, and informed much of the car culture of the 20th century in general. Unfortunately, that led in part to our current fossil fuel predicament and its attendant environmental consequences, which are now being addressed by replacing at least some of the gasoline we burn with the same “white lightning” those old moonshiners made. The cost-benefit analysis of ethanol as a fuel is open to debate, as is the wisdom of using food for motor fuel, but one thing’s for sure: turning corn into ethanol in industrially useful quantities isn’t easy, and it requires some Big Chemistry to get it done.

Heavy on the Starch

As with fossil fuels, manufacturing ethanol for motor fuel starts with a steady supply of an appropriate feedstock. But unlike the drilling rigs and pump jacks that pull the geochemically modified remains of half-billion-year-old phytoplankton from deep within the Earth, ethanol’s feedstock is almost entirely harvested from the vast swathes of corn that carpet the Midwest US (Other grains and even non-grain plants are used as feedstock in other parts of the world, but we’re going to stick with corn for this discussion. Also, other parts of the world refer to any grain crop as corn, but in this case, corn refers specifically to maize.)
Don’t try to eat it — you’ll break your teeth. Yellow dent corn is harvested when full of starch and hard as a rock. Credit: Marjhan Ramboyong.
The corn used for ethanol production is not the same as the corn-on-the-cob at a summer barbecue or that comes in plastic bags of frozen Niblets. Those products use sweet corn bred specifically to pack extra simple sugars and less starch into their kernels, which is harvested while the corn plant is still alive and the kernels are still tender. Field corn, on the other hand, is bred to produce as much starch as possible, and is left in the field until the stalks are dead and the kernels have converted almost all of their sugar into starch. This leaves the kernels dry and hard as a rock, and often with a dimple in their top face that gives them their other name, dent corn.

Each kernel of corn is a fruit, at least botanically, with all the genetic information needed to create a new corn plant. That’s carried in the germ of the kernel, a relatively small part of the kernel that contains the embryo, a bit of oil, and some enzymes. The bulk of the kernel is taken up by the endosperm, the energy reserve used by the embryo to germinate, and as a food source until photosynthesis kicks in. That energy reserve is mainly composed of starch, which will power the fermentation process to come.

Starch is mainly composed of two different but related polysaccharides, amylose and amylopectin. Both are polymers of the simple six-carbon sugar glucose, but with slightly different arrangements. Amylose is composed of long, straight chains of glucose molecules bound together in what’s called an α-1,4 glycosidic bond, which just means that the hydroxyl group on the first carbon of the first glucose is bound to the hydroxyl on the fourth carbon of the second glucose through an oxygen atom:
Amylose, one of the main polysaccharides in starch. The glucose subunits are connected in long, unbranched chains up to 500 or so residues long. The oxygen atom binding each glucose together comes from a reaction between the OH radicals on the 1 and 4 carbons, with one oxygen and two hydrogens leaving in the form of water.
Amylose chains can be up to about 500 or so glucose subunits long. Amylopectin, on the other hand, has shorter straight chains but also branches formed between the number one and number six carbon, an α-1,6 glycosidic bond. The branches appear about every 25 residues or so, making amylopectin much more tangled and complex than amylose. Amylopectin makes up about 75% of the starch in a kernel.

Slurry Time

Ethanol production begins with harvesting corn using combine harvesters. These massive machines cut down dozens of rows of corn at a time, separating the ears from the stalks and feeding them into a threshing drum, where the kernels are freed from the cob. Winnowing fans and sieves separate the chaff and debris from the kernels, which are stored in a tank onboard the combine until they can be transferred to a grain truck for transport to a grain bin for storage and further drying.
Corn harvest in progress. You’ve got to burn a lot of diesel to make ethanol. Credit: dvande – stock.adobe.com
Once the corn is properly dried, open-top hopper trucks or train cars transport it to the distillery. The first stop is the scale house, where the cargo is weighed and a small sample of grain is taken from deep within the hopper by a remote-controlled vacuum arm. The sample is transported directly to the scale house for a quick quality assessment, mainly based on moisture content but also the physical state of the kernels. Loads that are too wet, too dirty, or have too many fractured kernels are rejected.

Loads that pass QC are dumped through gates at the bottom of the hoppers into a pit that connects to storage silos via a series of augers and conveyors. Most ethanol plants keep a substantial stock of corn, enough to run the plant for several days in case of any supply disruption. Ethanol plants operate mainly in batch mode, with each batch taking several days to complete, so a large stock ensures the efficiency of continuous operation.
The Lakota Green Plains ethanol plant in Iowa. Ethanol plants look a lot like small petroleum refineries and share some of the same equipment. Source: MsEuphonic, CC BY-SA 3.0.
To start a batch of ethanol, corn kernels need to be milled into a fine flour. Corn is fed to a hammer mill, where large steel weights swinging on a flywheel smash the tough pericarp that protects the endosperm and the germ. The starch granules are also smashed to bits, exposing as much surface area as possible. The milled corn is then mixed with clean water to form a slurry, which can be pumped around the plant easily.

The first stop for the slurry is large cooking vats, which use steam to gently heat the mixture and break the starch into smaller chains. The heat also gelatinizes the starch, in a process that’s similar to what happens when a sauce is thickened with a corn starch slurry in the kitchen. The gelatinized starch undergoes liquefaction under heat and mildly acidic conditions, maintained by injecting sulfuric acid or ammonia as needed. These conditions begin hydrolysis of some of the α-1,4 glycosidic bonds, breaking the amylose and amylopectin chains down into shorter fragments called dextrin. An enzyme, α-amylase, is also added at this point to catalyze the α-1,4 bonds to create free glucose monomers. The α-1,6 bonds are cleaved by another enzyme, α-amyloglucosidase.

The Yeast Get Busy

The result of all this chemical and enzymatic action is a glucose-rich mixture ready for fermentation. The slurry is pumped to large reactor vessels where a combination of yeasts is added. Saccharomyces cerevisiae, or brewer’s yeast, is the most common, but other organisms can be used too. The culture is supplemented with ammonia sulfate or urea to provide the nitrogen the growing yeast requires, along with antibiotics to prevent bacterial overgrowth of the culture.

Fermentation occurs at around 30 degrees C over two to three days, while the yeast gorge themselves on the glucose-rich slurry. The glucose is transported into the yeast, where each glucose molecule is enzymatically split into two three-carbon pyruvate molecules. The pyruvates are then broken down into two molecules of acetaldehyde and two of CO₂. The two acetaldehyde molecules then undergo a reduction reaction that creates two ethanol molecules. The yeast benefits from all this work by converting two molecules of ADP into two molecules of ATP, which captures the chemical energy in the glucose molecule into a form that can be used to power its metabolic processes, including making more yeast to take advantage of the bounty of glucose.
Anaerobic fermentation of one mole of glucose yields two moles of ethanol and two moles of CO₂.
After the population of yeast grows to the point where they use up all the glucose, the mix in the reactors, which contains about 12-15% ethanol and is referred to as beer, is pumped into a series of three distillation towers. The beer is carefully heated to the boiling point of ethanol, 78 °C. The ethanol vapors rise through the tower to a condenser, where they change back into the liquid phase and trickle down into collecting trays lining the tower. The liquid distillate is piped to the next two towers, where the same process occurs and the distillate becomes increasingly purer. At the end of the final distillation, the mixture is about 95% pure ethanol, or 190 proof. That’s the limit of purity for fractional distillation, thanks to the tendency of water and ethanol to form an azeotrope, a mixture of two or more liquids that boils at a constant temperature. To drive off the rest of the water, the distillate is pumped into large tanks containing zeolite, a molecular sieve. The zeolite beads have pores large enough to admit water molecules, but too small to admit ethanol. The water partitions into the zeolite, leaving 99% to 100% pure (198 to 200 proof) ethanol behind. The ethanol is mixed with a denaturant, usually 5% gasoline, to make it undrinkable, and pumped into storage tanks to await shipping.

Nothing Goes to Waste

The muck at the bottom of the distillation towers, referred to as whole stillage, still has a lot of valuable material and does not go to waste. The liquid is first pumped into centrifuges to separate the remaining grain solids from the liquid. The solids, called wet distiller’s grain or WDG, go to a rotary dryer, where hot air drives off most of the remaining moisture. The final product is dried distiller’s grain with solubles, or DDGS, a high-protein product used to enrich animal feed. The liquid phase from the centrifuge is called thin stillage, which contains the valuable corn oil from the germ. That’s recovered and sold as an animal feed additive, too.
Ethanol fermentation produces mountains of DDGS, or dried distiller’s grain solubles. This valuable byproduct can account for 20% of an ethanol plant’s income. Source: Inside an Ethanol Plant (YouTube).
The final valuable product that’s recovered is the carbon dioxide. Fermentation produces a lot of CO₂, about 17 pounds per bushel of feedstock. The gas is tapped off the tops of the fermentation vessels by CO₂ scrubbers and run through a series of compressors and coolers, which turn it into liquid carbon dioxide. This is sold off by the tanker-full to chemical companies, food and beverage manufacturers, who use it to carbonate soft drinks, and municipal water treatment plants, where it’s used to balance the pH of wastewater.

There are currently 187 fuel ethanol plants in the United States, most of which are located in the Midwest’s corn belt, for obvious reasons. Together, these plants produced more than 16 billion gallons of ethanol in 2024. Since each bushel of corn yields about 3 gallons of ethanol, that translates to an astonishing 5 billion bushels of corn used for fuel production, or about a third of the total US corn production.

hackaday.com/2025/05/21/big-ch…

Il codice sorgente del pannello affiliato del malware VanHelsing RaaS (ransomware-as-a-service) è stato reso di pubblico dominio. Non molto tempo prima, l’ex sviluppatore aveva provato a vendere il codice sorgente sul forum di hacking RAMP.

Il ransomware VanHelsing è stato lanciato nel marzo 2025 e i suoi creatori hanno affermato che era in grado di attaccare sistemi basati su Windows, Linux, BSD, ARM ed ESXi. Secondo Ransomware.live, da allora almeno otto vittime sono state preda di attacchi ransomware.

All’inizio di questa settimana, qualcuno che utilizzava il nickname th30c0der ha tentato di vendere sul darknet il codice sorgente del pannello e dei siti affiliati di VanHelsing, nonché build di ransomware per Windows e Linux. Il prezzo sarebbe stato determinato da una asta, con un’offerta iniziale di 10.000 dollari.

“Vendita del codice sorgente del ransomware vanhelsing: chiavi TOR incluse + pannello di amministrazione web + chat + file server + blog, inclusi tutti i database”, ha scritto th30c0der sul forum di hacking RAMP.

Secondo il ricercatore di sicurezza informatica Emanuele De Lucia, gli operatori di VanHelsing hanno deciso di anticipare il venditore e hanno pubblicato loro stessi il codice sorgente del ransomware. Hanno anche affermato che th30c0der è uno dei loro ex sviluppatori di malware che cerca di truffare la gente e vendere vecchi codici sorgente.

“Oggi annunciamo che pubblicheremo i vecchi codici sorgente e che presto pubblicheremo una nuova e migliorata versione del locker (VanHelsing 2.0)”, hanno affermato gli operatori di VanHelsing su RAMP.

In risposta a ciò, th30c0der ha affermato che le sue informazioni sono più complete, poiché gli sviluppatori di VanHelsing non hanno pubblicato il Linux Builder né alcun database, il che potrebbe essere particolarmente utile per le forze dell’ordine e i ricercatori sulla sicurezza informatica.

I giornalisti della rivista Bleeping Computer hanno studiato i codici sorgente pubblicati e hanno confermato che contengono un vero e proprio builder per la versione Windows del malware, nonché il codice sorgente per il pannello di affiliazione e il sito per il “drenaggio” dei dati.

Secondo i ricercatori, il codice sorgente del builder è un pasticcio e i file di Visual Studio si trovano nella cartella Release, solitamente utilizzata per archiviare i file binari compilati e gli artefatti di build.

Si noti inoltre che l’utilizzo del generatore VanHelsing richiede un po’ di lavoro aggiuntivo, poiché si connette al pannello di affiliazione all’indirizzo 31.222.238[.]208 per recuperare i dati. Considerando che il dump contiene il codice sorgente del pannello in cui si trova l’endpoint api.php, gli aggressori possono modificare il codice o eseguire la propria versione del pannello per far funzionare il builder.

Inoltre, l’archivio pubblicato contiene il codice sorgente del ransomware per Windows, che può essere utilizzato per creare una build, un decryptor e un loader autonomi.

Tra le altre cose, la pubblicazione rileva che gli aggressori, a quanto pare, hanno tentato di creare un blocco MBR che avrebbe sostituito il master boot record con un bootloader personalizzato che avrebbe visualizzato un messaggio relativo al blocco.

L'articolo VanHelsing Ransomware: il codice sorgente trapelato rivela segreti sconcertanti proviene da il blog della sicurezza informatica.

Automotive racing is a grueling endeavor, a test of one’s mental and physical prowess to push an engineered masterpiece to its limit. This is all the more true of 24 hour endurance races where teams tag team to get the most laps of a circuit in over a 24 hour period. The format pushes cars and drivers to the very limit. Doing so on a $500 budget as presented by the 24 hours of Lemons makes this all the more impressive!

Of course, racing on a $500 budget is difficult to say the least. All the expected Fédération Internationale de l’Automobile (FIA) safety requirements are still in place, including roll cage, seats and fire extinguisher. However, brakes, wheels, tires and safety equipment are not factored into the cost of the car, which is good because an FIA racing seat can run well in excess of the budget. Despite the name, most races are twelve to sixteen hours across two days, but 24 hour endurance races are run. The very limiting budget and amateur nature of the event has created a large amount of room for teams to get creative with car restorations and race car builds.

The 24 Hours of Le-MINES Team and their 1990 Miata
One such team we had the chance of speaking to goes by the name 24 Hours of Le-Mines. Their build is a wonderful mishmash of custom fabrication and affordable parts. It’s built from a restored 1999 NA Miata complete with rusted frame and all! Power is handled by a rebuilt 302 Mustang engine of indeterminate age.

The stock Miata brakes seem rather small for a race car, but are plenty for a car of its weight. Suspension is an Amazon special because it only has to work for 24 hours. The boot lid (or trunk if you prefer) is held down with what look to be over-sized RC car pins. Nestled next to the PVC pipe inlet pipe is a nitrous oxide canister — we don’t know if it’s functional or for show, but we like it nonetheless. The scrappy look is completed with a portion of the road sign fabricated into a shifter cover.

The team is unsure if the car will end up racing, but odds are if you are reading Hackaday, you care more about the race cars then the actual racing. Regardless, we hope to see this Miata in the future!

This is certainly not the first time we have covered 24 hour endurance engineering, like this solar powered endurance plane.

hackaday.com/2025/05/21/a-look…

Introduction

Imagine a container zombie outbreak where a single infected container scans the internet for an exposed Docker API, and bites exploits it by creating new malicious containers and compromising the running ones, thus transforming them into new “zombies” that will mine for Dero currency and continue “biting” new victims. No command-and-control server is required for the delivery, just an exponentially growing number of victims that are automatically infecting new ones. That’s exactly what the new Dero mining campaign does.

During a recent compromise assessment project, we detected a number of running containers with malicious activities. Some of the containers were previously recognized, while others were not. After forensically analyzing the containers, we confirmed that a threat actor was able to gain initial access to a running containerized infrastructure by exploiting an insecurely published Docker API. This led to the running containers being compromised and new ones being created not only to hijack the victim’s resources for cryptocurrency mining but also to launch external attacks to propagate to other networks. The diagram below describes the attack vector:

Infection chain

The entire attack vector is automated via two malware implants: the previously unknown propagation malware nginx and the Dero crypto miner. Both samples are written in Golang and packed with UPX. Kaspersky products detect these malicious implants with the following verdicts:

• nginx: Trojan.Linux.Agent.gen;
• Dero crypto miner: RiskTool.Linux.Miner.gen.

nginx: the propagation malware

This malware is responsible for maintaining the persistence of the crypto miner and its further propagation to external systems. This implant is designed to minimize interaction with the operator and does not require a delivery C2 server. nginx ensures that the malware spreads as long as there are users insecurely publishing their Docker APIs on the internet.

The malware is named “nginx” to masquerade as the well-known legitimate nginx web server software in an attempt to evade detection by users and security tools. In this post, we’ll refer to this malware as “nginx”.

After unpacking the nginx malware, we parsed the metadata of the Go binary and were able to determine the location of the Go source code file at compilation time: “/root/shuju/docker2375/nginx.go”.

Nginx source code file

Infecting the container

The malware starts by creating a log file at “/var/log/nginx.log”.

Log file creation

This log file will be used later to log the running activities of the malware, including data like the list of infected machines, the names of created malicious containers on those machines, and the exit status code if there were any errors.

Malware operations log

After that, in a new process, a function called main.checkVersion loops infinitely to make sure that the content of a file located at “/usr/bin/version.dat” inside the compromised container always equals 1.4. If the file contents were changed, this function overwrites them.

Ensuring that version.dat exists and contains 1.4

If version.dat doesn’t exist, the malicious function creates this file with the content 1.4, then sleeps for 24 hours before the next iteration.

Creating version.dat if it doesn’t exist

The malware uses the version.dat file to identify the already infected containers, which we’ll describe later.
The nginx sample then executes the main.monitorCloudProcess function that loops infinitely in a new process making sure that a process named cloud, which is a Dero miner, is running. First, the malware checks whether or not the cloud process is running. If it’s not, nginx executes the main.startCloudProcess function to launch the miner.

Monitoring and executing the cloud process

In order to execute the miner, the main.startCloudProcess function attempts to locate it at “/usr/bin/cloud”.

Executing the miner

Spreading the infection

Host search

Next, the nginx malware will go into an infinite loop of generating random IPv4 /16 network subnets to scan them and compromise more networks with the main.generateRandomSubnet function.

Infinite loop of network subnets generation and scanning

The subnets with the respective IP ranges will be passed to the main.scanSubnet function to be scanned via masscan, a port scanning tool installed in the container by the malware, which we will describe in more detail later. The scanner is looking for an insecure Docker API published on the internet to exploit by scanning the generated subnet via the following command: masscan -p 2375 -oL – –max-rate 360.

Scanning the generated subnet via masscan

The output of masscan is parsed via regex to extract the IPv4s that have the default Docker API port 2375 open. Then the extracted IPv4s are passed to the main.checkDockerDaemon function. It checks if the remote dockerd daemon on the host with a matching IPv4 is running and responsive. To do this, the malware attempts to list all running containers on the remote host by executing a docker -H PS command. If it fails, nginx proceeds to check the next IPv4.

Remotely listing running containers

Container creation

After confirming that the remote dockerd daemon is running and responsive, nginx generates a container name with 12 random characters and uses it to create a malicious container on the remote target.

Container name generation

The malicious container is created with docker -H run -dt –name –restart always ubuntu:18.04 /bin/bash. The malware uses a –restart always flag to start the newly created containers automatically when they exit.

Malicious container created on a new host

Then nginx prepares the new container to install dependencies later by updating the packages via docker -H exec apt-get -yq update.

Updating container packages

Next, the malicious sample uses a docker -H exec apt-get install -yq masscan docker.io command to install masscan and docker.io in the container, which are dependencies for the malware to interact with the Docker daemon and to perform the external scan to infect other networks.

Remotely installing the malware dependencies inside the newly created container

Then it transfers the two malicious implants, nginx and cloud, to the container by executing docker -H cp -L /usr/bin/ :/usr/bin.

Transferring nginx and cloud to the newly created container

The malware maintains persistence by adding the transferred nginx binary to /root/.bash_aliases to make sure that it will automatically execute upon shell login. This is done via a docker -H exec bash –norc -c \'echo \"/usr/bin/nginx &\" > /root/.bash_aliases\' command.

Adding the nginx malware to .bash_aliases for persistence

Compromising running containers

Up until this point, the malware has only created new malicious containers. Now, it will try to compromise the ubuntu:18.04-based running containers. The sample first executes the main.checkAndOperateContainers function to check all the running containers on the remote vulnerable host for two conditions: the container has an ubuntu:18.04-base and it doesn’t contain a version.dat file, which is an indicator that the container had been previously infected.

Listing and compromising existing containers on the remote target

If these conditions are satisfied, the malware executes the main.operateOnContainer function to proceed with the same attack vector described earlier to infect the running container. The infection chain is repeated, hijacking the container resources to scan and compromise more containers and mining for the Dero cryptocurrency.

That way, the malware does not require a C2 connection and also maintains its activity as long as there is an insecurely published Docker API that can be exploited to compromise running containers and create new ones.

cloud – the Dero miner

Executing and maintaining cloud, the crypto miner, is the primary goal of the nginx sample. The miner is also written in Golang and packed with UPX. After unpacking the binary, we were able to attribute it to the open-source DeroHE CLI miner project found on GitHub. The threat actor wrapped the DeroHE CLI miner into the cloud malware, with a hardcoded mining configuration: a wallet address and a DeroHE node (derod) address.

If no addresses were passed as arguments, which is the case in this campaign, the cloud malware uses the hardcoded encrypted configuration as the default configuration. It is stored as a Base64-encoded string that, after decoding, results in an AES-CTR encrypted blob of a Base64-encoded wallet address, which is decrypted with the main.decrypt function. The configuration encryption indicates that the threat actors attempt to sophisticate the malware, as we haven’t seen this in previous campaigns.

Decrypting the crypto wallet address

Upon decoding this string, we uncovered the wallet address in clear text: dero1qyy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537vux60xxkx6hs7zqgde993y.

Behavioral analysis of the decryption function

Then the malware decrypts another two hardcoded AES-CTR encrypted strings to get the dero node addresses via a function named main.sockz.

Function calls to decrypt the addresses

The node addresses are encrypted the same way the wallet address is, but with other keys. After decryption, we were able to obtain the following addresses: d.windowsupdatesupport[.]link and h.wiNdowsupdatesupport[.]link.

Decoded addresses in memory

The same wallet address and the derod node addresses had been observed before in a campaign that targeted Kubernetes clusters with Kubernetes API anonymous authentication enabled. Instead of transferring the malware to a compromised container, the threat actor pulls a malicious image named pauseyyf/pause:latest, which is published on Docker Hub and contains the miner. This image was used to create the malicious container. Unlike the current campaign, the attack vector was meant to be stealthy as threat actors didn’t attempt to move laterally or scan the internet to compromise more networks. These attacks were seen throughout 2023 and 2024 with minor changes in techniques.

Takeaways

Although attacks on containers are less frequent than on other systems, they are not less dangerous. In the case we analyzed, containerized environments were compromised through a combination of a previously known miner and a new sample that created malicious containers and infected existing ones. The two malicious implants spread without a C2 server, making any network that has a containerized infrastructure and insecurely published Docker API to the internet a potential target.

Analysis of Shodan shows that in April 2025, there were 520 published Docker APIs over port 2375 worldwide. It highlights the potential destructive consequences of the described threat and emphasizes the need for thorough monitoring and container protection.

Docker APIs published over port 2375 ports worldwide, January–April 2025 (download)

Building your containerized infrastructure from known legitimate images alone doesn’t guarantee security. Just like any other system, containerized applications can be compromised at runtime, so it’s crucial to monitor your containerized infrastructure with efficient monitoring tools like Kaspersky Container Security. It detects misconfigurations and monitors registry images, ensuring the safety of container environments. We also recommend proactively hunting for threats to detect stealthy malicious activities and incidents that might have slipped unnoticed on your network. The Kaspersky Compromise Assessment service can help you not only detect such incidents, but also remediate them and provide immediate and effective incident response activities.

Indicators of compromise

File hashes
094085675570A18A9225399438471CC9 nginx
14E7FB298049A57222254EF0F47464A7 cloud

File paths
NOTE: Certain file path IoCs may lead to false positives due to the masquerading technique used.
/usr/bin/nginx
/usr/bin/cloud
/var/log/nginx.log
/usr/bin/version.dat

Derod nodes addresses
d.windowsupdatesupport[.]link
h.wiNdowsupdatesupport[.]link

Dero wallet address
dero1qyy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537vux60xxkx6hs7zqgde993y

securelist.com/dero-miner-infe…

Nel labirinto digitale in cui la nostra vita si svolge sempre più frequentemente, siamo costantemente bombardati da stimoli che promettono gratificazione immediata: un like sui social media, l’accesso istantaneo a informazioni, la comodità di un click.

In questo contesto di appagamento istantaneo, un potente meccanismo psicologico, il Bias del Presente, agisce silenziosamente, influenzando le nostre decisioni online, spesso a discapito della nostra sicurezza cibernetica. Questo articolo esplorerà come la nostra innata tendenza a privilegiare i benefici immediati rispetto alle conseguenze future ci rende vulnerabili ai pericoli del cyberspazio, analizzando le sue manifestazioni più comuni e suggerendo strategie per mitigare i rischi.

La sirena della gratificazione immediata

La nostra vita virtuale è un palcoscenico di interazioni fugaci e desideri istantanei. La notifica che promette un premio immediato, il link allettante che cattura la nostra curiosità, l’applicazione “gratuita” che ci offre un accesso senza intoppi: tutte queste sirene digitali fanno leva sul nostro innato desiderio di gratificazione immediata. In questi frangenti, il Bias del Presente prende il sopravvento sulla nostra razionalità, spingendoci a compiere azioni che, se valutate con una prospettiva a lungo termine, apparirebbero palesemente rischiose. Clicchiamo impulsivamente, condividiamo incautamente e accettiamo condizioni senza la dovuta diligenza, attratti dalla promessa di un appagamento immediato, ignorando i potenziali pericoli che si celano dietro l’angolo digitale.

Password facili e clic impulsivi

Consideriamo l’esempio emblematico delle password. La creazione e la memorizzazione di password complesse e uniche rappresentano un piccolo “costo” immediato in termini di tempo e sforzo cognitivo. Tuttavia, il beneficio a lungo termine di una maggiore sicurezza e della protezione dai tentativi di accesso non autorizzato è incommensurabilmente più grande. Eppure, molti di noi cedono alla tentazione della semplicità, scegliendo password banali e facilmente prevedibili, spinti dal desiderio di un accesso rapido e senza intoppi ai nostri account. Il Bias del Presente ci impedisce di percepire appieno la gravità del rischio futuro, focalizzandoci unicamente sulla piccola “scomodità” del momento.

Lo stesso principio si applica alla nostra interazione con link ed allegati sconosciuti. La promessa di un’offerta esclusiva, di un’informazione sensazionale o di un video virale fa leva sulla nostra curiosità e sul desiderio di essere “sul pezzo”. Cliccare su un link sospetto o scaricare un allegato da una fonte non verificata offre una gratificazione immediata (la potenziale scoperta di qualcosa di interessante), ma ci espone al rischio concreto di malware, phishing e furto di dati personali. Il Bias del Presente ci rende ciechi al potenziale danno futuro, accecati dal luccichio effimero dell’interesse immediato.

Il costo nascosto della condivisione

Anche la nostra presenza sui social media è profondamente influenzata da questo bias. La ricerca di validazione sociale attraverso “like” e commenti, il desiderio di condividere momenti della nostra vita per sentirci connessi e parte di una comunità, ci spingono spesso a trascurare le implicazioni a lungo termine della nostra impronta digitale. Condividiamo informazioni personali, dettagli sulla nostra posizione, opinioni controverse, senza considerare appieno come questi dati potrebbero essere utilizzati in futuro, magari contro di noi. La gratificazione immediata dell’interazione sociale e del riconoscimento prevale sulla prudenza e sulla consapevolezza dei rischi per la nostra privacy a lungo termine.

La seduzione della continuità

Il Bias del Presente si insinua anche nel nostro approccio agli aggiornamenti software e alle misure di sicurezza. L’installazione di un aggiornamento può sembrare un’interruzione fastidiosa della nostra attività online immediata. Ignoriamo i promemoria, posticipiamo l’operazione, attratti dalla continuità del nostro flusso digitale attuale. Tuttavia, questi aggiornamenti spesso contengono patch di sicurezza cruciali che ci proteggono da vulnerabilità note. La nostra impazienza e il desiderio di mantenere inalterato il nostro presente digitale ci rendono bersagli più facili per gli attacchi informatici che sfruttano proprio quelle falle di sicurezza non sanate.

Coltivare la forza mentale per un mondo digitale sicuro

Sviluppare la forza mentale non è un processo passivo, ma richiede impegno e pratica costante. Ecco alcune strategie per rafforzare la nostra resilienza psichica nel contesto digitale. Invece di considerare le azioni pratiche di sicurezza come meri compiti da spuntare su una lista, incorniciamole come atti di auto-compassione digitale.

Ogni password robusta che creiamo è un abbraccio protettivo alla nostra identità online, uno scudo eretto con cura contro l’intrusione.

Aggiornare il software diventa un atto di nutrimento del nostro ecosistema digitale, fornendogli le vitamine necessarie per resistere alle malattie del web.

Essere scettici prima di cliccare non è solo prudenza, ma un esercizio di intelligenza emotiva digitale, riconoscendo che non tutte le offerte scintillanti sono genuine.

Pensare due volte prima di condividere online è un atto di mindfulness digitale, una pausa consapevole per valutare l’impronta emotiva che lasciamo nel mondo virtuale.

Configurare impostazioni di privacy restrittive è un modo per definire i nostri confini psicologici online, proteggendo la nostra energia mentale dalla dispersione.

Fare backup regolari è un atto di resilienza emotiva anticipata, preparandoci con cura per eventuali “lutti” digitali.

In definitiva, ogni azione pratica di sicurezza è intrisa di psicologia: è un atto di auto-efficacia, un modo tangibile per riprendere il controllo in un ambiente digitale che spesso ci fa sentire impotenti.

In conclusione, la sicurezza nel mondo digitale non è solo una questione di strumenti e tecnologie, ma anche di forza mentale. Coltivare la consapevolezza, la gestione dell’attenzione, il pensiero critico e l’intelligenza emotiva ci permette di diventare utenti più resilienti e capaci di proteggerci attivamente dalle insidie del cyberspazio. Investire nella nostra forza mentale è investire nella nostra sicurezza digitale a lungo termine. Non si tratta solo di proteggere dati, ma di proteggere la nostra tranquillità mentale, la nostra fiducia e la nostra capacità di vivere serenamente nell’era digitale. Che ne pensate?

L'articolo Il Bias del Presente! E’ il nemico subdolo della tua sicurezza informatica! proviene da il blog della sicurezza informatica.

Taking a break from his usual prodding at suspicious AliExpress USB chargers, [DiodeGoneWild] recently had a gander at what used to be a good USB charger.
The Anker 737 USB charger prior to its autopsy.
Before it went completely dead, the Anker 737 GaNPrime USB charger which a viewer sent him was capable of up to 120 Watts combined across its two USB-C and one USB-A outputs. Naturally the charger’s enclosure couldn’t be opened non-destructively, and it turned out to have (soft) potting compound filling up the voids, making it a treat to diagnose. Suffice it to say that these devices are not designed to be repaired.

With it being an autopsy, the unit got broken down into the individual PCBs, with a short detected that eventually got traced down to an IC marked ‘SW3536’, which is one of the ICs that communicates with the connected USB device to negotiate the voltage. With the one IC having shorted, it appears that it rendered the entire charger into an expensive paperweight.

Since the charger was already in pieces, the rest of the circuit and its ICs were also analyzed. Here the gallium nitride (GaN) part was found in the Navitas GaNFast NV6136A FET with integrated gate driver, along with an Infineon CoolGaN IGI60F1414A1L integrated power stage. Unfortunately all of the cool technology was rendered useless by one component developing a short, even if it made for a fascinating look inside one of these very chonky USB chargers.

youtube.com/embed/-JV5VGO55-I?…

hackaday.com/2025/05/21/fault-…

Da febbraio 2024, il Chrome Web Store ha iniziato a distribuire componenti aggiuntivi dannosi per il browser, camuffati da utili utility, ma in realtà utilizzati per rubare dati, dirottare sessioni ed eseguire codice arbitrario. Questi componenti aggiuntivi sono creati da un gruppo sconosciuto e sono rivolti a utenti che cercano strumenti di produttività, servizi VPN, piattaforme bancarie e crittografiche, nonché strumenti per l’analisi e la creazione di contenuti multimediali.

Secondo il team di DomainTools Intelligence, gli aggressori stanno creando siti web falsi che sembrano servizi reali come DeepSeek, Manus, DeBank, FortiVPN e Site Stats. Queste pagine reindirizzano gli utenti a estensioni false nel Chrome Web Store che sembrano svolgere le funzioni promesse. Tuttavia, oltre a questo, rubano cookie, login e password, iniettano pubblicità, reindirizzano il traffico verso risorse dannose e interferiscono con il contenuto delle pagine web utilizzando la manipolazione del DOM.

Il pericolo è aggravato dal fatto che queste estensioni si assegnano privilegi eccessivi nel file manifest.json. Ciò consente loro di accedere a tutti i siti visitati dall’utente, scaricare codice arbitrario da server remoti, utilizzare WebSocket per instradare il traffico e persino aggirare la protezione della Content Security Policy tramite il gestore di eventi “onreset” incorporato negli elementi DOM temporanei.

Non si sa ancora esattamente come gli utenti arrivino su pagine dannose, ma si presume che vengano utilizzati schemi standard: phishing, pubblicità e link sui social network. DomainTools ha scoperto che i siti contengono spesso tracker di Facebook, che potrebbero indicare una promozione tramite piattaforme Meta: pagine, gruppi e campagne pubblicitarie.

Nonostante gli sforzi di Google per rimuovere le estensioni dannose dal suo store, i criminali informatici dispongono ancora di un’infrastruttura molto vasta: oltre 100 siti falsi ed estensioni correlate. Grazie ai siti web e all’inserimento nell’archivio delle estensioni ufficiale, gli aggressori possono comparire nei risultati di ricerca sia su Internet sia all’interno dello stesso Chrome Web Store, creando l’illusione di legittimità.

Si consiglia agli utenti di scaricare componenti aggiuntivi solo da sviluppatori affidabili, di leggere attentamente le recensioni, di analizzare le autorizzazioni richieste e di evitare estensioni il cui nome o logo ricorda prodotti popolari ma presenta piccole differenze.

L'articolo False VPN, Finti Tool: Le Estensioni Chrome che Rubano Tutto proviene da il blog della sicurezza informatica.

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle reti compromesse.

Secondo gli analisti di Prodaft, il malware è stato pubblicizzato sui forum di hacking dall’aprile 2024 e ha iniziato a guadagnare popolarità tra gli estorsori all’inizio del 2025. Ad esempio, Skitnet è già stato utilizzato negli attacchi degli operatori di BlackBasta e Cactus.

Un’infezione da Skitnet inizia con l’esecuzione di un loader scritto in Rust sul computer di destinazione, che decifra il binario Nim crittografato con ChaCha20 e lo carica nella memoria. Il payload Nim crea una reverse shell basata su DNS per comunicare con il server C&C, avviando una sessione utilizzando query DNS casuali.

Il malware avvia quindi tre thread: uno per inviare richieste di segnalazione DNS, un altro per monitorare ed estrarre l’output della shell e un altro per ascoltare e decifrare i comandi dalle risposte DNS.

I messaggi e i comandi da eseguire vengono inviati tramite HTTP o DNS in base ai comandi inviati tramite il pannello di controllo Skitnet. In questo pannello, l’operatore può visualizzare l’indirizzo IP del target, la sua posizione, il suo stato e inviare comandi per l’esecuzione.

Il malware supporta i seguenti comandi:

• Start: si insinua nel sistema scaricando tre file (tra cui una DLL dannosa) e creando un collegamento al file eseguibile legittimo Asus (ISP.exe) nella cartella di avvio. Ciò attiva un hook DLL che esegue lo script PowerShell pas.ps1 per comunicare continuamente con il server C&C;
• Screen: tramite PowerShell, viene acquisito uno screenshot del desktop della vittima, caricato su Imgur e quindi l’URL dell’immagine viene inviato al server C&C;
• Anydesk : scarica e installa in modo silenzioso lo strumento di accesso remoto AnyDesk, nascondendone la finestra e l’icona nella barra delle applicazioni;
• Rutserv : scarica e installa in modo silenzioso lo strumento di accesso remoto RUT-Serv;
• Shell : esegue un ciclo di comandi PowerShell. Invia un messaggio iniziale “Shell running…”, quindi interroga il server ogni 5 secondi per nuovi comandi, che vengono eseguiti utilizzando Invoke-Expression, e quindi i risultati vengono inviati indietro;
• Av — elenca i software antivirus e di sicurezza installati sul computer tramite query WMI (SELECT * FROM AntiVirusProduct nello spazio dei nomi root\SecurityCenter2). I risultati vengono inviati al server di controllo.

Oltre a questi comandi, gli operatori di Skitnet possono sfruttare le funzionalità del loader .NET, che consente l’esecuzione di script PowerShell in memoria per personalizzare ulteriormente gli attacchi.

Gli esperti sottolineano che, sebbene i gruppi estorsivi utilizzino spesso strumenti propri, adattati per operazioni specifiche e difficili da rilevare da parte degli antivirus, il loro sviluppo non è economico e richiede il coinvolgimento di sviluppatori qualificati, non sempre disponibili.

Utilizzare malware standard come Skitnet è più economico, consente una distribuzione più rapida e rende più difficile l’attribuzione perché il malware è utilizzato da molti aggressori.

I ricercatori di Prodaft hanno pubblicato su GitHub degli indicatori di compromissione relativi a Skitnet.

C2 servers

github.com/prodaft/malware-ioc…

109.120.179.170
178.236.247.7
181.174.164.47
181.174.164.41
181.174.164.4
181.174.164.240
181.174.164.2
181.174.164.180
181.174.164.140
181.174.164.107
181.174.164.238

L'articolo Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware proviene da il blog della sicurezza informatica.

Dall’inizio del 2025, l’app di messaggistica Telegram ha consegnato alle autorità i dati di 22.777 utenti, ovvero più di tre volte in più rispetto allo stesso periodo del 2024, quando furono scoperti 5.826 account.

Le informazioni provengono da un repository GitHub in cui vengono pubblicati i report sulla trasparenza di Telegram per Paese. Secondo questi dati, solo negli Stati Uniti, da gennaio a marzo sono stati trasferiti i dati di 1.664 utenti, per un totale di 576 richieste ricevute dalle autorità statunitensi.

Telegram, nonostante la sua immagine di piattaforma per la comunicazione libera, è da tempo utilizzato non solo per comunicare con gli amici, ma anche come piattaforma per attività illegali, che vanno da falsi schemi finanziari al traffico di armi e al gioco d’azzardo. In passato, Pavel Durov, il fondatore del servizio, ha sempre dichiarato il suo impegno a favore della libertà di parola e il suo rifiuto di collaborare con le agenzie governative.

Tuttavia, la posizione cambiò dopo il suo arresto in Francia nel 2024. Allora le autorità del Paese chiesero a Telegram di fornire informazioni su un caso di abusi su minori e il rifiuto dell’azienda si concluse con l’arresto del suo responsabile.

Da allora, l’approccio di Telegram alle richieste è cambiato. Il servizio ha iniziato a rispondere in modo più attivo alle richieste delle forze dell’ordine. L’app di messaggistica dispone addirittura di uno speciale bot che consente agli utenti di scoprire quante richieste sono state ricevute nel loro Paese e quanti account sono stati interessati. Sebbene il bot sia limitato alla registrazione di un utente specifico, esistono risorse di terze parti e canali Telegram in cui vengono pubblicate versioni aggiornate dei report. Una di queste risorse è curata da Tek, specialista in tecnologia di Human Rights Watch.

Secondo i dati aggiornati di GitHub, Telegram ha elaborato almeno 13.615 richieste provenienti da diversi paesi nel primo trimestre del 2025. Di conseguenza, sono state trasferite informazioni su 22.277 utenti. A titolo di paragone, il numero di richieste di questo tipo nello stesso periodo del 2024 era significativamente inferiore.

Il numero di richieste provenienti dalla Francia è aumentato in modo particolarmente significativo, passando da 4 a 668. Nel 2024, 17 utenti sono stati esposti tramite queste richieste e nel 2025 sono stati 1.425. La Romania, che non era inclusa nei rapporti dell’anno precedente, ha inviato 37 richieste nel 2025, ricevendo dati su 88 account.

Questi cambiamenti avvengono sullo sfondo di relazioni tese tra Durov e le autorità francesi. Dopo il suo arresto nel 2024, non ha potuto lasciare la Francia per molto tempo, ma nel marzo 2025 i suoi avvocati sono riusciti a ottenere la sua liberazione temporanea, dopodiché è volato a Dubai. Da quel momento in poi, ha iniziato a pubblicare post al vetriolo sui social media, tra cui allusioni a pressioni politiche.

Così, dopo le elezioni in Romania, in cui ha vinto un candidato centrista, Durov ha accusato uno Stato dell’Europa occidentale, di cui non ha fatto il nome, di aver tentato di interferire nel processo elettorale. Sul suo canale Telegram ha scritto che un certo regime europeo gli aveva chiesto di “sopprimere le voci conservatrici in Romania”, presumibilmente per proteggere la democrazia. Secondo lui, lui rifiutò.

Telegram sottolinea che, nonostante il cambio di rotta, non bloccherà i canali politici o i movimenti di protesta, né in Europa né in altre regioni. Allo stesso tempo, il forte aumento del numero di richieste e del volume di dati divulgati indica che la piattaforma sta gradualmente perdendo il suo status di “paradiso digitale”.

L'articolo Telegram ha ceduto i dati di 22.277 utenti nel 2025. La svolta dopo l’arresto di Durov proviene da il blog della sicurezza informatica.