L’agenzia francese per la sicurezza informatica ha annunciato un grave attacco che ha colpito settori chiave del Paese. Agenzie governative, aziende di telecomunicazioni, media, settore finanziario e aziende di trasporto sono tutte nel mirino. Dietro la campagna dannosa, che ha sfruttato vulnerabilità precedentemente sconosciute nei dispositivi Ivanti Cloud Services Appliance (CSA), c’è un gruppo di hacker cinesi.

Gli attacchi rilevati sono iniziati a settembre 2024 e sono stati attribuiti al gruppo Houken, le cui attività, secondo gli esperti, si sovrappongono a quelle del cluster di criminali informatici UNC5174, noto anche come Uteus o Uetus, precedentemente monitorato dagli specialisti di Google Mandiant.

L’Agenzia Nazionale Francese per la Sicurezza dei Sistemi Informativi (ANSSI) riferisce che gli aggressori hanno utilizzato non solo vulnerabilità zero-day e un sofisticato rootkit, ma anche un’ampia gamma di strumenti open source sviluppati principalmente da programmatori di lingua cinese. L’infrastruttura di Houken includeva VPN commerciali e server dedicati, che gli hanno permesso di nascondere efficacemente la fonte degli attacchi.

Secondo gli esperti francesi, Houken è stato utilizzato attivamente dai cosiddetti broker di accesso iniziale dal 2023. Questi intermediari hackerano i sistemi e poi cedono l’accesso ad altri criminali informatici che continuano a sfruttare le reti compromesse. Questo approccio prevede la partecipazione di diversi gruppi contemporaneamente, ognuno dei quali svolge la propria parte dell’attacco, dall’identificazione delle vulnerabilità alla loro monetizzazione.

HarfangLab sottolinea che prima un gruppo trova una vulnerabilità , poi un altro la sfrutta su larga scala per penetrare nelle reti, dopodiché l’accesso ottenuto viene venduto alle parti interessate, il più delle volte quelle associate alle agenzie governative. Gli esperti ritengono che l’obiettivo principale dei gruppi UNC5174 e Houken sia quello di ottenere l’accesso a oggetti promettenti per poi venderli a clienti governativi interessati a informazioni di intelligence. Allo stesso tempo, i criminali non si limitano allo spionaggio informatico: in uno degli episodi è stato registrato l’utilizzo dell’accesso per installare miner di criptovalute, il che indica le motivazioni finanziarie degli aggressori.

In precedenza, UNC5174 era collegato ad attacchi ai sistemi SAP NetWeaver, in cui gli aggressori utilizzavano il malware GOREVERSE, una variante di GoReShell. Al gruppo sono inoltre attribuiti attacchi che sfruttavano vulnerabilità nei prodotti Palo Alto Networks, Connectwise ScreenConnect e F5 BIG-IP, attraverso i quali veniva distribuito il malware SNOWLIGHT. Quest’ultimo viene utilizzato per installare uno strumento di tunneling basato su Go chiamato GOHEAVY.

SentinelOne ha segnalato che lo stesso gruppo ha hackerato un’importante azienda mediatica europea nel settembre 2024. Nell’attacco alle organizzazioni francesi, i criminali hanno sfruttato tre vulnerabilità in Ivanti CSA: CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190 . Queste vulnerabilità sono state sfruttate come precedentemente sconosciute, consentendo agli aggressori di infiltrarsi nei sistemi senza essere rilevati, ottenere credenziali e introdursi nell’infrastruttura.

Per introdursi nelle reti, gli aggressori hanno utilizzato tre metodi. Hanno installato direttamente webshell PHP o modificato script PHP esistenti, aggiungendovi funzioni webshell nascoste. Inoltre, hanno utilizzato un rootkit, introdotto a livello di kernel del sistema. Gli aggressori hanno utilizzato attivamente web shell pubbliche note come Behinder e neo-reGeorg. Dopo aver preso piede, hanno utilizzato GOREVERSE per muoversi lateralmente all’interno della rete. Hanno anche utilizzato il tunnel proxy HTTP suo5 e un modulo del kernel Linux chiamato “sysinitd.ko”, precedentemente rilevato da Fortinet.

L'articolo Una pioggia di 0day e di rootkit colpiscono la Francia E’ opera degli hacker cinesi proviene da il blog della sicurezza informatica.

Microsoft ha chiesto agli utenti di ignorare gli errori di Windows Firewallche compaiono dopo l’installazione dell’aggiornamento di anteprima di giugno 2025. Questi avvisi vengono registrati nel Visualizzatore eventi come “Evento 2042” per Windows Firewallcon sicurezza avanzata e sono accompagnati dai messaggi “Lettura configurazione non riuscita” e “Sono disponibili altri dati”.

Gli sviluppatori spiegano che il problema è causato da una nuova funzionalità ancora in fase di sviluppo e non ancora completamente integrata nel sistema operativo. Si sottolinea che gli errori del firewall potrebbero verificarsi solo sui sistemi che eseguono Windows 11 24H2 e non dovrebbero influire sul funzionamento del sistema operativo.

“Dopo aver installato l’aggiornamento di anteprima non di sicurezza di Windows di giugno 2025 (KB5060829), potresti visualizzare un errore nel registro eventi di sicurezza relativo a Windows Firewall con sicurezza avanzata, che puoi tranquillamente ignorare”, ha dichiarato l’azienda in un comunicato.

“Tieni presente che Windows Firewall dovrebbe funzionare normalmente e non è richiesta alcuna azione per prevenire o risolvere questo errore. Questo errore è correlato a una funzionalità attualmente in fase di sviluppo e non ancora completamente implementata.”

Gli esperti Microsoft scrivono che stanno già lavorando per risolvere questo problema e promettono di fornire nuovi dettagli il prima possibile. Vale la pena notare che negli ultimi mesi gli utenti Windows hanno riscontrato regolarmente problemi simili che interessano varie funzioni di Windows e comportano la visualizzazione di avvisi errati. Ad esempio, nell’aprile 2025, l’azienda ha corretto un bug che causava la comparsa di errori di crittografia BitLocker sui dispositivi Windows 10 e Windows 11.

Nello stesso mese, Microsoft ha annunciato una correzione per un altro problema che causava la comparsa di errori 0x80070643 dopo l’installazione degli aggiornamenti di aprile di Windows Recovery Environment (WinRE).

L'articolo Microsoft consiglia di ignorare alcuni eventi di Windows Firewall dopo l’aggiornamento di giugno 2025 proviene da il blog della sicurezza informatica.

Like the rest of us, 8-bit hardware is not getting any newer, and failed ROMs are just a fact of life. Of course you can’t call up Commadore corporation for replacement parts anymore, so something is needed. [Peirs Rocks] wasn’t satisfied with the existing options, so he came up with the Software Defined Retro ROM to serve as a drop-in replacement for 2364, 2332, and 2316 ROM chips.

Physically, the Software Defined Retro ROM is a PCB that matches the footprint of the original ROM chip, and holds an STM32F4 family microcontroller with a number of extra pins facing upwards. Some of those pins are for programming, so you can flash the board in-situ without removing it from the system using a Pi Pico. The others pins are jumpers for image selection or chip configuration. Depending which STM32 you use, you can have upto 16 ROM images on the board, at whatever chip select behaviour you require. The ROM’s chip select lines could be configured at the factory to answer to HIGH or LOW, and this board can handle either with a jumper swap.

The documentation on the GitHub is very well done, for which we applaud [Piers]. Instructions and demos are also available in the video embedded below. We could certainly see this hack becoming popular in the retrocomputer community, especially as everything ages and memories continue to, uh, y’know. What were we talking about, again?

Oh, right, ROMs. You might think an mask ROM would last a very long time, but it’s been a very long time since some of these were made. Best to dump them while you still can. If the chip is really far gone electrically, you might try decoding a photograph of the die.

youtube.com/embed/Jhe4LF5LrZ8?…

hackaday.com/2025/07/05/softwa…

Fate attenzione se avete intenzione di giocare a Call of Duty: WW2 tramite Game Pass su PC. Gli utenti hanno iniziato a segnalare una grave vulnerabilità che consente agli hacker di eseguire comandi da remoto sul computer di qualcun altro. I primi avvisi sono apparsi solo poche ore fa, ma alcuni giocatori sostengono che il problema sia presente da anni.

Call of Duty: WW2 è uscito su Game Pass il 30 giugno, l’ultimo arrivato della serie. Si prevede che altri titoli si aggiungeranno presto, ma la sua popolarità potrebbe rapidamente scemare se la minaccia non verrà affrontata.

just so everyone is aware WW2 gamepass is not safe at all @FaZeScope @MikeRxqe @charlieINTEL pic.twitter.com/qezemWqz3h
— ߷ Colt JDS 7 ߷ (@Drivnn) July 2, 2025

L’esecuzione di comandi da remoto (RCE) consente agli aggressori di accedere al computer di un altro giocatore ed eseguirvi codice arbitrario. Ciò può portare sia al furto di dati che all’installazione di malware. Nonostante gli sforzi degli sviluppatori e la presenza di sistemi anti-cheat, le vulnerabilità RCE continuano a manifestarsi anche nel 2025.

Non è ancora noto se la vulnerabilità sia stata risolta dopo l’aggiornamento, ma a giudicare dai messaggi sui social network, il problema è ancora rilevante.

I giocatori pubblicano screenshot e descrizioni di episodi terrificanti. Un utente ha raccontato che, mentre giocava, si è improvvisamente aperto sul secondo monitor un sito web con contenuti espliciti. Un altro giocatore, un noto blogger con lo pseudonimo di BAMS, ha riferito di essere stato disconnesso dalla rete utilizzando il suo stesso gamertag.

Al momento della pubblicazione, Activision non ha rilasciato dichiarazioni ufficiali. Non è chiaro quanto sia diffusa la vulnerabilità né se siano state adottate misure per risolverla. Se la situazione non dovesse cambiare, l’interesse per i classici titoli di Call of Duty su Game Pass potrebbe rapidamente scemare.

L'articolo RCE in Call of Duty: WW2 tramite Game Pass su PC proviene da il blog della sicurezza informatica.

Sometimes a write-up of a piece of retrocomputing hardware goes way beyond the hardware itself and into the industry that spawned it, and thus it is with [OldVCR]’s resurrection of a Blasto arcade board from 1978. It charts the history of Gremlin Industries, a largely forgotten American pioneer in the world of arcade games, and though it’s a long read it’s well worth it.

The board itself uses an Intel 8080, and is fairly typical of microcomputer systems from the late 1970s. Wiring it up requires a bit of detective work, particularly around triggering the 8080’s reset, but eventually it’s up and playing with a pair of Atari joysticks. The 8080 is a CPU we rarely see here.

The history of the company is fascinating, well researched, and entertaining. What started as an electronics business moved into wall games, early coin-op electronic games, and thence into the arcade segment with an 8080 based system that’s the precursor of the one here. They even released a rather impressive computer system based on the same hardware, but since it was built into a full-sized desk it didn’t sell well. For those of us new to Gremlin Industries the surprise comes at the end, they were bought by Sega and became that company’s American operation. In that sense they never went away, as their successor is very much still with us. Meanwhile if you have an interest in the 8080, we have been there for you.

hackaday.com/2025/07/05/a-feas…

If you’re a regular GitHub user you’ll be familiar with the website’s graphical calendar display of activity as a grid. For some of you it will show a hive of activity, while for others it will be a bit spotty. If you’re proud of your graph though, you’ll want to show it off to the world, and that’s where [HarryHighPants]’ Git Contributions E-Ink Display comes in. It’s a small desktop appliance with a persistent display, that shows the current version of your GitHub graph.

At its heart is an all-in-one board with the display and an ESP32 on the back, with a small Li-Po cell. It’s all put in a smart 3D printed case. The software is the real trick, with a handy web interface from which you can configure your GitHub details.

It’s a simple enough project, but it joins a growing collection which use an ESP32 as a static information display. The chip is capable of more though, as shown by this much more configurable device.

hackaday.com/2025/07/05/track-…

Gli scienziati hanno compiuto un passo importante nella lotta contro il diabete: hanno imparato a stampare isole pancreatiche umane funzionanti utilizzando una stampante 3D e uno speciale inchiostro biologico. Questa tecnologia potrebbe sostituire completamente le iniezioni di insulina in futuro.

Un team internazionale di ricercatori guidato dal Dott. Quentin Perrier ha sviluppato un metodo per stampare le isole di Langerhans, le cellule che producono insulina presenti nel tessuto pancreatico. Queste isole vengono talvolta trapiantate nei pazienti tramite iniezione nel fegato, ma l’efficacia del metodo rimane limitata. Questo vale in particolare per 59 milioni di persone con diabete di tipo 1, secondo l’International Diabetes Federation.

I ricercatori hanno proposto un metodo di trapianto meno invasivo, sottocutaneo. L’obiettivo, hanno spiegato, era ricreare l’ambiente naturale del pancreas, dove le cellule trapiantate potessero sopravvivere e funzionare meglio.

La stampa delle isole ha richiesto una messa a punto precisa della stampante 3D e l’utilizzo di uno speciale bioinchiostro. La struttura dell’inchiostro replicava l’ambiente di supporto di un vero pancreas. L’utilizzo di bassa pressione e basse velocità di stampa ha permesso alle cellule di mantenere la loro forma ed evitare danni che in precedenza avevano impedito la creazione di un modello completo.

Il bioinchiostro conteneva alginato e tessuto pancreatico umano purificato, fornendo alle isole pancreatiche ossigeno e nutrienti. I test di laboratorio hanno dimostrato che oltre il 90% delle cellule è rimasto vivo e funzionante per tre settimane. Hanno risposto meglio ai livelli di glucosio e hanno rilasciato più insulina al momento giusto rispetto ai farmaci standard.

Al 21° giorno dell’esperimento, le isole hanno mostrato una sensibilità particolarmente elevata alla glicemia. Gli scienziati ritengono che la struttura porosa abbia svolto un ruolo importante, fornendo nutrimento e saturazione di ossigeno, nonché condizioni favorevoli per la formazione di vasi sanguigni dopo il trapianto.

Lo studio è uno dei primi a utilizzare vere isole pancreatiche umane, anziché cellule animali. Il Dott. Perrier afferma che i risultati alimentano la speranza di un trattamento per il diabete pronto all’uso che un giorno potrebbe sostituire completamente le iniezioni di insulina. I ricercatori sottolineano che tali progressi arrivano in un momento in cui i ricercatori coltivano sempre più organi umani in laboratorio.

Il team sta attualmente testando l’efficacia della tecnologia su modelli animali e sta cercando modi per conservare le isole per lunghi periodi di tempo, incluso il congelamento. Il team sta anche esplorando la possibilità di utilizzare altre fonti cellulari, come cellule staminali e isole di maiale, per contribuire a superare la carenza di donatori. La microtecnologia si sta sviluppando rapidamente in campo medico e potrebbe essere utilizzata in questi studi.

Sebbene ci sia ancora molto lavoro da fare, i ricercatori sono fiduciosi che la nuova tecnica possa diventare la base per una terapia personalizzata in grado di migliorare significativamente la qualità della vita di milioni di persone. Allo stesso tempo, gli esperti sottolineano l’importanza di garantire la sicurezza nello sviluppo di tecnologie mediche di nuova generazione .

Подробнее: securitylab.ru/news/560850.php

L'articolo Sviluppo rivoluzionario nella lotta contro il diabete: isole pancreatiche stampate in 3D proviene da il blog della sicurezza informatica.

Un nuovo annuncio pubblicato su un noto forum underground da parte dell’utente SinCity mette in vendita l’accesso amministrativo completo a un e-commerce italiano nel settore beauty. La piattaforma in questione è basata su NewCart CMS, e secondo quanto riportato, l’accesso offerto consente la modifica diretta dei template – inclusa la possibilità di inserire codice JavaScript.

Dettagli dell’annuncio:

• Piattaforma: CMS NewCart
• Tema: Beauty
• Accesso: Admin Panel con privilegi Super Admin
• Funzionalità disponibile: inserimento diretto di codice JS nei template
• Sistema di pagamento: reindirizzamento (redirect)
• Ordini attivi: circa 1.000 al mese (dati maggio e giugno 2025)
• Prezzo di partenza: 400$ – rilanci da 100$
• Durata asta: 12h dall’ultimo rilancio

Questa vendita espone tutti i clienti del portale a rischi concreti: esfiltrazione di dati personali e finanziari, campagne di formjacking o skimming tramite JavaScript malevolo, compromissione della reputazione e potenziali danni legali e reputazionali.

Inoltre, l’elevato volume di ordini mensili rende l’accesso molto appetibile per operatori di ransomware o gruppi focalizzati su frodi con carte di credito.

Questo è l’ennesimo caso che conferma come le PMI italiane – in particolare quelle del commercio elettronico – siano un bersaglio ricorrente degli Initial Access Broker. La vendita di accessi privilegiati su marketplace criminali resta uno dei principali vettori di ingresso per ransomware e attacchi supply chain.

L’importanza della Cyber Threat Intelligence

Quanto emerso dalla vendita di accessi da parte degli Initial Access Broker (IAB) evidenzia, ancora una volta, quanto sia fondamentale disporre di un solido programma di Cyber Threat Intelligence (CTI). Gli IAB rappresentano un anello critico nella catena del cybercrime, fornendo a gruppi ransomware o altri attori malevoli l’accesso iniziale alle infrastrutture compromesse. Identificare tempestivamente queste dinamiche, monitorando forum underground e canali riservati, consente di anticipare minacce prima che si traducano in veri e propri attacchi.

Oggi la CTI non è più un’opzione, ma un pilastro strategico dei programmi di sicurezza informatica. Non si tratta solo di analizzare indicatori di compromissione (IoC) o condividere report: si parla di comprendere il contesto, le motivazioni degli attori ostili e il loro interesse verso specifici settori o target. Una corretta attività di intelligence avrebbe potuto, in questo caso, segnalare anomalie o pattern riconducibili a un potenziale interesse da parte di un broker d’accesso verso l’azienda in questione, fornendo al team di sicurezza il tempo per prepararsi e rafforzare i propri sistemi.

In uno scenario dove il tempo tra l’intrusione iniziale e l’escalation dell’attacco si riduce sempre più, la capacità di raccogliere, analizzare e agire sulle informazioni strategiche rappresenta un vantaggio competitivo e operativo. Integrare la CTI nei processi aziendali non solo riduce il rischio, ma consente di passare da una postura reattiva a una proattiva. Oggi più che mai, nessuna organizzazione può permettersi di ignorare il valore della Cyber Threat Intelligence.

Se sei interessato ad approfondire il mondo del dark web e della Cyber Threat Intelligence, Red Hot Cyber organizza corsi formativi dedicati sia in Live Class che in modalità eLearning. Le Live Class sono lezioni interattive svolte in tempo reale con i nostri esperti, che ti permettono di porre domande, confrontarti con altri partecipanti e affrontare simulazioni pratiche guidate. I corsi in eLearning, invece, sono fruibili in autonomia, disponibili 24/7 tramite piattaforma online, ideali per chi ha bisogno di massima flessibilità, con contenuti aggiornati, quiz e laboratori hands-on. Entrambe le modalità sono pensate per rendere accessibile e comprensibile la CTI anche a chi parte da zero, offrendo un percorso concreto per sviluppare competenze operative nel campo della sicurezza informatica. Per informazioni contatta formazione@redhotcyber.com oppure tramite WhatsApp al numero 379 163 8765.

L'articolo Quale E-commerce italiano da 1.000 ordini/mese a breve griderà “Data Breach”? proviene da il blog della sicurezza informatica.

Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della criminalità, con decine di centri di frode online ancora operativi nonostante le promesse pubbliche delle autorità di tenere sotto controllo il problema.

Come mostrano i dati, nel Paese continuano a operare almeno 53 grandi complessi, dove vengono svolte attività fraudolente, principalmente legate a criptovalute e schemi di investimento. Oltre a questi, gli esperti hanno individuato altri 45 oggetti sospetti, dotati di sistemi di sicurezza, telecamere di sorveglianza e recinzioni di filo spinato. Tutto ciò assomiglia a campi ben sorvegliati da cui è quasi impossibile fuggire.

Ubicazione dei complessi di truffe documentate (Amnesty International)

Secondo il rapporto, la maggior parte dei centri ha legami diretti con la criminalità organizzata cinese e il fatturato complessivo di tali organizzazioni nella regione del Sud-est asiatico può raggiungere i 40 miliardi di dollari all’anno. Dietro la facciata di allettanti annunci di lavoro si nasconde una vera e propria catena di montaggio di lavoro forzato, tratta di esseri umani e frode.

I sopravvissuti hanno raccontato ad Amnesty International di essere stati attirati in Cambogia con il pretesto di buoni lavori e di come, una volta arrivati, si siano ritrovati in complessi sorvegliati e circondati da filo spinato, dove erano costretti a partecipare a frodi: alcuni corrispondevano direttamente con le vittime, altri si occupavano di processi interni, dalla logistica alla creazione di falsi siti web.

Spesso le persone venivano fotografate e filmate per usare le loro immagini per aprire conti bancari e riciclare denaro. Erano comuni anche le cosiddette truffe di “macellazione dei maiali”, in cui i truffatori impiegavano mesi a costruire la fiducia delle potenziali vittime prima di ingannarle.

Numerose testimonianze indicano che alcuni membri delle forze di sicurezza cambogiane potrebbero collaborare con gli organizzatori di attività criminali. Amnesty International ha documentato casi in cui la polizia o il personale militare hanno fatto irruzione in tali complessi, ma non si sono verificati cambiamenti concreti: le attività sono continuate. Inoltre, secondo le vittime, le persone sono state talvolta trasferite in altri centri poco prima delle presunte ispezioni.

Dei 53 complessi esaminati, solo due sono stati chiusi completamente. Allo stesso tempo, un terzo delle strutture, secondo il rapporto, non è stato affatto controllato dalle forze dell’ordine, nonostante le informazioni a riguardo fossero state preventivamente trasmesse alle autorità.

Amnesty International sottolinea che, anche se una persona viene “salvata”, la situazione sul campo rimane la stessa. Spesso la polizia non entra nel complesso, ma incontra una guardia di sicurezza al cancello, che fa uscire solo coloro che sono riusciti a denunciarsi. Dopo il rilascio, le persone vengono spesso collocate nei centri per migranti, dove devono vivere per settimane in condizioni difficili e pagarsi il cibo.

La situazione si sta già estendendo oltre i confini della Cambogia, complicando le relazioni con i paesi limitrofi. Pertanto, il Primo Ministro thailandese Patongtarn Shinawatra ha annunciato una serie di misure severe contro le reti fraudolente che operano vicino al confine. Secondo lei, molte strutture criminali provenienti dal Myanmar si sono trasferite in Cambogia. In risposta, la Thailandia ha temporaneamente vietato i valichi di frontiera nel sud del paese e ha interrotto le forniture di carburante ed elettricità.

Le autorità thailandesi hanno inoltre intensificato le indagini sulle transazioni finanziarie legate a schemi fraudolenti, tra cui i “muli”, individui attraverso i cui conti scorre denaro illecito. La pressione internazionale sulla Cambogia sta aumentando anche da altre direzioni. A settembre, il Dipartimento del Tesoro degli Stati Uniti ha sanzionato un potente uomo d’affari e senatore del partito al governo, accusandolo di legami con l’industria delle frodi e di violazioni dei diritti umani.

L'articolo Truffe e Schiavitù Digitali: La Cambogia è la Capitale Mondiale della Frode Online proviene da il blog della sicurezza informatica.

It’s always clock time at Hackaday, and this time we have an interesting hack of a clock by [danjovic]– the CIS4, a Cistercian digital clock.

The Cistertians, in case you weren’t paying close attention to European holy orders during the 13th to 15th centuries were the group of monks you’d most likely have found us in. They were the hackers of the middle ages, establishing monestaries across western Europe that were chock full of hacks– including their own numeral system. Cistercian numerals were much more efficient (in spaces and penstrokes) than the Roman numerals they replaced, and even the “Arabic” numerals that replaced them. A single glyph could record anything from 1 to 9,999. (The Europeans hadn’t yet cottoned on to zero.)
The Cistertian glyphs reduced to a 4×4 display.
Depending how you wanted to count time, a single glyph could be used; it looks like [danjovic] is using the thousands and hundreds portions of the glyph for hours and the tens and ones for minutes. This is all accomplished with a 4×4 neopixel matrix, run by an Attiny85 Digispark with a DS3231 RTC module keeping time. A slight simplification is required to reduce the glyphs to 4×4, but we don’t think the monks would mind. For those of us who don’t wear tonsures, an easy read mode scrolls the time in Arabic numerals. (Which still aren’t super easy,with only 4×4 LEDs to display them. See the demo video embedded below and try and guess the time.)

One nice quality of life feature is an LDR for ambient light detection, to automatically adjust the neopixels’ brightness. The hackiest part, which we thought was really clever, is the enclosure: it’s a cheap LED ceiling light. This provides a diffuser, housing and mounting hardware with decent design for no effort. A 3D-printed mask sits between the diffuser and the LEDs and doubles as a PCB holder. All very elegant.

[danjovic] did include a buzzer in the design, but does say if its been programed to sound off for matins, nones and vespers. In any case, at least it’s easier to read than his binary-coded-octal clock that we featured a few years back. This isn’t our first look at this number system,so evidently people can read them with practice.

Have you made or seen a cool clock? Send us a tip. We always have time for clocks.

youtube.com/embed/SzCixDgRb0g?…

hackaday.com/2025/07/04/cis-4-…

Gaming on a Nintendo DS can bring back great memories of long car trips from the past. But looking back, we remember wishing to play more than the DS could ever hope to handle. [fami] looks into the SuperCard DSTWO in her recent video, a solution to our past sorrows.

Able to play anything from the very games designed for the DS to emulated PS1 games, the DSTWO is more than capable of surpassing the abilities of the DS itself. More impressively, all games are run directly from the cartridge itself rather than on the DS’s hardware. While this emulated console within a handheld is impressive, it is far from simple to get running.

The DSTWO runs with an Ingenic JZ4732 as the CPU, completely different from any native architecture of the DS. Pair this with the unhelpful SDK made for the cartridge, and the aging hardware is held together by the community development behind any improvements. This is aided by the CPU similarities of another widely modded game console, the Dingoo A320.

When not having a fit, and after going through hours of troubleshooting, you might find the DSTWO running a game of SimCity 2000 or even Spyro the Dragon inside a DS. Even with the difficulties of use, the fact that these games run at all is impressive. If you want to try the DSTWO emulation yourself, check out the forums.

This is far from the only example of extreme care going into emulation. Here at Hackaday, we have covered similarly impressive projects such as this completely DIY handheld made for any retro game emulation you throw at it.

youtube.com/embed/uq0pJmd7GAA?…

Thanks to DjBiohazard for the tip!

hackaday.com/2025/07/04/runnin…

EFI from cables is something every ham loves to hate. What if you modulated, that, though, using an ordinary cable as an antenna? If you used something ubiquitous like a video cable, you might have a very interesting exploit– which is exactly what [Xieyang Sun] and their colleagues have done withTEMPEST-LoRa, a technique to encode LoRa packages into video files.

The concept is pretty simple: a specially-constructed video file contains information to be broadcast via LoRa– the graphics card and the video cable serve as the Tx, and the Rx is any LoRa module. Either VGA or HDMI cables can be used, though the images to create the LoRa signal are obviously going to differ in each case. The only restriction is that the display resolution must be 1080×1920@60Hz, and the video has to play fullscreen. Fullscreen video might make this technique easy to spot if used in an exploit, but on the other hand, the display does not have to be turned on at the time of transmission. If employed by blackhats, one imagines syncing this to power management so the video plays whenever the screen blanks.
This image sends LoRa. Credit: TEMPEST-LoRa
According to the pre-print, a maximum transmission distance of 81.7m was achieved, and at 21.6 kbps. That’s not blazing fast, sure, but transmission out of a totally air-gapped machine even at dialup speeds is impressive. Code is on the GitHub under an MIT license, though [Xieyang Sun] and the team are white hats, so they point out that it’s provided for academic use.There is a demo video, but as it is on bilbili we don’t have an easy way to embed it. The work has been accepted to the ACM Conference on Computer and Communications Security (2025), so if you’re at the event in Taiwan be sure to check it out.

We’ve seen similar hacks before,like this one that uses an ethernet cable as an antenna. Getting away from RF, others haveused fan noise, or even theonce-ubiquitous HDD light. (And here we thought casemakers were just cheaping out when they left those off– no, it’s security!)

Thanks to [Xieyang Sun] for the tip! We’ll be checking the tips line for word from you, just as soon as we finish wrapping ferrites around all our cables.

hackaday.com/2025/07/04/video-…

Lo specialista della sicurezza mr.d0x ha sviluppato l’attacco FileFix, una nuova versione dell’attacco ClickFix che induce l’utente a eseguire comandi dannosi tramite il prompt di Windows Explorer.

Gli attacchi ClickFix si basano sull’ingegneria sociale. Recentemente, diverse varianti di questi attacchi sono diventate comuni. In genere, le vittime vengono attirate su siti fraudolenti e indotte con l’inganno a copiare ed eseguire comandi PowerShell dannosi. In altre parole, infettano manualmente il proprio sistema con malware.

Gli aggressori eseguono determinati comandi risolvendo problemi di visualizzazione del contenuto nel browser o chiedendo all’utente di risolvere un CAPTCHA falso. Sebbene gli attacchi ClickFix prendano di mira più spesso gli utenti Windows convinti a eseguire comandi PowerShell, i ricercatori di sicurezza hanno già segnalato campagne mirate anche agli utenti macOS e Linux.

Secondo ESET, l’uso di ClickFix come vettore di accesso iniziale è aumentato del 517% tra la seconda metà del 2024 e la prima metà del 2025. Nei attacchi ClickFix, quando un utente clicca su un pulsante su un sito web fraudolento, un comando PowerShell dannoso viene automaticamente copiato negli appunti di Windows. Alla vittima viene quindi chiesto di incollarlo nella riga di comando tramite la combinazione di tasti Win+R.

Il ricercatore ha proposto il seguente scenario teorico per un attacco FileFix. Tutto inizia ancora una volta con una pagina di phishing, ma invece di CAPTCHA o falsi errori, la pagina potrebbe visualizzare una notifica che un file è stato condiviso con l’utente. Per trovare il file, il percorso dovrebbe essere copiato e incollato in Explorer.

La pagina di phishing potrebbe contenere un pulsante ‘Apri Esplora file‘, che se cliccato avvierà Esplora file (utilizzando la funzionalità di caricamento file) e copierà il comando PowerShell negli appunti, spiega mr.d0x.

Un aggressore può persino mascherare un comando dannoso aggiungendo un percorso di file fittizio a un commento di PowerShell. Come mostra il video dimostrativo qui sotto, questo farà sì che Esplora file mostri solo il percorso fittizio nella barra degli indirizzi, mentre il comando dannoso rimane nascosto.

Poiché l’apertura di Explorer richiede l’utilizzo della funzionalità di caricamento file, il ricercatore ha progettato attentamente FileFix per impedire la selezione casuale di file dal computer della vittima. Ad esempio, sono state aggiunte diverse righe al codice della pagina di phishing di prova che bloccano le azioni di caricamento file “intercettando l’evento di selezione file e cancellando immediatamente l’input”.

L'articolo Nuova minaccia informatica: l’attacco FileFix di mr.d0x proviene da il blog della sicurezza informatica.