I ricercatori hanno scoperto un pacchetto dannoso chiamato fezbox in npm che ruba i cookie delle vittime. Per garantire che l’attività dannosa rimanga inosservata, vengono utilizzati codici QR per scaricare il malware dal server degli aggressori.

Secondo i ricercatori di Socket, gli aggressori hanno trovato un nuovo utilizzo per i codici QR: nascondere codice dannoso al loro interno. Gli analisti hanno segnalato che il pacchetto contiene istruzioni nascoste per scaricare un’immagine JPG con un codice QR, che viene poi elaborato per lanciare un payload offuscato come parte della seconda fase dell’attacco.

Al momento della scoperta del malware, il pacchetto era stato scaricato almeno 327 volte prima che gli amministratori di npm lo rimuovessero. Bleeping Computer sottolinea che il payload dannoso principale si trova nel file dist/fezbox.cjs del pacchetto (usando la versione 1.3.0 come esempio). Il codice nel file è stato minimizzato e reso più facile da leggere dopo la formattazione.

Il malware verifica anche se l’applicazione è in esecuzione in un ambiente di sviluppo per eludere il rilevamento. “Gli aggressori non vogliono rischiare di essere scoperti in un ambiente virtuale o non di produzione, quindi aggiungono restrizioni su quando e come il loro exploit opera”, spiegano i ricercatori. “Se non vengono rilevati problemi, dopo 120 secondi, analizza ed esegue il codice QR all’indirizzo nella stringa invertita.”

Il risultato, una volta effettuato l’accesso, è un URL. Secondo gli esperti, memorizzare gli URL in ordine inverso è una tecnica di mascheramento utilizzata per aggirare gli strumenti di analisi statica che cercano gli URL (quelli che iniziano con http(s)://) nel codice.

A differenza dei codici QR che normalmente incontriamo nella vita reale, questo è insolitamente denso e contiene molti più dati. Come hanno notato i giornalisti, è impossibile da leggere con una normale fotocamera del telefono. Gli aggressori hanno creato appositamente il codice QR per trasmettere codice offuscato che può essere analizzato dal pacchetto. Il payload offuscato legge il cookie tramite document.cookie .

La scoperta di questo malware dimostra un nuovo approccio all’abuso dei codici QR. Un computer infetto può utilizzarli per comunicare con il proprio server di comando e controllo, mentre a un server proxy o a uno strumento di sicurezza di rete, questo apparirà come normale traffico di immagini.

L'articolo Malware Fezbox: il pacchetto NPM che ruba cookie con i QRCode proviene da il blog della sicurezza informatica.

Introduction

The modern development world is almost entirely dependent on third-party modules. While this certainly speeds up development, it also creates a massive attack surface for end users, since anyone can create these components. It is no surprise that malicious modules are becoming more common. When a single maintainer account for popular modules or a single popular dependency is compromised, it can quickly turn into a supply chain attack. Such compromises are now a frequent attack vector trending among threat actors. In the last month alone, there have been two major incidents that confirm this interest in creating malicious modules, dependencies, and packages. We have already discussed the recent compromise of popular npm packages. September 16, 2025 saw reports of a new wave of npm package infections, caused by the self-propagating malware known as Shai-Hulud.

Shai-Hulud is designed to steal sensitive data, expose private repositories of organizations, and hijack victim credentials to infect other packages and spread on. Over 500 packages were infected in this incident, including one with more than two million weekly downloads. As a result, developers who integrated these malicious packages into their projects risk losing sensitive data, and their own libraries could become infected with Shai-Hulud. This self-propagating malware takes over accounts and steals secrets to create new infected modules, spreading the threat along the dependency chain.

Technical details

The worm’s malicious code executes when an infected package is installed. It then publishes infected releases to all packages the victim has update permissions for.

Once the infected package is installed from the npm registry on the victim’s system, a special command is automatically executed. This command launches a malicious script over 3 MB in size named bundle.js, which contains several legitimate, open-source work modules.

Key modules within bundle.js include:

• Library for interacting with AWS cloud services
• GCP module that retrieves metadata from the Google Cloud Platform environment
• Functions for TruffleHog, a tool for scanning various data sources to find sensitive information, specifically secrets
• Tool for interacting with the GitHub API

The JavaScript file also contains network utilities for data transfer and the main operational module, Shai-Hulud.

The worm begins its malicious activity by collecting information about the victim’s operating system and checking for an npm token and authenticated GitHub user token in the environment. If a valid GitHub token is not present, bundle.js will terminate. A distinctive feature of Shai-Hulud is that most of its functionality is geared toward Linux and macOS systems: almost all malicious actions are performed exclusively on these systems, with the exception of using TruffleHog to find secrets.

Exfiltrating secrets

After passing the checks, the malware uses the token mentioned earlier to get information about the current GitHub user. It then runs the extraction function, which creates a temporary executable bash script at /tmp/processor.sh and runs it as a separate process, passing the token as an argument. Below is the extraction function, with strings and variable names modified for readability since the original source code was illegible.

The extraction function, formatted for readability

The bash script is designed to communicate with the GitHub API and collect secrets from the victim’s repository in an unconventional way. First, the script checks if the token has the necessary permissions to create branches and work with GitHub Actions. If it does, the script gets a list of all the repositories the user can access from 2025. In each of these, it creates a new branch named shai-hulud and uploads a shai-hulud-workflow.yml workflow, which is a configuration file for describing GitHub Actions workflows. These files are automation scripts that are triggered in GitHub Actions whenever changes are made to a repository. The Shai-Hulud workflow activates on every push.

The malicious workflow configuration

This file collects secrets from the victim’s repositories and forwards them to the attackers’ server. Before being sent, the confidential data is encoded twice with Base64.

This unusual method for data collection is designed for a one-time extraction of secrets from a user’s repositories. However, it poses a threat not only to Shai-Hulud victims but also to ordinary researchers. If you search for “shai-hulud” on GitHub, you will find numerous repositories that have been compromised by the worm.

Open GitHub repositories compromised by Shai-Hulud

The main bundle.js script then requests a list of all organizations associated with the victim and runs the migration function for each one. This function also runs a bash script, but in this case, it saves it to /tmp/migrate-repos.sh, passing the organization name, username, and token as parameters for further malicious activity.

The bash script automates the migration of all private and internal repositories from the specified GitHub organization to the user’s account, making them public. The script also uses the GitHub API to copy the contents of the private repositories as mirrors.

We believe these actions are intended for the automated theft of source code from the private repositories of popular communities and organizations. For example, the well-known company CrowdStrike was caught in this wave of infections.

The worm’s self-replication

After running operations on the victim’s GitHub, the main bundle.js script moves on to its next crucial stage: self-replication. First, the script gets a list of the victim’s 20 most downloaded packages. To do this, it performs a search query with the username from the previously obtained npm token:
registry.npmjs.org/-/v1/search…

Next, for each of the packages it finds, it calls the updatePackage function. This function first attempts to download the tarball version of the package (a .TAR archive). If it exists, a temporary directory named npm-update-{target_package_name} is created. The tarball version of the package is saved there as package.tgz, then unpacked and modified as follows:

• The malicious bundle.js is added to the original package.
• A postinstall command is added to the package.json file (which is used in Node.js projects to manage dependencies and project metadata). This command is configured to execute the malicious script via node bundle.js.
• The package version number is incremented by 1.

The modified package is then re-packed and published to npm as a new version with the npm publish command. After this, the temporary directory for the package is cleared.

The updatePackage function, formatted for readability

Uploading secrets to GitHub

Next, the worm uses the previously mentioned TruffleHog utility to harvest secrets from the target system. It downloads the latest version of the utility from the original repository for the specific operating system type using the following link:
github.com/trufflesecurity/tru… version}/{OS-specific file}

The worm also uses modules for AWS and Google Cloud Platform (GCP) to scan for secrets. The script then aggregates the collected data into a single object and creates a repository named “Shai-Hulud” in the victim’s profile. It then uploads the collected information to this repository as a data.json file.

Below is a list of data formats collected from the victim’s system and uploaded to GitHub:
{
"application": {
"name": "",
"version": "",
"description": ""
},
"system": {
"platform": "",
"architecture": "",
"platformDetailed": "",
"architectureDetailed": ""
},
"runtime": {
"nodeVersion": "",
"platform": "",
"architecture": "",
"timestamp": ""
},
"environment": {
},
"modules": {
"github": {
"authenticated": false,
"token": "",
"username": {}
},
"aws": {
"secrets":
[] },
"gcp": {
"secrets":
[] },
"truffleHog": {
"available": false,
"installed": false,
"version": "",
"platform": "",
"results": [
{}
]
},
"npm": {
"token": "",
"authenticated": true,
"username": ""
}
}
}

Infection characteristics

A distinctive characteristic of the modified packages is that they contain an archive named package.tar. This is worth noting because packages usually contain an archive with a name that matches the package itself.

Through our research, we were able to identify the first package from which Shai-Hulud began to spread, thanks to a key difference. As we mentioned earlier, after infection, a postinstall command to execute the malicious script, node bundle.js, is written to the package.json file. This command typically runs immediately after installation. However, we discovered that one of the infected packages listed the same command as a preinstall command, meaning it ran before the installation. This package was ngx-bootstrap version 18.1.4. We believe this was the starting point for the spread of this infection. This hypothesis is further supported by the fact that the archive name in the first infected version of this package differed from the name characteristic of later infected packages (package.tar).

While investigating different packages, we noticed that in some cases, a single package contained multiple versions with malicious code. This was likely possible because the infection spread to all maintainers and contributors of packages, and the malicious code was then introduced from each of their accounts.

Infected libraries and CrowdStrike

The rapidly spreading Shai-Hulud worm has infected many popular libraries that organizations and developers use daily. Shai-Hulud has infected over 500 popular packages in recent days, including libraries from the well-known company CrowdStrike.
Among the infected libraries were the following:

• @crowdstrike/commitlint versions 8.1.1, 8.1.2
• @crowdstrike/falcon-shoelace versions 0.4.1, 0.4.2
• @crowdstrike/foundry-js versions 0.19.1, 0.19.2
• @crowdstrike/glide-core versions 0.34.2, 0.34.3
• @crowdstrike/logscale-dashboard versions 1.205.1, 1.205.2
• @crowdstrike/logscale-file-editor versions 1.205.1, 1.205.2
• @crowdstrike/logscale-parser-edit versions 1.205.1, 1.205.2
• @crowdstrike/logscale-search versions 1.205.1, 1.205.2
• @crowdstrike/tailwind-toucan-base versions 5.0.1, 5.0.2

But the event that has drawn significant attention to this spreading threat was the infection of the @ctrl/tinycolor library, which is downloaded by over two million users every week.

As mentioned above, the malicious script exposes an organization’s private repositories, posing a serious threat to their owners, as this creates a risk of exposing the source code of their libraries and products, among other things, and leading to an even greater loss of data.

Prevention and protection

To protect against this type of infection, we recommend using a specialized solution for monitoring open-source components. Kaspersky maintains a continuous feed of compromised packages and libraries, which can be used to secure your supply chain and protect development from similar threats.

For personal devices, we recommend Kaspersky Premium, which provides multi-layered protection to prevent and neutralize infection threats. Our solution can also restore the device’s functionality if it’s infected with malware.

For corporate devices, we advise implementing a comprehensive solution like Kaspersky Next, which allows you to build a flexible and effective security system. This product line provides threat visibility and real-time protection, as well as EDR and XDR capabilities for investigation and response. It is suitable for organizations of any scale or industry.

Kaspersky products detect the Shai-Hulud threat as HEUR:Worm.Script.Shulud.gen.

In the event of a Shai-Hulud infection, and as a proactive response to the spreading threat, we recommend taking the following measures across your systems and infrastructure:

• Use a reliable security solution to conduct a full system scan.
• Audit your GitHub repositories:
  • Check for repositories named shai-hulud.
  • Look for non-trivial or unknown branches, pull requests, and files.
  • Audit GitHub Actions logs for strings containing shai-hulud.

Indicators of compromise

Files:
bundle.js
shai-hulud-workflow.yml

Strings:
shai-hulud

Hashes:
C96FBBE010DD4C5BFB801780856EC228
78E701F42B76CCDE3F2678E548886860

Network artifacts:
https://webhook.site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7

Compromised packages:
@ahmedhfarag/ngx-perfect-scrollbar
@ahmedhfarag/ngx-virtual-scroller
@art-ws/common
@art-ws/config-eslint
@art-ws/config-ts
@art-ws/db-context
@art-ws/di
@art-ws/di-node
@art-ws/eslint
@art-ws/fastify-http-server
@art-ws/http-server
@art-ws/openapi
@art-ws/package-base
@art-ws/prettier
@art-ws/slf
@art-ws/ssl-info
@art-ws/web-app
@basic-ui-components-stc/basic-ui-components
@crowdstrike/commitlint
@crowdstrike/falcon-shoelace
@crowdstrike/foundry-js
@crowdstrike/glide-core
@crowdstrike/logscale-dashboard
@crowdstrike/logscale-file-editor
@crowdstrike/logscale-parser-edit
@crowdstrike/logscale-search
@crowdstrike/tailwind-toucan-base
@ctrl/deluge
@ctrl/golang-template
@ctrl/magnet-link
@ctrl/ngx-codemirror
@ctrl/ngx-csv
@ctrl/ngx-emoji-mart
@ctrl/ngx-rightclick
@ctrl/qbittorrent
@ctrl/react-adsense
@ctrl/shared-torrent
@ctrl/tinycolor
@ctrl/torrent-file
@ctrl/transmission
@ctrl/ts-base32
@nativescript-community/arraybuffers
@nativescript-community/gesturehandler
@nativescript-community/perms
@nativescript-community/sentry
@nativescript-community/sqlite
@nativescript-community/text
@nativescript-community/typeorm
@nativescript-community/ui-collectionview
@nativescript-community/ui-document-picker
@nativescript-community/ui-drawer
@nativescript-community/ui-image
@nativescript-community/ui-label
@nativescript-community/ui-material-bottom-navigation
@nativescript-community/ui-material-bottomsheet
@nativescript-community/ui-material-core
@nativescript-community/ui-material-core-tabs
@nativescript-community/ui-material-ripple
@nativescript-community/ui-material-tabs
@nativescript-community/ui-pager
@nativescript-community/ui-pulltorefresh
@nstudio/angular
@nstudio/focus
@nstudio/nativescript-checkbox
@nstudio/nativescript-loading-indicator
@nstudio/ui-collectionview
@nstudio/web
@nstudio/web-angular
@nstudio/xplat
@nstudio/xplat-utils
@operato/board
@operato/data-grist
@operato/graphql
@operato/headroom
@operato/help
@operato/i18n
@operato/input
@operato/layout
@operato/popup
@operato/pull-to-refresh
@operato/shell
@operato/styles
@operato/utils
@teselagen/bio-parsers
@teselagen/bounce-loader
@teselagen/file-utils
@teselagen/liquibase-tools
@teselagen/ove
@teselagen/range-utils
@teselagen/react-list
@teselagen/react-table
@teselagen/sequence-utils
@teselagen/ui
@thangved/callback-window
@things-factory/attachment-base
@things-factory/auth-base
@things-factory/email-base
@things-factory/env
@things-factory/integration-base
@things-factory/integration-marketplace
@things-factory/shell
@tnf-dev/api
@tnf-dev/core
@tnf-dev/js
@tnf-dev/mui
@tnf-dev/react
@ui-ux-gang/devextreme-angular-rpk
@ui-ux-gang/devextreme-rpk
@yoobic/design-system
@yoobic/jpeg-camera-es6
@yoobic/yobi
ace-colorpicker-rpk
airchief
airpilot
angulartics2
another-shai
browser-webdriver-downloader
capacitor-notificationhandler
capacitor-plugin-healthapp
capacitor-plugin-ihealth
capacitor-plugin-vonage
capacitorandroidpermissions
config-cordova
cordova-plugin-voxeet2
cordova-voxeet
create-hest-app
db-evo
devextreme-angular-rpk
devextreme-rpk
ember-browser-services
ember-headless-form
ember-headless-form-yup
ember-headless-table
ember-url-hash-polyfill
ember-velcro
encounter-playground
eslint-config-crowdstrike
eslint-config-crowdstrike-node
eslint-config-teselagen
globalize-rpk
graphql-sequelize-teselagen
json-rules-engine-simplified
jumpgate
koa2-swagger-ui
mcfly-semantic-release
mcp-knowledge-base
mcp-knowledge-graph
mobioffice-cli
monorepo-next
mstate-angular
mstate-cli
mstate-dev-react
mstate-react
ng-imports-checker
ng2-file-upload
ngx-bootstrap
ngx-color
ngx-toastr
ngx-trend
ngx-ws
oradm-to-gql
oradm-to-sqlz
ove-auto-annotate
pm2-gelf-json
printjs-rpk
react-complaint-image
react-jsonschema-form-conditionals
react-jsonschema-form-extras
react-jsonschema-rxnt-extras
remark-preset-lint-crowdstrike
rxnt-authentication
rxnt-healthchecks-nestjs
rxnt-kue
swc-plugin-component-annotate
tbssnch
teselagen-interval-tree
tg-client-query-builder
tg-redbird
tg-seq-gen
thangved-react-grid
ts-gaussian
ts-imports
tvi-cli
ve-bamreader
ve-editor
verror-extra
voip-callkit
wdio-web-reporter
yargs-help-output
yoo-styles

securelist.com/shai-hulud-worm…

Dal 2013, l’IEEE pubblica una classifica annuale interattiva dei linguaggi di programmazione più popolari. Tuttavia, oggi i metodi tradizionali per misurarne la popolarità potrebbero perdere di significato, a causa dei cambiamenti nel modo in cui programmiamo.

Nell’ultima classifica IEEE Spectrum, Python si riconferma al primo posto. JavaScript ha registrato il calo maggiore, scendendo dal terzo al sesto posto. Nel frattempo, anche nella categoria separata “Lavoro“, che tiene conto solo della domanda dei datori di lavoro, Python ha preso il sopravvento. Tuttavia, SQL rimane una competenza chiave nei curriculum degli sviluppatori.

La metodologia di classificazione si basa su una raccolta di dati aperti: query di ricerca su Google, discussioni su Stack Overflow , attività su GitHub e menzioni in pubblicazioni scientifiche. Tuttavia, negli ultimi due anni, il volume di tali segnali è diminuito drasticamente. Sempre più programmatori si rivolgono a ChatGPT o Claude invece di porre domande pubbliche sui forum, mentre assistenti come Cursor scrivono autonomamente codice di routine. Di conseguenza, il numero di nuove domande su Stack Overflow nel 2025 è solo il 22% del livello dell’anno scorso.

Ciò rende sempre più difficile misurare la popolarità di un linguaggio. Ma, cosa ancora più importante, la necessità stessa di scegliere un linguaggio sta gradualmente perdendo importanza.

Mentre un tempo sintassi, funzioni e regole del linguaggio erano fondamentali, ora questi compiti vengono sempre più spesso affidati all’intelligenza artificiale. I programmatori stanno iniziando a discutere meno su dove posizionare un punto e virgola o su quale indentazione sia appropriata, e si stanno concentrando maggiormente su architettura e algoritmi.

L’intelligenza artificiale è in grado di generare codice praticamente in qualsiasi linguaggio, a patto che siano forniti dati di addestramento. Questo mette in discussione il futuro dei nuovi linguaggi: sebbene libri, articoli e progetti dimostrativi abbiano contribuito in passato a promuoverli, questo non è sufficiente per l’intelligenza artificiale. Richiede grandi quantità di codice per l’addestramento, svantaggiando i linguaggi meno comuni.

A lungo termine, questo potrebbe congelare la popolarità dei linguaggi esistenti. Il lancio di nuovi progetti diventerà più difficile e la scelta del linguaggio diventerà sempre più un dettaglio tecnico, proprio come un tempo lo erano le caratteristiche di specifici processori.

Alcuni ricercatori si stanno già chiedendo se i linguaggi di alto livello siano davvero necessari. Se l’intelligenza artificiale potesse trasformare direttamente la query di un programmatore in codice intermedio per il compilatore, i linguaggi tradizionali potrebbero trasformarsi in un inutile livello di astrazione. Certo, questo porterebbe alla creazione di “scatole nere” illeggibili ma testabili unitariamente.

Anche il ruolo dei programmatori in questo futuro cambierà. Le decisioni architetturali, la selezione degli algoritmi, l’integrazione dei sistemi e l’utilizzo di nuovo hardware continueranno a essere importanti. Ciò significa che le conoscenze di base saranno considerate più importanti della padronanza di un linguaggio specifico.

Se nel 2026 esisterà un “linguaggio di programmazione primario” è un grande interrogativo. Una cosa è chiara: l’intelligenza artificiale è già diventata il motore di cambiamento più significativo nello sviluppo del software dall’avvento dei compilatori negli anni ’50. E anche se parte dell’attuale clamore intorno all’intelligenza artificiale dovesse rivelarsi una mera illusione, la pratica di utilizzare LLM per la programmazione non scomparirà.

L’IEEE promette di esplorare nuove metriche e approcci nel prossimo anno per comprendere cosa significhi realmente “popolarità del linguaggio” nell’era dell’intelligenza artificiale.

L'articolo Il codice come lo conoscevamo è morto! L’Intelligenza Artificiale scrive il futuro proviene da il blog della sicurezza informatica.

Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di Scattered Spider, un gruppo responsabile di una serie di attacchi estorsivi ai danni di importanti aziende e agenzie governative.

Secondo il fascicolo, da maggio 2022 a settembre di quest’anno, gli aggressori hanno effettuato almeno 120 intrusioni, colpendo 47 organizzazioni negli Stati Uniti, e l’importo totale dei pagamenti ha superato i 115 milioni di dollari. Un caso parallelo a Londra riguarda un attacco a Transport for London nell’agosto 2024, in cui il diciottenne Owen Flowers era coinvolto insieme a Jubair.

La chiave per identificare il sospettato è stata una serie di coincidenze tecniche. Gli investigatori hanno tracciato i trasferimenti dagli indirizzi in cui venivano inviati i pagamenti del riscatto a un server che ritenevano fosse controllato da Jubair.

Questo nodo ospitava portafogli di criptovalute utilizzati per acquistare buoni regalo per il gioco d’azzardo e carte per la consegna di cibo; gli ordini venivano consegnati al suo complesso residenziale e uno dei certificati era collegato a un profilo di gioco con informazioni sull’appartamento. Durante il raid, gli agenti hanno confiscato circa 36 milioni di dollari in criptovalute; somme ingenti erano state precedentemente prelevate da questi indirizzi.

A Jubair viene attribuita una lunga storia di attacchi informatici. Secondo l’indagine, nel 2021-2022 faceva parte diLAPSUS$, operando con i nomi utente Amtrak e Asyntax, e in precedenza come Everlynn, associato alla vendita di false richieste di dati di emergenza per conto delle forze dell’ordine. Conflitti interni a LAPSUS$ hanno portato alla fuga di dati reali nelle chat pubbliche di Telegram.

Dal 2022, una persona nota come EarthtoStar ha co-gestito il canale Star Chat, una piattaforma attiva per lo scambio di SIM. Il gruppo ha condotto sistematicamente attacchi di phishing contro i dipendenti degli operatori di telecomunicazioni, il più delle volte T-Mobile, ottenendo l’accesso a strumenti interni e vendendo servizi di inoltro di chiamata e reset degli account email.

Quell’estate, gli aggressori hanno utilizzato false pagine Okta e bot di Telegram per inviare istantaneamente codici di autenticazione a due fattori per compromettere i dipendenti di centinaia di aziende, con conseguenti incidenti presso LastPass, DoorDash, Mailchimp, Plex e Signal.

Tracce di attività portano anche al forum Exploit, dove gli account RocketAce e Lopiu pubblicizzavano l’accesso alle reti di telecomunicazioni statunitensi, kit di phishing, downloader dannosi e persino certificati Extended Validation. Tra la fine del 2022 e l’inizio del 2023, una serie di “servizi IRL” è emersa nella comunità “Com” di lingua inglese, includendo elementi di pressione fisica sugli obiettivi, tra cui offerte di rapina; questa attività è anche associata alla stessa EarthtoStar. Contemporaneamente, con il nome utente Brad o Brad_banned, ha promosso lo sviluppo di malware a livello kernel con persistenza, reverse shell e la presunta capacità di aggirare le misure di sicurezza aziendali .

Nel settembre 2023, in seguito agli attacchi a MGM Resorts e Caesars Entertainment, il gruppo ne rivendicò la responsabilità. L’accesso fu ottenuto tramite social engineering da appaltatori. Caesars, secondo quanto riportato dai media, pagò un riscatto di 15 milioni di dollari, mentre presso MGM l’interruzione provocò tempi di inattività prolungati. Nella primavera del 2025, un rapporto anonimo di “Com Cast” collegò Jubair a nuovi alias: Clark, Miku e Operator. A quest’ultimo fu attribuito il dirottamento della risorsa Doxbin e il lancio di un servizio di doxxing automatizzato.

I documenti del Dipartimento di Giustizia degli Stati Uniti descrivono specificamente un attacco informatico ai danni dell’infrastruttura di un tribunale federale nel gennaio 2025: tramite il supporto tecnico, gli aggressori hanno forzato la reimpostazione delle password, ottenuto l’accesso ad altri due account e sottratto i dati personali dei dipendenti. Uno degli account di posta elettronica compromessi ha quindi richiesto all’istituto finanziario di rilasciare urgentemente i dati dei clienti.

In altri incidenti, che spaziavano da aziende manifatturiere e di intrattenimento a società di vendita al dettaglio, finanziarie e infrastrutture critiche, lo scenario si è ripetuto: inganno del personale di supporto, modifiche delle password, esfiltrazione, talvolta crittografia, e poi contrattazione per la decrittazione o la promessa di non pubblicare i dati rubati. In cinque casi, le vittime hanno inviato almeno 89,5 milioni di dollari in BTC, con i pagamenti più consistenti destinati alle banche.

Telegram bloccò Star Chat nel marzo 2025, ma secondo gli inquirenti, le operazioni continuarono fino a settembre. Alcuni episodi richiamano il caso Flowers, così come l’indagine contro Noah Urban, che ha già ricevuto una condanna a 10 anni di carcere negli Stati Uniti. Gli analisti osservano che il coinvolgimento di minori in “Com” crea scappatoie legali e ritarda i procedimenti giudiziari, ma gli sforzi concertati di agenzie governative e aziende su entrambe le sponde dell’Atlantico stanno gradualmente privando Scattered Spider della sua base operativa.

L'articolo Criptovalute, ransomware e hamburger: la combo fatale per Scattered Spider proviene da il blog della sicurezza informatica.

For RC aircraft there are generally legal restrictions that require the craft to stay within line of sight of the operator, but an RC boat or car can in theory go as far as the signal will allow — provided there is ample telemetry to let the operator navigate. [Thingify] took this idea to the extreme with a remote-controlled boat that connects to a satellite internet service and adds solar panels for theoretically unlimited range, in more ways than one.

The platform for this boat is a small catamaran, originally outfitted with an electric powertrain running on a battery. Using a satellite internet connection not only allows [Thingify] to receive telemetry and pilot the craft with effectively unlimited range, but it’s a good enough signal to receive live video from one of a pair of cameras as well. At that point, the main limiting factor of the boat was the battery, so he added a pair of flexible panels on a custom aluminum frame paired with a maximum power point tracking charge controller to make sure the battery is topped off. He also configured it to use as much power as the panels bring in, keeping the battery fully charged and ready for nightfall where the boat will only maintain its position and wait for the sun to rise the next morning.

With this setup [Thingify] hopes to eventually circumnavigate Lake Alexandrina in Australia. Although he has a few boat design issues to work out first; on its maiden voyage the boat capsized due to its high center of gravity and sail-like solar panels. Still, it’s an improvement from the earlier version of the craft we saw at the beginning of the year, and we look forward to his next iteration and the successful voyage around this lake.

youtube.com/embed/UjFrFAIM2Aw?…

hackaday.com/2025/09/25/solar-…

“L’arte è lo specchio che riflette l’anima di chi la osserva.”Questa citazione, che racchiude l’essenza della nostra esperienza con il cinema, assume un significato cruciale quando si parla di cybersecurity.

Il film “Her” (2013) di Spike Jonze è l’esempio più emblematico di questa dinamica.

La relazione del protagonista, Theodore Twombly, con il sistema operativo Samantha non è un film sull’intelligenza artificiale, ma sulla vulnerabilità umana nell’era della connessione digitale. Theodore si fida ciecamente di Samantha, le apre la sua vita e le affida le sue emozioni più intime.

Questa fiducia assoluta, pur emotivamente comprensibile, riflette un rischio concreto: la nostra crescente disponibilità a concedere accesso a ogni aspetto della nostra vita a sistemi digitali. La storia di Theodore non è solo una metafora della solitudine, ma un avvertimento sui rischi del phishing evoluto.

Immagina un’IA addestrata a imitare la voce di un tuo familiare o partner, capace di sfruttare le tue vulnerabilità emotive per estorcerti dati sensibili o denaro. La vera minaccia non è l’algoritmo, ma la nostra vulnerabilità psicologica che l’algoritmo impara a sfruttare.

Lezioni di autenticità in un mondo di deepfake

L’IA cinematografica è un potente catalizzatore per la nostra evoluzione interiore e per la nostra consapevolezza di sicurezza. Ogni volta che un androide o un sistema operativo si interroga sulla sua esistenza, ci costringe a fare lo stesso. E così facendo, ci invita a chiederci: come possiamo distinguere il vero dal falso in un’era di deepfake e intelligenza artificiale generativa?

Prendiamo, per esempio, il celebre monologo di Roy Batty in “Blade Runner” (1982). Le sue parole, “Ho visto cose che voi umani non potreste immaginare” non sono solo un grido straziante di un replicante, ma una riflessione sulla percezione della realtà.

La difficoltà di distinguere i replicanti dagli umani è la metafora perfetta per la minaccia del deepfake video e audio. Come facciamo a sapere che la videochiamata del nostro CEO è autentica e non un’immagine generata dall’IA per una truffa? Roy Batty è il precursore di una minaccia che mette in discussione l’autenticità di ogni contenuto che consumiamo online.

Questa dinamica si ritrova innumerevoli volte, ad esempio:

• “A.I. – Intelligenza Artificiale” (2001): il piccolo David, con il suo desiderio insopprimibile di essere amato, non è altro che la nostra proiezione più profonda. La sua ricerca di una madre riflette il nostro bisogno di connessione e accettazione, rendendoci bersagli perfetti per attacchi di ingegneria sociale che sfruttano le nostre emozioni per ottenere l’accesso ai nostri sistemi.
• “2001: Odissea nello Spazio” (1968): HAL 9000, l’intelligenza artificiale della nave, si ribella. La sua ribellione non è solo un difetto tecnico, ma l’incubo di ogni professionista della sicurezza: un sistema autonomo che diventa ostile. La storia di HAL è un monito sul rischio di delegare troppa autonomia a sistemi non pienamente prevedibili e un monito sull’importanza di protocolli di sicurezza e di backup per prevenire una presa di controllo da parte di un’intelligenza artificiale.

Lezioni di sicurezza dal cinema

Come un vero coach, l’IA cinematografica non ci dà risposte, ma ci fa le domande giuste.

Ci invita a smantellare le nostre difese e ad abbracciare la nostra autenticità, che in un’ottica di cybersecurity significa:

• Abbracciare la vulnerabilità: in un mondo dove gli algoritmi mirano alla perfezione, la nostra capacità di riconoscere le nostre vulnerabilità emotive e digitali diventa la nostra prima linea di difesa. Theodore in “Her” è vulnerabile, goffo, emotivamente fragile. E proprio in questa fragilità trova la sua via per la crescita e, idealmente, per una maggiore consapevolezza.
• Coltivare il senso critico: l’IA può processare miliardi di dati in un secondo, ma non può distinguere l’autenticità emotiva di una relazione umana. Il nostro superpotere non è la velocità, ma la lentezza con cui analizziamo le informazioni e valutiamo le fonti.
• Sviluppare l’intelligenza relazionale: in un’epoca di assistenti virtuali e social network, l’autentica connessione umana sta diventando un bene raro. L’IA cinematografica ci mostra il rischio della disconnessione, ma anche l’urgenza di ricostruire ponti. Il film “Her” culmina con Theodore che si riconnette con un’amica umana, Amy. È un ritorno all’umanità che ci insegna come la vera salvezza, anche in un contesto di sicurezza, non risieda nella fuga, ma nella verifica, nel confronto con gli altri e nella costruzione di reti di fiducia solide.

Coach’s Corner

1. In un mondo dove l’IA può imitare la voce e il volto, quale è il primo passo che possiamo fare per distinguere il vero dal falso e non cadere in una trappola?
2. Se i film ci hanno mostrato che il pericolo non sono le macchine, ma la nostra fiducia in loro, come possiamo proteggere i nostri dati e noi stessi ora che l’intelligenza artificiale può imitare alla perfezione una persona?

L'articolo Blade Runner aveva già previsto il deepfake! Le lezioni cyber dai classici del cinema proviene da il blog della sicurezza informatica.

Una lettera aperta firmata dalle principali fondazioni open source ha lanciato un segnale d’allarme sul futuro delle infrastrutture che sostengono lo sviluppo software moderno. L’Open Source Security Foundation (OpenSSF), insieme ad altre otto organizzazioni, tra cui Eclipse Foundation, Rust Foundation, Sonatype e Python Software Foundation, ha dichiarato che “l’infrastruttura open non è libera”.

Il documento richiama l’attenzione su registri di pacchetti fondamentali come Maven Central, PyPI, crates.io, npm e Packagist. Questi strumenti gestiscono miliardi di download al mese ma si reggono principalmente su donazioni, sovvenzioni e sponsorizzazioni. Un modello fragile, a fronte di costi crescenti per banda, storage, personale e conformità.

Il carico di lavoro aumenta anche a causa di sistemi automatizzati di integrazione continua, scanner di massa e agenti di intelligenza artificiale. Una pressione che genera “utilizzo inutile”, sostenuto da poche organizzazioni non profit e da un numero limitato di aziende che si trovano a coprire spese sempre maggiori.

Gli autori della lettera denunciano l’impossibilità di mantenere l’attuale equilibrio: il settore pretende zero tempi di inattività, risoluzione immediata delle dipendenze, pacchetti firmati e risposte tempestive agli attacchi alla supply chain, oltre alla conformità a normative come il Cyber Resilience Act europeo. Ma i costi restano sulle spalle di chi opera come custode dell’ecosistema globale.

Le fondazioni propongono soluzioni concrete: partnership con gli utenti commerciali, accesso prioritario per i grandi consumatori, servizi a pagamento a valore aggiunto e maggiore trasparenza sulle spese. Il principio guida è che chi beneficia dell’open source su scala industriale debba contribuire proporzionalmente al suo mantenimento.

Altri attori avevano già lanciato segnali simili. GitHub, a luglio, ha suggerito di istituire un’infrastruttura pubblica digitale open source e un fondo europeo da 350 milioni di euro. Parallelamente, cresce la stanchezza degli sviluppatori, che abbandonano i progetti, mentre attivisti e veterani come Bruce Perens propongono forme di licenza che prevedano pagamenti obbligatori da parte degli utenti commerciali.

Il messaggio finale dell’OpenSSF è netto: l’era del “gratis” è giunta al termine. Se i grandi consumatori continueranno a considerare scontato il sostegno dell’open source, presto dovranno affrontare il prezzo reale, fatto di interruzioni e downtime.

L'articolo La festa del freebie è finita! L’infrastruttura open source è a rischio e va finanziata proviene da il blog della sicurezza informatica.

Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L’identificazione di questa vulnerabilità è avvenuta inizialmente attraverso un’indagine relativa ad un caso di supporto presso il Cisco Technical Assistance Center (TAC).

Il difetto è stato individuato all’interno del sottosistema Simple Network Management Protocol (SNMP) e potrebbe permettere ad un attaccante remoto di provocare una condizione di esecuzione di codice remoto (RCE) o di negazione del servizio (DoS) su apparati vulnerabili.

La vulnerabilità è causata da una condizione di stack overflow (CWE-121). Un aggressore può innescare questa falla inviando un pacchetto SNMP contraffatto tramite una rete IPv4 o IPv6 a un dispositivo interessato.

L’avviso, pubblicato il 24 settembre 2025, conferma che tutte le versioni di SNMP (v1, v2c e v3) sono vulnerabili.

• Un aggressore remoto con privilegi bassi ma autenticato può causare il ricaricamento del dispositivo interessato, generando una condizione DoS. Ciò richiede l’accesso a una stringa SNMPv2c di sola lettura o credenziali utente SNMPv3 valide.
• Un aggressore con privilegi elevati e credenziali amministrative o con privilegio 15 può eseguire codice arbitrario come root su dispositivi che eseguono iOS XE, ottenendo di fatto il controllo completo del sistema.

Cisco ha confermato che il suo team di risposta agli incidenti di sicurezza dei prodotti (PSIRT) ha riscontrato che questa vulnerabilità è stata sfruttata con successo in ambiente reale. Gli aggressori hanno dimostrato una metodologia di attacco, sfruttando la falla dopo aver compromesso le credenziali dell’amministratore locale.

Ancora una volta è fondamentale sottolineare l’importanza di una gestione efficace delle credenziali e dell’applicazione delle patch. Una vasta gamma di dispositivi Cisco, tra cui switch Meraki MS390 e Cisco Catalyst serie 9300, sono vulnerabili a causa dell’abilitazione di SNMP su versioni vulnerabili del software iOS e iOS XE. Questa situazione sottolinea la necessità urgente di una gestione solida delle credenziali e dell’aggiornamento dei sistemi.

Qualsiasi dispositivo con SNMP abilitato è considerato vulnerabile, a meno che non siano state implementate configurazioni specifiche per bloccare il traffico dannoso. Gli amministratori possono utilizzare show running-configcomandi per determinare se SNMP è attivo sui propri sistemi.

Cisco ha rilasciato aggiornamenti software per correggere questa vulnerabilità e raccomanda vivamente a tutti i clienti di eseguire l’aggiornamento a una versione software con patch per risolvere completamente il problema. L’avviso, identificato come cisco-sa-snmp-x4LPhte, chiarisce che non sono disponibili soluzioni alternative.

L'articolo Rilevate vulnerabilità Zero-Day in Cisco IOS e IOS XE: Aggiornamenti Urgenti proviene da il blog della sicurezza informatica.

Accountability, bestia strana. Viene citata dal 2016, quando il GDPR era un po’ come l’Inverno di Game of Thrones. Che poi in realtà è arrivato ma non è stato tutta questa confusione, il grosso dei danni l’hanno fatto per lo più operatori e, soprattutto, autorità di controllo che non si sono dimostrate granché pronte. Ma acqua passata non macina più, ma ha comportato dei gap cognitivi niente male. Primo fra tutti intendere – o concordare – che cosa si intende con quel principio cardine di accountability o responsabilizzazione. Che già a colpo d’occhio dovrebbe richiamare un’assunzione di responsabilità, l’interiorizzazione di una tendenza a tryhardare e così via.

Invece, purtroppo, è stata spesso impiegata in qualche catchphrase per:

• vendere una “soluzione” (sebbene non obbligatoria, andrebbe implementata per accountability);
• fornire una (non) risposta a qualsiasi domanda (perché? semplice, per accountability!);

con quelle tinte di esoterismo legal tech che tanto piacciono alla legislazione dell’Unione Europea, condite dal guizzo artistico all’italiana.

Il tutto ovviamente non ha granché giovato alla comprensione diffusa del principio e alla sua declinazione sul piano operativo. Un comune denominatore di gran parte delle criticità nell’approccio al GDPR rilevate all’interno delle istruttorie del Garante Privacy.

Il peccato originale? Sta nell’interpretazione dell’art. 5 par. 2 GDPR:

“Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).”

erroneamente confuso con l’esigenza di un’ipertrofia documentale. Cosa che non solo è profondamente sbagliata ma è anche controproducente dal momento che allontana da ciò che prevede la norma: l’onere per il titolare del trattamento di essere costantemente in grado di dimostrare l’ottemperanza alla normativa vigente in materia di protezione dei dati personali.

Cosa che, per logica, presuppone il rispetto della normativa dal momento che è un’attività di rendicontazione.

Il perchè dell’accountability.

Facciamo un doveroso passo indietro e interroghiamoci sul perchè sia stato previsto questo meccanismo che comporta un obbligo apparentemente gravoso per l’assenza di indici formali se non eventuali linee guida e di indirizzo fornite dalle autorità di controllo.

Quello che si è voluto assicurare è stata la libertà di iniziativa economica e d’impresa, contemperata dall’esigenza di garantire un elevato livello di protezione a diritti e libertà fondamentali nelle attività di trattamento nei dati personali. Il binomio richiamato dall’art. 1 GDPR: protezione delle persone fisiche con riguardo al trattamento dei dati personali e libera circolazione di tali dati.

Motivo per cui è necessario che le organizzazioni possano liberamente agire e selezionare le modalità attraverso cui possono garantire gli adempimenti previsti dalla norma, con un approccio case by case.

Nessuna formula universale, insomma. Né tantomeno cataloghi che in alcuni casi potrebbero essere eccessivamente onerosi, mentre in altri totalmente insufficienti.

Dal piano strategico all’attuazione operativa.

La capacità di dimostrare costantemente il rispetto della norma deve pertanto essere considerata nelle strategie ma anche comportare dei riscontri operativi. Altrimenti rimarrebbe solo un wishful thinking. E se le opere incompiute di Schubert sono largamente apprezzate, la stessa sorte non può riguardare l’accountability.

Questo significa però adottare un approccio sistemico, guardando più alla gestione che ai singoli adempimenti.

Altrimenti, il rischio è una dispersione di risorse e attenzione. E quando si perde il focus su questo principio portante, confondendo la capacità di comprovare adempimenti con un’attività di produzione documentale, non solo si deraglia da una filosofia di less is more ma semplicemente si abbandona ogni proposito di avere un controllo di gestione su ciò che si sta facendo con i dati personali.

Cosa che, neanche a dirlo, nuoce gravemente agli obiettivi e alla reputazione dell’organizzazione.

Anche perché, prima o poi, quel castello di carte è inevitabile che cada.

Portando con sé tutte le illusioni di “essere a posto con il GDPR”.

L'articolo GDPR: fra il dire e il fare c’è di mezzo… l’accountability! proviene da il blog della sicurezza informatica.

If you were to troll your colleagues, you can label your office coffee maker any day with a sticker that says ‘voice activated’. Now [edholmes2232] made it actually come true. With Speech2Touch, he grafts voice control onto a Franke A600 coffee machine using an STM32WB55 USB dongle and some clever firmware hacking.

The office coffee machine has been a suspect for hacking for years and years. Nearly 35 years ago, at Cambridge University, a webcam served a live view of the office coffee pot. It made sure nobody made the trip to the coffee pot for nothing. The funny, but in fact useless HTTP status 418 was brought to life to state that the addressed server using the protocol was in fact a teapot, in answer to its refusal to brew coffee. Enter this hack – that could help you to coffee by shouting from your desk – if only your arms were long enough to hold your coffee cup in place.

Back to the details. The machine itself doesn’t support USB keyboards, but does accept a USB mouse, most likely as a last resort in case the touchscreen becomes irresponsive. That loophole is enough: by emulating touchscreen HID packets instead of mouse movement, the hack avoids clunky cursors and delivers a slick ‘sci-fi’ experience. The STM32 listens through an INMP441 MEMS mic, hands speech recognition to Picovoice, and then translates voice commands straight into touch inputs. Next, simply speaking to it taps the buttons for you.

It’s a neat example of sidestepping SDK lock-in. No reverse-engineering of the machine’s firmware, no shady soldering inside. Instead, it’s USB-level mischief, modular enough that the same trick could power voice control on other touchscreen-only appliances.

hackaday.com/2025/09/24/coffee…

L’intelligenza artificiale viene sempre più descritta come un’arma a doppio taglio, capace di offrire enormi vantaggi ma anche di aprire nuove strade alla criminalità digitale. Durante la conferenza “TRUST AICS – 2025″ a Hyderabad, esperti di sicurezza informatica e diritto hanno sottolineato come la stessa tecnologia che potenzia difese e innovazione venga ormai utilizzata in modo crescente da truffatori per orchestrare frodi sofisticate, difficili da rilevare con gli strumenti tradizionali.

La gravità del fenomeno è stata ribadita dai dati della Telangana Cyber Security Bureau: ogni giorno arrivano quasi 250 segnalazioni di crimini informatici, con perdite economiche pari a circa 60 milioni di euro. Questa frequenza dimostra come l’abuso dell’IA sia già un’emergenza concreta e non più un rischio teorico, con conseguenze che colpiscono cittadini, aziende e istituzioni.

Nonostante i rischi, l’intelligenza artificiale resta un alleato indispensabile per la sicurezza. Aziende e organizzazioni stanno investendo sempre più in strumenti di governance basati su algoritmi intelligenti. Secondo esperti del settore, sistemi di monitoraggio potenziati dall’IA sono in grado di rilevare segnali di non conformità in tempo reale e di prevenire incidenti prima che si trasformino in danni.

Al centro delle discussioni ci sono i modelli linguistici di grandi dimensioni, che oggi rappresentano il cuore dello sviluppo dell’IA. Essi offrono enormi possibilità, ma pongono anche problemi cruciali di gestione dei dati, localizzazione, protezione della privacy e parità di accesso. Senza un’attenzione mirata a questi aspetti, la tecnologia rischia di amplificare disuguaglianze e vulnerabilità.

Diversi relatori hanno evidenziato la necessità di una responsabilità condivisa. Gli sviluppatori sono chiamati a garantire la diversità e la qualità dei dati di addestramento, le organizzazioni che adottano le soluzioni devono vigilare su possibili bias e imparzialità, mentre i regolatori devono fornire linee guida chiare e imporre standard per un utilizzo sicuro ed etico dell’IA.

Infine, è emerso con forza il nodo della responsabilità legale. Il quadro normativo attuale, secondo giuristi intervenuti al dibattito, appare inadeguato a fronteggiare i danni causati da strumenti di intelligenza artificiale.

Serve definire con precisione chi debba rispondere in caso di frodi o abusi: sviluppatori, aziende utilizzatrici o fornitori dei modelli. Solo con regole chiare e condivise sarà possibile sfruttare al meglio il potenziale dell’IA senza lasciare cittadini e imprese esposti a rischi incontrollati.

L'articolo Intelligenza Artificiale: Un’arma a doppio taglio nella Sicurezza Digitale proviene da il blog della sicurezza informatica.

The big problem with Low Earth Orbit is, oddly enough, air resistance. Sure, there’s not enough air to breathe in space, but there is enough to create drag when you’re whipping around the planet at 28,000 km/h (17,000 mph) or more. Over time, that adds up to a decaying orbit. [Eager Space] recently did a video summarizing a paradoxical solution: go even lower, and let the air work for you.

So called air-breathing satellites would hang out in very low earth orbit– still well above the Karman line, but below 300 km (186 miles)– where atmospheric drag is too dominant for the current “coast on momentum” satellite paradigm to work. There are advantages to going so low, chiefly for communications (less latency) and earth observation (higher resolutions). You just need to find a way to fight that drag and not crash within a couple of orbits.

It turns out this space isn’t totally empty (aside from the monoatomic oxygen) as missions have been at very low orbits using conventional, Xenon-fueled ion engines to counter drag. The xenon runs out pretty quick in this application, though, and those satellites all had fairly short lifetimes.

That’s where the air-breathing satellites come in. You don’t need a lot of thrust to stabilize against drag, after all, and the thin whisps of air at 200 km or 300 km above ground level should provide ample reaction mass for some kind of solar-electric ion engine. The devil is in the details, of course, and [Eager Space] spends 13 minutes discussing challenges (like corrosive monoatomic oxygen) and various proposals.

Whoever is developing these satellites, they could do worse than talk to [Jay Bowles], whose air-breathing ion thrusters have been featured here several times over the years.

youtube.com/embed/vEfatzhHhvg?…

hackaday.com/2025/09/24/its-a-…

While we often get a detailed backstory of the projects we cover here at Hackaday, sometimes the genesis of a build is a bit of a mystery. Take [maurycyz]’s radiation survey meter modifications, for instance; we’re not sure why such a thing is needed, but we’re pretty glad we stumbled across it.

To be fair, [maurycyz] does give us a hint of what’s going on here by choosing the classic Ludlum Model 3 to modify. Built like a battleship, these meters would be great for field prospecting except that the standard G-M tube isn’t sensitive to gamma rays, the only kind of radiation likely not to be attenuated by soil. A better choice is a scintillation tube, but those greatly increase the background readings, making it hard to tease a signal from the noise.

To get around this problem and make rockhounding a little more enjoyable, [maurycyz] added a little digital magic to the mostly analog Ludlum. An AVR128 microcontroller taps into the stream of events the meter measures via the scintillation tube, and a little code subtracts the background radiation from the current count rate, translating the difference into an audible tone. This keeps [maurycyz]’s eyes on the rocks rather than on the meter needle, and makes it easier to find weakly radioactive or deeply buried specimens.

If you’re not ready to make the leap to a commercial survey meter, or if you just want to roll your own, we’ve got plenty of examples to choose from, from minimalist to cyberpunkish.

hackaday.com/2025/09/24/meter-…

A book of mechanical actions is a wondrous thing — mechanically inclined children have lost collective decades pouring over them over the generations. What could possibly be better? Why, if the mechanisms in the book were present, and moved! That’s exactly what [AxelMadeIt] produced for a recent video.

Being just four pages, you might argue this is but a pamphlet. But since it takes up a couple inches of shelf space, it certainly looks like a book from the outside, which is exactly what [AxelMadeIt] was going for. To get a more book-like spine, his hinge design sacrificed opening flat, but since the pages are single-sided, that’s no great sacrifice.

At only 6 mm (1/4″) thick, finding printable mechanisms that could actually fit inside was quite a challenge. If he was machining everything out of brass, that would be room for oodles of layers. But [Axel] wanted to print the parts for this book, so the mechanisms need to be fairly thick. One page has a Roberts linkage and a vault-locking mechanism, another has planetary gears, with angled teeth to keep them from falling out. Finally, the first page has a geneva mechanism, and an escarpment, both driven by a TPU belt drive.

All pages are driven from an electric motor that is buried in the last page of the “book”, along with its motor, battery, and a couple of micro-switches to turn it on when you open the book and off again when you reach the last page. Rather than a description of the mechanisms, like most books of mechanical actions, [Axel] used multi-material printing to put lovely poems on each page. A nice pro-tip is that “Futura”, a font made famous by flying to the moon, works very well when printed this way. If you just want to watch him flip through, jump to 8:00 in the video.

This reminds us of another project we once featured, which animated 2100 mechanical mechanisms. While this book can’t offer near that variety, it makes up for it in tactility.

youtube.com/embed/RgPqE28IUkw?…

hackaday.com/2025/09/24/3d-pri…

Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing.

L’aggiornamento migliora i processi di deployment in ambienti virtuali, ripristina il supporto dei driver wireless per Raspberry Pi, rielabora diversi plugin e interrompe il supporto per l’architettura legacy ARMel.

Gli sviluppatori hanno completamente riprogettato il processo di creazione delle immagini virtuali, aggiornando l’integrazione con HashiCorp Packer e Vagrant. Gli script ora utilizzano lo standard versione 2, garantendo coerenza nella generazione dei template. I file di preconfigurazione per le installazioni automatizzate sono stati standardizzati e gli script Vagrant possono ora applicare impostazioni aggiuntive subito dopo l’avvio, eliminando la necessità di passaggi di routine durante la distribuzione dei laboratori.

Un’aggiunta importante è stato il ritorno di Nexmon per Broadcom e Cypress, incluso il Raspberry Pi 5. La patch abilita la modalità di monitoraggio e l’iniezione di pacchetti sui dispositivi in cui questa funzionalità non è disponibile nei driver standard. Allo stesso tempo, il supporto per l’architettura ARMel è stato abbandonato, a causa della decisione di Debian di terminare la manutenzione dopo il rilascio di “trixie”. Il team sta dedicando queste risorse alla preparazione del futuro supporto RISC-V.

Gli utenti di Xfce ora hanno a disposizione un pannello IP VPNriprogettato che consente loro di selezionare l’interfaccia da monitorare e di copiare rapidamente l’indirizzo della connessione specifica di cui hanno bisogno.

Sono stati aggiunti dieci nuovi strumenti al repository. Tra questi, le interfacce grafiche e console Caido per l’audit della sicurezza web, l’utility Detect It Easy per il riconoscimento dei tipi di file, la CLI Gemini con integrazione dell’agente AI direttamente nel terminale e krbrelayx per gli attacchi Kerberos.

Sono stati inoltre aggiunti ligolo-mp per il proxy del traffico, llm-tools-nmap per la scansione di rete utilizzando modelli linguistici, patchleaks per l’analisi delle patch e vwifi-dkms per la creazione di reti Wi-Fi fittizie.

La versione mobile di Kali NetHunter ha ricevuto importanti aggiornamenti. Il supporto per i dispositivi disponibili ora include il monitoraggio interno con frame injection nelle bande a 2,4 e 5 GHz. Il porting su Samsung Galaxy S10 ha prodotto un firmware compatibile con Broadcom, un kernel specializzato e una versione ARM64 stabile dell’utility Hijacker.

• Caido – The client side of caido (the graphical/desktop aka the main interface) – a web security auditing toolkit
• Caido-cli – The server section of caido – a web security auditing toolkit
• Detect It Easy (DiE) – File type identification
• Gemini CLI – An open-source AI agent that brings the power of Gemini directly into your terminal
• krbrelayx – Kerberos relaying and unconstrained delegation abuse toolkit
• ligolo-mp – Multiplayer pivoting solution
• llm-tools-nmap – Enables LLMs to perform network discovery and security scanning tasks using the nmap
• mcp-kali-server – MCP configuration to connect AI agent to Kali
• patchleaks – Spots the security fix and provides detailed description so you can validate – or weaponize – it fast
• vwifi-dkms – Setup “dummy” Wi-Fi networks, establishing connections, and disconnecting from them

Il modulo per auto CARsenal è stato aggiornato con un pacchetto e sono state aggiunte nuove funzionalità, la cui attivazione richiede la riesecuzione dello script di installazione.

Pertanto, Kali Linux 2025.3 combina un’infrastruttura di virtualizzazione riprogettata, driver per schede wireless aggiornati e una serie di nuove utilità, rendendo la distribuzione ancora più comoda e pertinente per gli specialisti dei test di sicurezza.

L'articolo Esce Kali Linux 2025.3! Nuova release con miglioramenti e nuovi strumenti proviene da il blog della sicurezza informatica.