On December 4, 2025, researchers published details on the critical vulnerability CVE-2025-55182, which received a CVSS score of 10.0. It has been unofficially dubbed React4Shell, as it affects React Server Components (RSC) functionality used in web applications built with the React library. RSC speeds up UI rendering by distributing tasks between the client and the server. The flaw is categorized as CWE-502 (Deserialization of Untrusted Data). It allows an attacker to execute commands, as well as read and write files in directories accessible to the web application, with the server process privileges.

Almost immediately after the exploit was published, our honeypots began registering attempts to leverage CVE-2025-55182. This post analyzes the attack patterns, the malware that threat actors are attempting to deliver to vulnerable devices, and shares recommendations for risk mitigation.

A brief technical analysis of the vulnerability

React applications are built on a component-based model. This means each part of the application or framework should operate independently and offer other components clear, simple methods for interaction. While this approach allows for flexible development and feature addition, it can require users to download large amounts of data, leading to inconsistent performance across devices. This is the challenge React Server Components were designed to address.

The vulnerability was found within the Server Actions component of RSC. To reach the vulnerable function, the attacker just needs to send a POST request to the server containing a serialized data payload for execution. Part of the functionality of the handler that allows for unsafe deserialization is illustrated below:

A comparison of the vulnerable (left) and patched (right) functions

CVE-2025-55182 on Kaspersky honeypots

As the vulnerability is rather simple to exploit, the attackers quickly added it to their arsenal. The initial exploitation attempts were registered by Kaspersky honeypots on December 5. By Monday, December 8, the number of attempts had increased significantly and continues to rise.

The number of CVE-2025-55182 attacks targeting Kaspersky honeypots, by day (download)

Attackers first probe their target to ensure it is not a honeypot: they run whoami, perform multiplication in bash, or compute MD5 or Base64 hashes of random strings to verify their code can execute on the targeted machine.

In most cases, they then attempt to download malicious files using command-line web clients like wget or curl. Additionally, some attackers deliver a PowerShell-based Windows payload that installs XMRig, a popular Monero crypto miner.

CVE-2025-55182 was quickly weaponized by numerous malware campaigns, ranging from classic Mirai/Gafgyt variants to crypto miners and the RondoDox botnet. Upon infecting a system, RondoDox wastes no time, its loader script immediately moving to eliminate competitors:

Beyond checking hardcoded paths, RondoDox also neutralizes AppArmor and SELinux security modules and employs more sophisticated methods to find and terminate processes with ELF files removed for disguise.

Only after completing these steps does the script download and execute the main payload by sequentially trying three different loaders: wget, curl, and wget from BusyBox. It also iterates through 18 different malware builds for various CPU architectures, enabling it to infect both IoT devices and standard x86_64 Linux servers.

In some attacks, instead of deploying malware, the adversary attempted to steal credentials for Git and cloud environments. A successful breach could lead to cloud infrastructure compromise, software supply chain attacks, and other severe consequences.

Risk mitigation measures

We strongly recommend updating the relevant packages by applying patches released by the developers of the corresponding modules and bundles.
Vulnerable versions of React Server Components:

• react-server-dom-webpack (19.0.0, 19.1.0, 19.1.1, 19.2.0)
• react-server-dom-parcel (19.0.0, 19.1.0, 19.1.1, 19.2.0)
• react-server-dom-turbopack (19.0.0, 19.1.0, 19.1.1, 19.2.0)

Bundles and modules confirmed as using React Server Components:

• next
• react-router
• waku
• @parcel/rsc
• @vitejs/plugin-rsc
• rwsdk

To prevent exploitation while patches are being deployed, consider blocking all POST requests containing the following keywords in parameters or the request body:

• #constructor
• # proto
• #prototype
• vm#runInThisContext
• vm#runInNewContext
• child_process#execSync
• child_process#execFileSync
• child_process#spawnSync
• module#_load
• module#createRequire
• fs#readFileSync
• fs#writeFileSync
• s#appendFileSync

Conclusion

Due to the ease of exploitation and the public availability of a working PoC, threat actors have rapidly adopted CVE-2025-55182. It is highly likely that attacks will continue to grow in the near term.

We recommend immediately updating React to the latest patched version, scanning vulnerable hosts for signs of malware, and changing any credentials stored on them.

Indicators of compromise

Malware URLs
hxxp://172.237.55.180/b
hxxp://172.237.55.180/c
hxxp://176.117.107.154/bot
hxxp://193.34.213.150/nuts/bolts
hxxp://193.34.213.150/nuts/x86
hxxp://23.132.164.54/bot
hxxp://31.56.27.76/n2/x86
hxxp://31.56.27.97/scripts/4thepool_miner[.]sh
hxxp://41.231.37.153/rondo[.]aqu[.]sh
hxxp://41.231.37.153/rondo[.]arc700
hxxp://41.231.37.153/rondo[.]armeb
hxxp://41.231.37.153/rondo[.]armebhf
hxxp://41.231.37.153/rondo[.]armv4l
hxxp://41.231.37.153/rondo[.]armv5l
hxxp://41.231.37.153/rondo[.]armv6l
hxxp://41.231.37.153/rondo[.]armv7l
hxxp://41.231.37.153/rondo[.]i486
hxxp://41.231.37.153/rondo[.]i586
hxxp://41.231.37.153/rondo[.]i686
hxxp://41.231.37.153/rondo[.]m68k
hxxp://41.231.37.153/rondo[.]mips
hxxp://41.231.37.153/rondo[.]mipsel
hxxp://41.231.37.153/rondo[.]powerpc
hxxp://41.231.37.153/rondo[.]powerpc-440fp
hxxp://41.231.37.153/rondo[.]sh4
hxxp://41.231.37.153/rondo[.]sparc
hxxp://41.231.37.153/rondo[.]x86_64
hxxp://51.81.104.115/nuts/bolts
hxxp://51.81.104.115/nuts/x86
hxxp://51.91.77.94:13339/termite/51.91.77.94:13337
hxxp://59.7.217.245:7070/app2
hxxp://59.7.217.245:7070/c[.]sh
hxxp://68.142.129.4:8277/download/c[.]sh
hxxp://89.144.31.18/nuts/bolts
hxxp://89.144.31.18/nuts/x86
hxxp://gfxnick.emerald.usbx[.]me/bot
hxxp://meomeoli.mooo[.]com:8820/CLoadPXP/lix.exe?pass=PXPa9682775lckbitXPRopGIXPIL
hxxps://api.hellknight[.]xyz/js
hxxps://gist.githubusercontent[.]com/demonic-agents/39e943f4de855e2aef12f34324cbf150/raw/e767e1cef1c35738689ba4df9c6f7f29a6afba1a/setup_c3pool_miner[.]sh

MD5 hashes
0450fe19cfb91660e9874c0ce7a121e0
3ba4d5e0cf0557f03ee5a97a2de56511
622f904bb82c8118da2966a957526a2b
791f123b3aaff1b92873bd4b7a969387
c6381ebf8f0349b8d47c5e623bbcef6b
e82057e481a2d07b177d9d94463a7441

securelist.com/cve-2025-55182-…

Negli angoli più nascosti di internet, il traffico di dati rubati e accessi non autorizzati continua a prosperare. Un recente post apparso su un forum underground chiuso, mostra la vendita di 896 credenziali VPN FortiSSL, complete di indirizzo IP e credenziali in chiaro, a un prezzo complessivo di 3.000 dollari.

Il post nelle underground e la minaccia latente

L’annuncio, pubblicato da un utente elenca gli accessi disponibili per diverse nazioni, tra cui Stati Uniti, Germania, Austria, Singapore, Giappone, Corea del Sud, Italia, Emirati Arabi Uniti, Brasile, Svizzera e Francia. I dati sono offerti nel tradizionale formato ip:port user:password, facilmente utilizzabile da chiunque abbia conoscenze base di rete.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

La vendita di credenziali VPN rappresenta una minaccia crescente per aziende e privati. Le VPN, strumenti pensati per garantire privacy e sicurezza online, diventano così una porta d’ingresso per attacchi informatici mirati, furti di dati sensibili e attività di spionaggio digitale.

Il fatto che questi accessi siano commercializzati con una “garanzia dell’utente” evidenzia la professionalizzazione del mercato criminale, dove l’affidabilità del venditore è diventata un fattore di marketing tra i cybercriminali.

Secondo gli esperti di cybersecurity, forum di questo tipo stanno diventando sempre più sofisticati, offrendo non solo credenziali, ma veri e propri servizi di accesso a reti aziendali, server FTP e database. La presenza di accessi provenienti da diverse nazioni evidenzia inoltre l’internazionalità del fenomeno, che può avere ripercussioni globali se le credenziali vengono utilizzate per attacchi mirati.

Le autorità e le aziende sono quindi chiamate a rafforzare le difese dei sistemi VPN e ad adottare misure di sicurezza avanzate, come l’autenticazione a più fattori e il monitoraggio continuo degli accessi, per contrastare la proliferazione di credenziali rubate nel dark web.

Cosa devono fare le aziende italiane dopo aver letto questo articolo

L’allarme lanciato da questo post sottolinea quanto sia delicato il confine tra strumenti di protezione e vulnerabilità sfruttabili dai criminali: nel mondo digitale, anche una VPN, se compromessa, può trasformarsi in un rischio significativo per la sicurezza informatica.

Le aziende non possono permettersi di affidarsi alla speranza: la protezione dei sistemi VPN deve diventare una priorità strategica. È fondamentale implementare l’autenticazione a più fattori (MFA) per tutti gli accessi remoti, aggiornare regolarmente le configurazioni dei dispositivi e dei server VPN, e adottare soluzioni di monitoraggio continuo degli accessi e dei log di rete.

Anche la formazione del personale gioca un ruolo cruciale: sensibilizzare dipendenti e collaboratori sulle minacce legate a credenziali compromesse riduce significativamente il rischio di incidenti.

Inoltre, le aziende devono considerare la gestione proattiva delle credenziali, inclusa la rotazione periodica delle password e l’utilizzo di strumenti sicuri per la loro memorizzazione.

Controlli regolari sulle vulnerabilità, audit di sicurezza e simulazioni di attacco consentono di identificare e correggere punti deboli prima che possano essere sfruttati. Solo adottando un approccio integrato e costantemente aggiornato è possibile ridurre il rischio derivante dalla vendita e dall’utilizzo illecito di credenziali VPN nel dark web.

L'articolo 896 accessi a FortiSSL in vendita a 3.000$ tra i quali anche di aziende italiane proviene da Red Hot Cyber.

The European Ombudsman has found that the Commission disregarded important transparency rules while preparing the Europol Regulation, which is a part of the legislation to "counter migrant smuggling". The inquiry concluded that the Commission didn't provide enough evidence to justify the claims of "urgency" to bypass their own 'Better Regulation' rules, and skipping public consultations, thorough impact assessments and evidence gathering.

The post Migrant smuggling laws: European Commission found in breach of transparency rules appeared first on European Digital Rights (EDRi).

EDRi affiliate Danes je nov dan launched a multi-faceted campaign in response to a government proposal that would allow the Slovene Intelligence and Security Agency (SOVA) to use invasive spyware and mass surveillance tools under the guise of “national security”. By combining a satirical online tool with targeted advocacy towards lawmakers, their efforts helped generate critical pressure needed to stop the legislation from being adopted.

The post How Danes je nov dan helped stop dangerous spyware in Slovenia appeared first on European Digital Rights (EDRi).

Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi piena coerenza con le informazioni rese pubbliche dal Dipartimento di Giustizia degli Stati Uniti.

Già a luglio avevamo descritto il funzionamento di DDoSia e il ruolo di NoName057(16) nel reclutare volontari per attacchi DDoS tramite Telegram, evidenziando come dietro quella che sembrava un’attività di “cyber-volontariato patriottico” ci fosse un coordinamento centralizzato e infrastrutture riconducibili a figure legate al CISM, organismo filogovernativo russo. I documenti e le accuse odierne confermano che questi strumenti e network venivano utilizzati per sostenere interessi geopolitici russi, colpendo infrastrutture critiche e bersagli strategici in tutto il mondo.

La corrispondenza tra le nostre osservazioni investigative e le incriminazioni ufficiali dimostra che la logica di coordinamento centralizzato e il legame con istituzioni russe erano elementi concreti, non ipotesi.

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato ieri due nuove incriminazioni contro Victoria Eduardovna Dubranova, 33 anni, nota anche con i soprannomi Vika, Tory e SovaSonya, per il suo ruolo in cyberattacchi e intrusioni informatiche rivolti contro infrastrutture critiche, a sostegno degli interessi geopolitici russi.

Dubranova, estradata negli Stati Uniti in seguito al primo capo d’accusa relativo al gruppo CyberArmyofRussia_Reborn (CARR), è stata oggi formalmente incriminata anche per le sue azioni a supporto di NoName057(16) (NoName). La donna ha dichiarato di non essere colpevole in entrambi i casi; il processo per NoName è previsto per il 3 febbraio 2026, mentre per CARR inizierà il 7 aprile 2026.

“Le azioni di oggi dimostrano l’impegno del Dipartimento nel contrastare le attività informatiche russe dannose, siano esse condotte direttamente da attori statali o da loro mandatari criminali, volte a promuovere gli interessi geopolitici della Russia”, ha dichiarato il Procuratore Generale Aggiunto per la Sicurezza Nazionale John A. Eisenberg. “Rimaniamo fermi nel difendere i servizi essenziali, compresi i sistemi alimentari e idrici su cui gli americani fanno affidamento ogni giorno, e nel chiamare a rispondere coloro che cercano di indebolirli”.

Secondo le accuse, il governo russo ha sostenuto finanziariamente entrambe le organizzazioni, consentendo loro di accedere a servizi cybercriminali, tra cui abbonamenti a piattaforme DDoS-for-hire. CARR, noto anche come Z-Pentest, è stato fondato, finanziato e diretto dal GRU, e ha rivendicato centinaia di attacchi a livello globale, colpendo infrastrutture critiche statunitensi, sistemi idrici pubblici, impianti di lavorazione della carne e persino siti elettorali.

NoName057(16), invece, operava tramite un sistema di crowd-hacking chiamato DDoSia, distribuito tramite Telegram a volontari reclutati in tutto il mondo. Gli utenti venivano incentivati con pagamenti in criptovalute in base alla quantità di attacchi DDoS eseguiti, seguendo leaderboard quotidiane pubblicate dal gruppo. Le vittime includevano enti governativi, istituti finanziari e infrastrutture strategiche come porti e ferrovie pubbliche.

Red Hot Cyber aveva già osservato nel febbraio 2025 il funzionamento di DDoSia e l’infrastruttura di NoName057(16), descrivendo un ecosistema che, pur apparendo come un’attività volontaria, mostrava chiari elementi di coordinamento centralizzato. Analisi del client DDoSia rivelarono server C2 nascosti, che impartivano comandi criptati agli utenti e coordinavano attacchi simultanei, confermando una logica organizzativa oltre la semplice partecipazione “volontaria”.

Le indagini dell’Operazione Eastwood, condotta da Europol, avevano portato allo smantellamento di oltre 100 server in cinque Paesi europei e al fermo di diversi individui in Francia e Spagna. L’inchiesta aveva inoltre evidenziato il ruolo di figure chiave come Maxim Nikolaevič Lupin, direttore generale del CISM (Centro per lo Studio e il Monitoraggio dell’Ambiente Giovanile), e Mihail Evgenyevich Burlakov, professore associato e vice-direttore del medesimo centro.

Il CISM, sebbene ufficialmente impegnato nella tutela dei giovani e nella prevenzione dei contenuti dannosi, ha legami documentati con le infrastrutture utilizzate da NoName057(16). Burlakov è riconosciuto come progettista del client DDoSiae responsabile della gestione dei server usati per gli attacchi, mentre Lupin gestiva la direzione strategica delle operazioni. Documenti interni e evidenze OSINT mostrano una sovrapposizione tra attività di rieducazione giovanile e strumenti di attacco informatico, sollevando interrogativi sul confine tra controllo sociale e operazioni cyber.

Le accuse contro Dubranova comprendono cospirazione per danneggiare computer protetti, frode informatica e furto di identità aggravato, con pene massime che arrivano fino a 27 anni di carcere per le azioni legate a CARR e fino a cinque anni per NoName. Parallelamente, il Dipartimento di Stato USA offre ricompense fino a 10 milioni di dollari per informazioni su individui legati a NoName e fino a 2 milioni per informazioni su CARR.

Secondo le agenzie statunitensi, gruppi hacktivisti filo-russi come CARR e NoName sfruttano connessioni remote poco protette per infiltrarsi in sistemi di infrastrutture critiche, causando impatti fisici e operativi significativi. L’FBI, la CISA, la NSA e altre agenzie hanno ribadito la loro determinazione a identificare e neutralizzare questi attori, sottolineando l’importanza di proteggere servizi essenziali come acqua, energia e trasporti.

L'articolo DDoSia e NoName057(16): le indagini di RHC confermate dal Dipartimento di Giustizia USA proviene da Red Hot Cyber.

This article highlights evidence-based alternatives that strengthen child safety while safeguarding encryption and fundamental rights. It calls for better enforcement, more targeted tools, and meaningful support for child protection services rather than broad surveillance measures.

The post Moving past ‘Chat Control’ to solutions that truly protect kids and privacy appeared first on European Digital Rights (EDRi).

The Dutch word for sundial, zonnewijzer, can be literally translated into “Sun Pointer” according to [illusionmanager] — and he took that literal translation literally, building a reverse sundial so he would always know the precise location of our local star, even when it is occluded by clouds or the rest of the planet.

The electronics aren’t hugely complicated: an ESP32 dev board, an RTC board, and a couple of steppers. But the craftsmanship is, as usual for [illusionmanager], impeccable. You might guess that one motor controls the altitude and the other the azimuth of the LED-filament pointer (a neat find from AliExpress), but you’d be wrong.

This is more like an equatorial mount, in that the shaft the arrow spins upon is bent at a 23.5 degree angle. Through that hollow shaft a spring-steel wire connects the arrow to one stepper, to drive it through the day. The second stepper turns the shaft to keep the axis pointed correctly as Earth orbits the sun.

Either way you can get an arrow that always points at the sun, but this is lot more elegant than an alt-az mount would have been, at the expense of a fiddlier build. Given the existence of the orrery clock we featured from him previously, it’s safe to say that [illusionmanager] is not afraid of a fiddly build. Doing it this way also lets you read the ticks on the base just as you would a real sundial, which takes this from discussion piece to (semi) usable clock.

hackaday.com/2025/12/10/revers…

Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notepad++ potrebbe consentire agli aggressori di dirottare il traffico di rete, compromettere il processo di aggiornamento e installare malware sui computer interessati. Questa falla è stata ora corretta nella versione 8.8.9 di Notepad++.

Gli utenti che utilizzano versioni precedenti dovrebbero eseguire immediatamente una scansione approfondita con un software di sicurezza affidabile. I loro sistemi potrebbero essere già stati compromessi; nei casi più gravi, una reinstallazione completa del sistema potrebbe essere l’unica soluzione affidabile.

Secondo gli sviluppatori, l’utilità di aggiornamento di Notepad++, WinGUp, potrebbe, in determinate circostanze, essere reindirizzata a un server dannoso, con conseguente download di un eseguibile manomesso in grado di infettare il sistema.

Durante il processo di aggiornamento, WinGUp controlla il numero di versione e interroga l’endpoint notepad-plus-plus.org/update/g… Questo endpoint genera un file XML che include l’URL per il download, che l’aggiornamento recupera ed esegue dalla directory %TEMP%. Qualsiasi avversario in grado di intercettare e modificare questo traffico potrebbe alterare l’URL di download, ad esempio sostituendolo con un collegamento a un payload dannoso.

A partire dalla versione 8.8.7, Notepad++ ha adottato un certificato digitale GlobalSign affidabile, eliminando la necessità per gli utenti di installare un certificato radice separato e rafforzando notevolmente la sicurezza dell’applicazione.

La versione 8.8.8 ha introdotto il requisito che WinGUp utilizzi GitHub.com come unica fonte di download, mentre la nuova versione 8.8.9 migliora ulteriormente la sicurezza convalidando correttamente la firma digitale e il certificato del file scaricato. Se la verifica fallisce, il processo di aggiornamento viene interrotto.

Gli sviluppatori non hanno ancora determinato con precisione come si sia verificato il dirottamento del traffico e sono in corso ulteriori indagini. Tuttavia, le prove esistenti suggeriscono che gli aggressori abbiano già sfruttato la vulnerabilità contro specifiche organizzazioni prese di mira.

Si consiglia vivamente agli utenti di aggiornare almeno alla versione 8.8.8, sebbene sia preferibile l’aggiornamento diretto alla versione 8.8.9. Poiché la versione 8.8.8 non è in grado di rilevare l’ultima versione, gli utenti dovrebbero scaricare manualmente la versione 8.8.9 dal sito web ufficiale.

L'articolo Supply chain: Notepad++ rafforza la sicurezza dopo un grave incidente di dirottamento del traffico proviene da Red Hot Cyber.

Una vulnerabilità critica associata all’esecuzione di codice remoto (RCE) in Outlook è stata sanata da Microsoft, potenzialmente consentendo a malintenzionati di attivare codice dannoso su sistemi deboli. La vulnerabilità monitorata con l’identificativo CVE-2025-62562, deriva da una vulnerabilità di tipo use-after-free in Microsoft Office Outlook e ha una severity CVSS: 7,8.

L’attivazione dell’exploit avviene localmente, richiedendo all’aggressore di indurre un utente a interagire con un’e-mail dannosa. Una volta fatto ciò, l’attacco scatenato convince l’utente a rispondere ad un’e-mail fasulla, innescando la catena di esecuzione del codice.

Una vulnerabilità che richiede l’interazione dell’utente

Secondo Microsoft, è fondamentale che le organizzazioni installino prioritariamente gli aggiornamenti di sicurezza disponibili per tutte le versioni di Microsoft Office che sono state oggetto dell’aggiornamento.

La vulnerabilità interessa diverse versioni di Microsoft Office , tra cui Microsoft Word 2016 (sia a 32 bit che a 64 bit). Il riquadro di anteprima non consente l’esecuzione della minaccia. L’aggressore ha bisogno che l’utente risponda manualmente a un’e-mail appositamente creata per sfruttare la vulnerabilità.

Microsoft ha confermato che le patch di sicurezza sono disponibili tramite Windows Update e Microsoft Download Center. Questo requisito di interazione aggiunge un ulteriore livello di difficoltà. Tuttavia, rimane una minaccia concreta in scenari reali in cui le tecniche di ingegneria sociale potrebbero convincere gli utenti a rispondere.

Haifei Li di EXPMON ha segnalato la vulnerabilità mediante il processo di Coordinated Vulnerability Disclosure. Al momento della pubblicazione, risulta che non esistono prove di sfruttamento attivo o di divulgazione pubblica del codice di exploit.

Gli aggiornamenti per Microsoft Office LTSC per Mac 2021 e 2024 non sono immediatamente disponibili. Saranno rilasciati il prima possibile. Per i sistemi senza disponibilità immediata delle patch, Microsoft consiglia di prestare attenzione alle e-mail indesiderate ed evitare di rispondere a messaggi sospetti.

Il fattore umano ancora il punto di svolta

Nonostante le tecnologie di difesa continuino a evolvere, il fattore umano rimane tuttora il punto più fragile dell’intera catena di sicurezza. La vulnerabilità RCE di Outlook lo dimostra chiaramente: l’exploit non si attiva da solo, ma richiede che l’utente risponda a un’e-mail appositamente costruita.

In un contesto in cui gli attacchi diventano sempre più convincenti grazie a tecniche di ingegneria sociale potenziate dall’intelligenza artificiale, anche un singolo clic può trasformarsi nella porta d’ingresso per un compromesso grave. Le organizzazioni che non investono nella formazione continua dei propri dipendenti si ritrovano inevitabilmente esposte, perché nessuna patch o soluzione tecnologica può compensare un comportamento inconsapevole.

Nell’era delle minacce AI-driven, la consapevolezza al rischio non è più solo un valore aggiunto, ma un fattore determinante per la resilienza aziendale. I moderni attacchi sfruttano analisi comportamentali, testi generati dall’IA indistinguibili dall’umano e campagne mirate che fanno leva su abitudini, pressioni lavorative e automatismi psicologici.

In questo scenario, sviluppare una cultura della sicurezza – fatta di attenzione, dubbi sani e processi di verifica – diventa essenziale quanto mantenere aggiornati i sistemi. Solo integrando tecnologia e comportamenti consapevoli, le aziende possono realmente resistere alle minacce sempre più sofisticate che l’intelligenza artificiale contribuisce a generare.

L'articolo Nuova RCE in Outlook: il fattore umano nella cybersecurity è ancora il punto di svolta proviene da Red Hot Cyber.

Aircraft parts generally have to meet very specific standards, because if certain parts fail, the aircraft falls out of the sky. This usually ends poorly, and is best avoided by using the proper equipment during repair and maintenance tasks. A great example of this comes to us from the UK, where a light aircraft crashed after an aftermarket 3D printed component failed. (via BBC)
It’s not supposed to look like that. Credit: AAIB
The report from the Air Accidents Investigation Branch tells the story. The owner of a Cozy MK IV light aircraft had fitted it with a 3D-printed air intake elbow, which fed the engine. During the landing phase of a recent flight, the air intake collapsed, starving the engine of air and leading to a loss of power. With precious little altitude and speed, the pilot was unable to reach the runway, landing short and crashing into part of the airfield’s instrument landing system (ILS). Thankfully, the pilot only suffered minor injuries.

Post-crash analysis revealed that the aircraft owner had installed the 3D-printed component, purchased from an air show in the United States. The part was believed to be printed in a CF-ABS filament, with a supposed glass transition temperature of 105 C. Noting this was above the glass transition temperature of the standard fiberglass epoxy resin part used in these aircraft, the owner believed the part to be fit for purpose. However, post-crash testing revealed the 3D printed part had a glass transition temperature of under 55 C, and also lacked the aluminium tube reinforcement of the standard intake. Thus, when it was used in the hot engine bay of the small aircraft, it eventually grew hot enough to fail, causing the loss of power that led to the crash.

The basic lesson here is easy to understand. Don’t rely on an untested 3D printed part when life and limb are on the line. You wouldn’t 3D print a seatbelt, now, would you? Stick to stuff that won’t hurt you if it fails, and be safe out there.

[Thanks to George Graves for the tip!]

hackaday.com/2025/12/10/3d-pri…

Un aggiornamento urgente è stato pubblicato da Google per la versione stabile del browser Desktop, al fine di risolvere una vulnerabilità estremamente grave che è attualmente oggetto di sfruttamento.

Questo aggiornamento, che porta il browser alla versione 143.0.7499.109/.110, risolve tre vulnerabilità di sicurezza, compresa una falla zero-day contrassegnata come 466192044. Google, diversamente dal solito, ha tenuto nascosti i dettagli del suo identificatore CVE, limitandosi a indicarlo come “In fase di coordinamento”.

Google ha inoltre risolto, altre due vulnerabilità di media gravità segnalate da esperti di sicurezza esterni. Per questo, sono stati assegnati complessivamente 4.000 dollari nell’ambito del programma di bounty per i bug e sono:

• CVE-2025-14372: una vulnerabilità di tipo “use-after-free” nel Password Manager. Questo bug di danneggiamento della memoria è stato segnalato da Weipeng Jiang (@Krace) di VRI il 14 novembre 2025, che ha fruttato una ricompensa di 2.000 dollari.
• CVE-2025-14373: Un’implementazione inappropriata nella barra degli strumenti. Scoperta dal ricercatore Khalil Zhani il 18 novembre 2025, anche questa falla comportava una ricompensa di 2.000 dollari.

Ritornando alla precedente vulnerabilità senza CVE, l’azienda ha riportato un monito severo: “È noto a Google che esista un exploit specifico del numero 466192044″. Ciò conferma che gli autori della minaccia hanno già sfruttato la falla per colpire gli utenti.

La condizione di “coordinamento in corso” implica che la vulnerabilità potrebbe implicare un’ulteriore cooperazione con altri fornitori, prima di poter rendere pubblici i dettagli tecnici completi in piena sicurezza.

L’aggiornamento è ora disponibile per gli utenti Windows, Mac e Linux. Dato lo sfruttamento attivo della vulnerabilità ad alta gravità, si consiglia vivamente ad amministratori e utenti di non attendere il rilascio automatico.

L'articolo Chrome sotto attacco! Google rilascia d’urgenza una patch per un bug senza CVE proviene da Red Hot Cyber.

Appena due giorni dopo la scoperta della vulnerabilità critica di React2Shell, i ricercatori di Sysdig hanno scoperto un nuovo malware, EtherRAT, in un’applicazione Next.js compromessa. Il malware utilizza gli smart contract di Ethereum per la comunicazione e ottiene persistenza sui sistemi Linux in cinque modi.

Gli esperti ritengono che il malware sia correlato agli strumenti utilizzati dal gruppo nordcoreano Lazarus. Tuttavia, EtherRAT differisce dai campioni noti per diversi aspetti chiave.

React2Shell (CVE-2025-55182) è una vulnerabilità critica nella popolare libreria JavaScript React di Meta.Il problema, che ha ricevuto un punteggio CVSS di 10 su 10, è correlato alla deserializzazione non sicura dei dati nei componenti di React Server e consente l’esecuzione di codice remoto sul server utilizzando una normale richiesta HTTP (senza autenticazione o privilegi).

Il bug riguarda le ultime versioni 19.0, 19.1.0, 19.1.1 e 19.2.0 nelle configurazioni predefinite, nonché il famoso framework Next.js. Le correzioni sono state rilasciate nelle versioni 19.0.1, 19.1.2 e 19.2.1 di React, nonché per le versioni di Next.js interessate.

Gli esperti avvertono che potrebbero verificarsi problemi simili in altre librerie con implementazioni di React Server, tra cui: plugin Vite RSC, plugin Parcel RSC, anteprima di React Router RSC, RedwoodSDK e Waku.

La vulnerabilità è già stata sfruttata dai gruppi di hacker cinesi Earth Lamia e Jackpot Panda e almeno 30 organizzazioni sono state colpite dagli attacchi.

Gli attacchi iniziano sfruttando la vulnerabilità React2Shell. Una volta sfruttata, un comando shell codificato in base64 viene eseguito sul sistema di destinazione. Questo comando viene utilizzato per scaricare uno script s.sh dannoso tramite curl, wget o python3. Il comando viene ripetuto ogni 300 secondi fino al completamento del download. Lo script risultante viene verificato, gli vengono concessi i permessi di esecuzione e viene avviato.

Lo script crea quindi una directory nascosta in $HOME/.local/share/, dove scarica la versione 20.10.0 del runtime Node.js legittimo direttamente dal sito web ufficiale nodejs.org. Quindi scrive un payload crittografato e un dropper JavaScript offuscato, che viene eseguito tramite il binario Node scaricato. Lo script si elimina quindi da solo.

Il dropper legge il blob crittografato, lo decrittografa utilizzando una chiave AES-256-CBC codificata e scrive il risultato come un altro file JavaScript nascosto. Il payload decrittografato è EtherRAT, distribuito utilizzando Node.js precedentemente installato.

Secondo gli esperti, EtherRAT utilizza gli smart contract di Ethereum per il controllo, rendendo gli aggressori resistenti al blocco. Il malware interroga simultaneamente nove provider RPC pubblici di Ethereum e seleziona il risultato in base al voto a maggioranza, proteggendo dall’avvelenamento di un singolo nodo o di un sinkhole.

Ogni 500 millisecondi, il malware invia URL casuali, simili agli indirizzi CDN, al suo server di comando e controllo ed esegue il codice JavaScript restituito tramite AsyncFunction. Questo fornisce agli aggressori una shell Node.js interattiva a tutti gli effetti.

Secondo gli analisti, gli hacker nordcoreani hanno già utilizzato contratti intelligenti per distribuire malware. Questa tecnica, chiamata EtherHiding, è stata descritta in report di Google e GuardioLabs . Sysdig osserva inoltre che il pattern di download crittografato in EtherRAT corrisponde a quello del malware BeaverTail, utilizzato nella campagna Contagious Interview collegata alla Corea del Nord.

Il rapporto sottolinea inoltre l’estrema aggressività di EtherRAT nei sistemi Linux. Il malware utilizza cinque meccanismi per insediarsi nel sistema infetto:

• cron;
• iniezione in bashrc;
• Avvio automatico XDG;
• servizio utente systemd;
• iniezione nel profilo.

Un’altra caratteristica unica di EtherRAT è la sua capacità di auto-aggiornamento. Il malware carica il suo codice sorgente su un endpoint API e riceve codice sostituito con le stesse funzionalità ma con un offuscamento diverso. Il malware si sovrascrive quindi e avvia un nuovo processo con il payload aggiornato. Secondo i ricercatori, questo aiuta a eludere i meccanismi di rilevamento statici, può ostacolare l’analisi o aggiungere funzionalità specifiche.

Nel suo rapporto, Sysdig fornisce un breve elenco di indicatori di compromissione relativi all’infrastruttura di distribuzione EtherRAT e ai contratti Ethereum. I ricercatori raccomandano di verificare la presenza dei meccanismi di persistenza elencati, di monitorare il traffico RPC di Ethereum, di monitorare i log delle applicazioni e di ruotare regolarmente le credenziali.

L'articolo React2Shell sfruttata da Lazarus? Nasce EtherRAT, il malware che vive sulla blockchain proviene da Red Hot Cyber.

For as long as there have been supercomputers, people like us have seen the announcements and said, “Boy! I’d love to get some time on that computer.” But now that most of us have computers and phones that greatly outpace a Cray 2, what are we doing with them? Of course, a supercomputer today is still bigger than your PC by a long shot, and if you actually have a use case for one, [Stephen Wolfram] shows you how you can easily scale up your processing by borrowing resources from the Wolfram Compute Services. It isn’t free, but you pay with Wolfram service credits, which are not terribly expensive, especially compared to buying a supercomputer.

[Stephen] says he has about 200 cores of local processing at his house, and he still sometimes has programs that run overnight. If your program already uses a Wolfram language and uses parallelism — something easy to do with that toolbox — you can simply submit a remote batch job.

What constitutes a supercomputer? You get to pick. You can just offload your local machine using a single-core 8GB virtual machine — still a supercomputer by 1980s standards. Or you get machines with up to 1.5TB of RAM and 192 cores. Not enough for your mad science? No worries, you can map a computation across more than one machine, too.

As an example, [Stephen] shows a simple program that tiles pentagons:

When the number of pentagons gets large, a single line of code sends it off to the cloud:

RemoteBatchSubmit[PentagonTiling[500]]

The basic machine class did the work in six minutes and 30 seconds for a cost of 5.39 credits. He also shows a meatier problem running on a 192-core 384GB machine. That job took less than two hours and cost a little under 11,000 credits (credit cost from just over $4/1000 to $6/1000, depending on how many you buy, so this job cost about $55 to run). If two hours is too much, you can map the same job across many small machines, get the answer in a few minutes, and spend fewer credits in the process.

Supercomputers today are both very different from old supercomputers and yet still somewhat the same. If you really want that time on the Cray you always wanted, you might think about simulation.

hackaday.com/2025/12/10/your-s…

There’s a type of dust-collector that’s been popular since the 1990s, where a cube of acrylic or glass is laser-etched in a three-dimensional pattern. Some people call them bubblegrams. While it could be argued that bubblegrams are a sort of 3D display, they’re more like a photograph than a TV. [Ancient] had the brainwave that since these objects work by scattering light, he could use them as a proper 3D video display by controlling the light scattered from an appropriately-designed bubblegram.

Appropriately designed, in this case, means a point cloud, which is not exactly exciting to look at on its own. It’s when [Ancient] adds the colour laser scanning projector that things get exciting. Well, after some very careful alignment. We imagine if this was to go on to become more than a demonstrator some sort of machine-vision auto-aligning would be desirable, but [Ancient] is able to conquer three-dimensional keystoning manually for this demonstration. Considering he is, in effect, projection-mapping onto the tiny bubbles in the crystal, that’s impressive work. Check out the video embedded below.

With only around 38,000 points, the resolution isn’t exactly high-def, but it is enough for a very impressive proof-of-concept. It’s also not nearly as creepy as the Selectric-inspired mouth-ball that was the last [Ancient] project we featured. It’s also a lot less likely to take your fingers off than the POV-based volumetric display [Ancient] was playing DOOM on a while back.

For the record, this one runs the same DOOM port, too– it’s using the same basic code as [Ancient]’s other displays, which you can find on GitHub under an MIT license.

Thanks to [Hari Wiguna] for the tip.

youtube.com/embed/wrfBjRp61iY?…

hackaday.com/2025/12/10/volume…

Ever think about all the moving parts involving a big KiCad project going into production? You need to provide manufacturer documentation, assembly instructions and renders for them to reference, every output file they could want, and all of it has to always stay up to date. [Vincent Nguyen] has a software pipeline to create all the files and documentation you could ever want upon release – with an extensive installation and usage guide, helping you turn your KiCad projects truly production-grade.

This KiBot-based project template has no shortage of features. It generates assembly documents with custom processing for a number of production scenarios like DNPs, stackup and drill tables, fab notes, it adds features like table of contents and 3D renders into KiCad-produced documents as compared to KiCad’s spartan defaults, and it autogenerates all the outputs you could want – from Gerbers, .step and BOM files, to ERC/DRC reports and visual diffs.

This pipeline is Github-tailored, but it can also be run locally, and it works wonderfully for those moments when you need to release a PCB into the wild, while making sure that the least amount of things possible can go wrong during production. With all the features, it might take a bit to get used to. Don’t need fully-featured, just some GitHub page images? Use this simple plugin to auto-add render images in your KiCad repositories, then.

youtube.com/embed/63R6Wnx44uY?…

We thank [Jaac] for sharing this with us!

hackaday.com/2025/12/10/produc…

This week Jonathan chats with K. S. Bhaskar about YottaDB. This very high performance database has some unique tricks! How does YottaDB run across multiple processes without a daemon? Why is it licensed AGPL, and how does that work with commercial deployments? Watch to find out!

• yottadb.com/feed/
• github.com/YottaDB/YDB

youtube.com/embed/aUhdny-zHdw?…

Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or have the guest contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2025/12/10/floss-…

The basic concept of human intelligence entails self-awareness alongside the ability to reason and apply logic to one’s actions and daily life. Despite the very fuzzy definition of ‘human intelligence‘, and despite many aspects of said human intelligence (HI) also being observed among other animals, like crows and orcas, humans over the ages have always known that their brains are more special than those of other animals.

Currently the Cattell-Horn-Carroll (CHC) theory of intelligence is the most widely accepted model, defining distinct types of abilities that range from memory and processing speed to reasoning ability. While admittedly not perfect, it gives us a baseline to work with when we think of the term ‘intelligence’, whether biological or artificial.

This raises the question of how in the context of artificial intelligence (AI) the CHC model translate to the technologies which we see in use today. When can we expect to subject an artificial intelligence entity to an IQ test and have it handily outperform a human on all metrics?

Types Of Intelligence

While the basic CHC model contains ten items, the full model is even more expansive, as can be seen in the graphic below. Most important are the overarching categories and the reasoning for the individual items in them, as detailed in the 2014 paper by Flanagan and McGrew. Of these, reasoning (Gf, for fluid intelligence), acquired knowledge and memory (long and short term) are arguably the most relevant when it comes to ‘general intelligence’.
Current and expanded CHC theory of cognitive abilities. Source: Flanagan & McGrew (1997).
Fluid intelligence (Gf), or reasoning, entails the ability to discover the nature of the problem or construction, to use a provided context to fill in the subsequent steps, and to handle abstract concepts like mathematics. Crystallized intelligence (Gc) can be condensed to ‘basic skills’ and general knowledge, including the ability to communicate with others using a natural language.

The basic memory abilities pertain to short-term (Gsm) and long-term recall (Glr) abilities, in particular attention span, working memory and the ability to recall long-term memories and associations within these memories.

Beyond these basic types of intelligence and abilities we can see that many more are defined, but these mostly expand on these basic four, such as visual memory (Gv), various visual tasks, speed of memory operations, reaction time, reading and writing skills and various domain specific knowledge abilities. Thus it makes sense to initially limit evaluating both HI and AI within this constrained framework.

Are Humans Intelligent?

North American Common Raven (Corvus corax principalis) in flight at Muir Beach in Northern California (Credit: Copetersen)
It’s generally considered a foregone conclusion that because humans as a species possesses intelligence, ergo facto every human being possesses HI. However, within the CHC model there is a lot of wriggle room to tone down this simplification. A big part of IQ tests is to test these these specific forms of intelligence and skills, after all, creating a mosaic that’s then boringly reduced to a much less meaningful number.

The main discovery over the past decades is that the human brain is far less exceptional than we had assumed. For example crows and their fellow corvids easily keep up with humans in a range of skills and abilities. As far as fluid intelligence is concerned, they clearly display inductive and sequential reasoning, as they can solve puzzles and create tools on the spot. Similarly, corvids regularly display the ability to count and estimate volumes, demonstrating quantitative reasoning. They have regularly demonstrated understanding water volume, density of objects and the relation between these.

In Japanese parks, crows have been spotted manipulating the public faucets for drinking and bathing, adjusting the flow to either a trickle or a strong flow depending on what they want. Corvids score high on the Gf part of the CHC model, though it should be said that the Japanese crow in the article did not turn the faucet back off again, which might just be because they do not care if it keeps running.

When it comes to crystallized intelligence (Gc) and the memory-related Gsm and Glr abilities, corvids score pretty high as well. They have been reported to remember human faces, to learn from other crows by observing them, and are excellent at mimicking the sounds that other birds make. There is evidence that corvids and other avian dinosaur species (‘birds’) are capable of learning to understand human language, and even communicating with humans using these learned words.

The key here is whether the animal understands the meaning of the vocalization and what vocalizing it is meant to achieve when interacting with a human. Both parrots and crows show signs of being able to learn significant vocabularies of hundreds of words and conceivably a basic understanding of their meaning, or at least what they achieve when uttered, especially when it comes to food.

Whether non-human animals are capable of complex human speech remains a highly controversial topic, of course, though we are breathlessly awaiting the day that the first crow looks up at a human and tells the hairless monkey what they really think of them and their species as a whole.

The Bears

The bear-proof garbage bins at Yosemite National Park. (Credit: detourtravelblog)
Meanwhile there’s a veritable war of intellects going on in US National Parks between humans and bears, involving keeping the latter out of food lockers and trash bins while the humans begin to struggle the moment the bear-proof mechanism requires more than two hand motions. This sometimes escalates to the point where bears are culled when they defeat mechanisms using brute force.

Over the decades bears have learned that human food is easier to obtain and fills much better than all-natural food sources, yet humans are no longer willing to share. The result is an arms race where bears are more than happy to use any means necessary to obtain tasty food. Ergo we can put the Gf, Gc and memory-related scores for bears also at a level that suggests highly capable intellects, with a clear ability to learn, remember, and defeat obstacles through intellect. Sadly, the bear body doesn’t lend itself well to creating and using tools like a corvid can.

Despite the flaws of the CHC model and the weaknesses inherent in the associated IQ test scores, it does provide some rough idea of how these assessed capabilities are distributed across a population, leading to a distinct Bell curve for IQ scores among humans and conceivably for other species if we could test them. Effectively this means that there is likely significant overlap between the less intelligent humans and smarter non-human animals.

Although H. sapiens is undeniably an intelligent species, the reality is that it wasn’t some gods-gifted power, but rather an evolutionary quirk that it shares with many other lifeforms. This does however make it infinitely more likely that we can replicate it with a machine and/or computer system.

Making Machines Intelligent

Artificial Intelligence Projects for the Commodore 64, by Timothy J. O’Malley
The conclusion we have thus reached after assessing HI is that if we want to make machines intelligent, they need to acquire at least the Gf, Gc, Gsm and Glr capabilities, and at a level that puts them above that of a human toddler, or a raven if you wish.

Exactly how to do this has been the subject of much research and study the past millennia, with automatons (‘robots’) being one way to pour human intellect into a form that alleviates manual labor. Of course, this is effectively merely on par with creating tools, not an independent form of intelligence. For that we need to make machines capable of learning.

So far this has proved very difficult. What we are capable of so far is to condense existing knowledge that has been annotated by humans into a statistical model, with large language models (LLMs) as the pinnacle of the current AI hype bubble. These are effectively massively scaled up language models following the same basic architecture as those that hobbyists were playing with back in the 1980s on their home computers.

With that knowledge in mind, it’s not so surprising that LLMs do not even really register on the CHC model. In terms of Gf there’s not even a blip of reasoning, especially not inductively, but then you would not expect this from a statistical model.

As far as Gc is concerned, here the fundamental flaw of a statistical model is what it does not know. It cannot know what it doesn’t know, nor does it understand anything about what is stored in the weights of the statistical model. This is because it’s a statistical model that’s just as fixed in its functioning as an industrial robot. Chalk up another hard fail here.

Finally, although the context window of LLMs can be considered to be some kind of short-term memory, it is very limited in its functionality. Immediate recall of a series of elements may work depending on the front-end, but cognitive operations invariably fail, even very basic ones such as adding two numbers. This makes Gsm iffy at best, and more realistically a complete fail.

Finally, Glr should be a lot easier, as LLMs are statistical models that can compress immense amounts of data for easy recall. But this associative memory is an artefact of human annotation of training data, and is fixed at the time of training the model. After that, it does not remember outside of its context window, and its ability to associate text is limited to the previous statistical analysis of which words are most likely to occur in a sequence. This fact alone makes the entire Glr ability set a complete fail as well.

Piecemeal Abilities

Although an LLM is not intelligent by any measure and has no capacity to ever achieve intelligence, as a tool it’s still exceedingly useful. Technologies such as artificial neurons and large language models have enabled feats such as machine vision that can identify objects in a scene with an accuracy depending on the training data, and by training an LLM on very specific data sets the resulting model can be a helpful statistical tool, as it’s a statistical model.

These are all small fragments of what an intelligent creature is capable of, condensed into tool form. Much like hand tools, computers and robots, these are all tools that we humans have crafted to make certain tasks easier or possible. Like a corvid bending some wire into shape to open a lock or timing the dropping of nuts with a traffic light to safely scoop up fresh car-crushed nuts, the only intelligence so far is still found in our biological brains.

All of which may change as soon as we figure out a way to replicate abstract aspects such as reasoning and understanding, but that’s still a whole kettle of theoretical fish at this point in time, and the subject of future articles.

hackaday.com/2025/12/10/why-ll…

For less than $30 USD, you can get a 10×10 centimeter hotplate with 350 Watts of power. Sounds mighty fine to us, so surely there must be a catch? Maybe not, as [Stefan Nikolaj]’s review of this AliExpress hotplate details, it seems to be just fine enough.

At this price, you’d expect some shoddy electronics inside, or maybe outright fiery design decisions, in the vein of other reviews for similar cheap heat-producing tech that we’ve seen over the years. Nope – the control circuitry seems to be more than well-built for our standards, with isolation and separation where it matters, the input being fused away, and the chassis firmly earthed. [Stefan] highlights just two possible problem areas: a wire nut that could potentially be dodgy, and lack of a thermal fuse. Both can be remedied easily enough after you get one of these, and for the price, it’s a no-brainer. Apart from the review, there’s also general usage recommendations from [Stefan] in the end of the blog post.

While we’re happy to see folks designing their own PCB hotplates or modifying old waffle irons, the availability of cheap turn-key options like this means there’s less of a reason to go the DIY route. Now, if you’re in the market for even more build volume, you can get one of the classic reflow ovens, and maybe do a controller upgrade while you’re at it.

hackaday.com/2025/12/10/cheap-…

The “Long Dark” is upon us, at least for those who live north of the equator, and while it’s all pre-holiday bustle, pretty lights, and the magical first snow of the season now, soon the harsh reality of slushy feet, filthy cars, and not seeing the sun for weeks on end will set in. And when it does, it pays to have something to occupy idle mind and hands alike, a project that’s complicated enough to make completing even part of it feel like an accomplishment.

But this time of year, when daylight lasts barely as long as a good night’s sleep, you’ve got to pick your projects carefully, lest your winter project remain incomplete when the weather finally warms and thoughts turn to other matters. For me, at least, that means being realistic about inevitabilities such as competition from the day job, family stuff, and the dreaded “scope creep.”

It’s that last one that I’m particularly concerned with this year, because it has the greatest potential to delay this project into spring or even — forbid it! — summer. And that means I need to be on the ball about what the project actually is, and to avoid the temptation to fall into any rabbit holes that, while potentially interesting and perhaps even profitable, will only make it harder to get things done.

Pushing My Buttons

For my winter project this year, I chose something I’ve been itching to try for a while: an auto-starter for my generator. Currently, my solar PV system automatically charges its battery bank when the state of charge (SOC) drops below 50%, which it does with alarming frequency during these short, dark days. But rather than relying on shore power, I want my generator to kick on to top off the batteries, then turn itself off when the charge is complete.
Primer assembly for the generator auto-start. The silver part is the regulator; the solenoid pushes the primer button when it fires. All the parts needed to be custom-made.
In concept, it’s a simple project, since the inverter panel I chose has dry contacts that can trigger based on SOC. It seems like a pretty easy job, just a microcontroller to sense when the inverter is calling for a charge and some relays to kick the generator on. It’s a little — OK, a lot — more complicated than that when you think about it, since you have to make sure the generator actually cranks over, you’ve got to include fail-safes so the generator doesn’t just keep cranking endlessly if it doesn’t catch, and you have to make everything work robustly in an electrically and mechanically noisy environment.

However, in my case, the most challenging aspect is dealing with the mechatronics of the project. My generator is fueled by propane, which means there’s a low-pressure regulator that needs to be primed before cranking the starter. When cranking the generator manually, you just push the primer button a few times to get enough propane into the fuel intake and turn the key. Automating this process, though, is another matter, one that will surely require custom parts, and the easiest path to that would be 3D printing.

But, up until a couple of weeks ago, I didn’t own a 3D printer. I know, it’s hard to believe someone who writes for Hackaday for a living wouldn’t own one of the essential bits of hacker kit, but there it is. To be fair to myself, I did dip my toe into additive manufacturing about six or seven years ago, but that printer was pretty awful and never really turned out great prints. It seemed like this project, with its potential need for many custom parts, was the perfect excuse to finally get a “big boy” printer.

Pick Your Project

And that’s where I came upon the first potential rabbit hole: should I buy an out-of-the-box solution, or should I take on a side-quest project? I was sorely tempted to take the latter course by getting one of those used Enders returned to Amazon, having heard that they’re about half the price of new and often need very little work to get them going. But then again, sometimes these printers have gone through a lot in the short time they were in a customer’s hands, to the point where they need quite a bit of work to get them back in good order.

While I like the idea of a cheap printer, and I wouldn’t mind tinkering with one to get it going again, I decided against the return route. I really didn’t like my odds, given that our Editor in Chief, Elliot Williams, says that of the two returned printers he’s purchased, one worked basically out of the box, while the other needed more work to get in shape. I wanted to unbox the printer and start making parts right away, to get this project going. So, I took the plunge and bought a Bambu P1S on a pre-Black Friday sale that was much less than list price, but much more than what I would have paid for a returned Ender.

Now, I’m not going to turn this into a printer review — that’s not really the point of this article. What I want to get across is that I decided to buy a solution rather than take on a new hobby. I got the Bambu up and running in about an hour and was cranking out prototype parts for my project later that afternoon. Yes, I might have had the same experience with a returned printer at about half the price of the Bambu, but I felt like the perceived value of a new printer was worth the premium price, at least in this case.

I think this is a pretty common choice that hackers face up and down the equipment spectrum. Take machine tools, for instance. Those of us who dream of one day owning a shop full of metalworking tools often trawl through Facebook Marketplace in search of a nice old South Bend lathe or a beautiful Bridgeport milling machine, available for a song compared to what such a machine would cost new. But with the difficulty and expense of getting it home and the potential for serious mechanical problems like worn ways or broken gears that need to be sorted before putting the machine to use, the value proposition could start to shift back toward buying a brand new machine. Expensive, yes, but at least you stand a chance of making parts sooner.

Your Turn

Don’t get me wrong; I’d love to find a nice old lathe to lovingly restore, and I just may do that someday. It’s like buying a rusty old classic car; you’re not doing it to end up with a daily driver, but rather for the joy of restoring a fine piece of engineering to its former glory. In projects like that, the journey is the point, not the destination. But if I need to make parts right away, a new lathe — or mill, or CNC router, or 3D printer — seems like the smarter choice.

I’ll turn things over to you at this point. Have you come up against this kind of decision before? If so, which path did you choose? Has anyone had a satisfying out-of-the-box experience with returned printers? Was I unnecessarily pessimistic about my chances in that market? What about your experience with large machine tools, like lathes and mills? Is it possible to buy used and not have the machine itself become the project? Sound off in the comments below.

hackaday.com/2025/12/10/ask-ha…

Back in March, a small aircraft in the UK lost engine power while coming in for a landing and crashed. The aircraft was a total loss, but thankfully, the pilot suffered only minor injuries. According to the recently released report by the Air Accidents Investigation Branch, we now know a failed 3D printed part is to blame.

The part in question is a plastic air induction elbow — a curved duct that forms part of the engine’s air intake system. The collapsed part you see in the image above had an air filter attached to its front (towards the left in the image), which had detached and fallen off. Heat from the engine caused the part to soften and collapse, which in turn greatly reduced intake airflow, and therefore available power.
Serious injury was avoided, but the aircraft was destroyed.
While the cause of the incident is evident enough, there are still some unknowns regarding the part itself. The fact that it was 3D printed isn’t an issue. Additive manufacturing is used effectively in the aviation industry all the time, and it seems the owner of the aircraft purchased the part at an airshow in the USA with no reason to believe anything was awry. So what happened?

The part in question is normally made from laminated fiberglass and epoxy, with a glass transition of 84° C. Glass transition is the temperature at which a material begins to soften, and is usually far below the material’s actual melting point.

When a part is heated at or beyond its glass transition, it doesn’t melt but is no longer “solid” in the normal sense, and may not even be able to support its own weight. It’s the reason some folks pack parts in powdered salt to support them before annealing.

The printed part the owner purchased and installed was understood to be made from CF-ABS, or ABS with carbon fiber. ABS has a glass transition of around 100° C, which should have been plenty for this application. However, the investigation tested two samples taken from the failed part and measured the glass temperature at 52.8°C and 54.0°C, respectively. That’s a far cry from what was expected, and led to part failure from the heat of the engine.

The actual composition of the part in question has not been confirmed, but it sure seems likely that whatever it was made from, it wasn’t ABS. The Light Aircraft Association (LAA) plans to circulate an alert to inspectors regarding 3D printed parts, and the possibility they aren’t made from what they claim to be.

hackaday.com/2025/12/10/failed…

Il mondo della tecnologia quantistica ha compiuto un balzo in avanti impressionante:

QuantWare ha presentato il primo processore al mondo da 10.000 qubit, 100 volte più di qualsiasi dispositivo esistente. Inoltre, il nuovo chip occupa ancora meno spazio rispetto ai sistemi attuali, rendendo questa svolta particolarmente degna di nota in un contesto di anni di stagnazione nella scalabilità dei processori quantistici.

Per quasi un decennio, il settore non è riuscito a superare la soglia dei 100 qubit. Google è riuscita a passare da 53 a 105 qubit solo in sei anni, mentre IBM ha introdotto un processore da 1.121 qubit nel 2023 e non prevede una crescita significativa almeno fino al 2028. Di fronte alle limitazioni hardware, le aziende sono state costrette a combinare più chip di piccole dimensioni anziché aumentare la potenza di uno solo. Ciò ha complicato l’architettura, aumentato i costi e ostacolato il progresso reale.

QuantWare sostiene che la sua nuova architettura rimuove questa barriera.

Si basa sulla scalabilità 3D e su un design modulare a livello di chiplet, supportando 40.000 linee di I/O e interconnessioni interchip ad alta precisione. Questo approccio consente la costruzione di unità di elaborazione quantistica (QPU) monolitiche di grandi dimensioni senza sacrificare affidabilità o prestazioni.

L’azienda sostiene che il nuovo sistema offre una potenza di calcolo significativamente maggiore per dollaro e per watt rispetto alle soluzioni multi-chip, e l’architettura stessa potrebbe diventare uno standard di scalabilità a livello di settore. Qualsiasi organizzazione che lavori con qubit superconduttori potrà utilizzarlo per creare dispositivi quantistici più potenti.

QuantWare sta sviluppando contemporaneamente l’ecosistema Quantum Open Architecture, che ora includeNVIDIA NVQLink. Combinata con l’architettura proprietaria di QuantWare, questa tecnologia combina il calcolo quantistico iperscalabile con il calcolo classico ad alte prestazioni, accessibile tramite NVIDIA CUDA-Q. L’azienda è convinta che la combinazione di VIO e NVQLink offra la scalabilità di cui il settore ha disperatamente bisogno oggi.

Insieme all’annuncio, l’azienda ha anche annunciato l’intenzione di costruire un impianto Kilofab su larga scala. L’impianto, la cui apertura è prevista per il 2026 a Delft, nei Paesi Bassi, diventerà la prima fabbrica al mondo dedicata ai dispositivi Quantum Open Architecture e uno dei più grandi impianti di produzione quantistica mai progettati. QuantWare spedisce già più processori quantistici di qualsiasi altro produttore commerciale in termini di volume, e Kilofab aumenterà questa capacità di 20 volte.

Matt Rijlaarsdam, CEO di QuantWare, ha definito questo un punto di svolta atteso da tempo.

Ha osservato che per anni gli specialisti si erano limitati a teorizzare le capacità dei sistemi quantistici, poiché il settore era limitato a 100 qubit e non poteva raggiungere una potenza di calcolo economicamente significativa. Il nuovo processore, ha affermato, rimuove finalmente questa barriera e apre la strada a computer quantistici realmente utili . “Con il VIO-40K, stiamo offrendo all’intero ecosistema l’accesso all’architettura di processore quantistico più potente e scalabile mai realizzata”, ha sottolineato.

I preordini sono già aperti e le prime unità saranno consegnate ai clienti nel 2028.

Ricordiamo che nel 2019 Craig Gidney e Martin Ekerå stimarono, nel loro lavoro intitolato “How to factor 2048-bit RSA integers in 8 hours using 20 million noisy qubits”, che un dispositivo quantistico con circa 20 milioni di qubit fisici “rumorosi” — connessi in una griglia piana e corretti con codice superficie (surface code) — sarebbe teoricamente in grado di fattorizzare una chiave RSA a 2048 bit in circa 8 ore.

Tuttavia, in un aggiornamento del 2025 lo stesso Gidney propone ottimizzazioni sostanziali: grazie a tecniche come l’approximate residue arithmetic e una gestione più efficiente dei qubit logici dormienti, secondo l’articolo “How to factor 2048 bit RSA integers with less than a million noisy qubits” oggi sarebbe sufficiente un quantum computer con meno di un milione di qubit fisici rumorosi per scomporre una chiave RSA-2048, in un tempo “meno di una settimana.

L'articolo Il QDay è vicino? QuantWare presenta il processore quantistico da 10.000 qubit proviene da Red Hot Cyber.

Un aggiornamento urgente è stato pubblicato da Ivanti per la sua piattaforma Endpoint Manager (EPM), al fine di risolvere un insieme di vulnerabilità significative che potrebbero permettere agli aggressori di eseguire codice a loro scelta o di prendere il controllo delle sessioni amministrative.

Tra le vulnerabilità corrette, vi sono quattro falle specifiche, compresa una particolarmente critica, contraddistinta da un punteggio di elevata gravità, che sono state sanate grazie a questo aggiornamento.

Per le organizzazioni che non sono in grado di applicare immediatamente la patch, e suggerisce di segregare al meglio le proprie reti riportando che : “Se i clienti non hanno esposto la propria soluzione su Internet, il rischio di questa vulnerabilità è significativamente ridotto”.

Una falla di sicurezza di Stored Cross-Site Scripting (XSS) monitorata con il CVE-2025-10573, ha ottenuto un punteggio CVSS di 9,6. Le versioni del software EPM antecedenti alla 2024 SU4 SR1 sono interessate da questa vulnerabilità.

L’avviso segnala che la vulnerabilità permette ad un aggressore remoto non autenticato di eseguire codice JavaScript a sua scelta all’interno di una sessione di amministrazione.

La falla richiede l’interazione dell’utente, in quanto è probabile che un amministratore venga indotto a visualizzare una pagina dannosa, tuttavia il rischio di un dirottamento dell’intera sessione impone una priorità assoluta per i responsabili della difesa.

Oltre al bug critico XSS, Ivanti ha corretto altre tre vulnerabilità di elevata gravità che espongono il sistema all’esecuzione di codice remoto (RCE) e alla manipolazione non autorizzata dei file:

• Scrittura di file arbitraria (CVE-2025-13659): classificata CVSS 8.8, questa falla riguarda il “controllo improprio delle risorse di codice gestite dinamicamente”, consentendo a un aggressore remoto e non autenticato di scrivere file arbitrari sul server.
• Errore di verifica della firma (CVE-2025-13662): con un punteggio CVSS di 7,8, questa vulnerabilità deriva da una “verifica impropria delle firme crittografiche nel componente di gestione delle patch”. Consente ad aggressori remoti non autenticati di eseguire codice arbitrario, sebbene richieda l’interazione dell’utente.
• Path Traversal (CVE-2025-13661): questo problema (CVSS 7.1) consente a un aggressore autenticato di “scrivere file arbitrari al di fuori della directory prevista”, compromettendo potenzialmente l’integrità del sistema.

Sebbene Ivanti affermi di “non essere a conoscenza di alcun cliente sfruttato da queste vulnerabilità al momento della divulgazione”, consiglia vivamente ai clienti di effettuare immediatamente l’aggiornamento.

L'articolo Ivanti risolve 4 vulnerabilità critiche in Endpoint Manager (EPM) proviene da Red Hot Cyber.