The Coolest Hat At The Hacker Camp


The media in this post is not displayed to visitors. To view it, please log in.

People in hotter parts of the world may permit themselves a grin at this, but Europeans have recently been suffering under an unseasonal June heatwave. Most of us have been cowering inside with our air conditioners, but not [Making Stuff With Mike]. He’s adapting a safety helmet with a Noctua fan for only slightly uncool on-the-go cooling.

On the face of it, the hat is a straightforward hack. [Mike] mounted a 3D-printed chimney to the top of a hard hat and placed a fan in the top of it. But as always, there’s a little more to it than meets the eye, and in this case it’s because he’s modeled the hat/chimney interface by 3D scanning the hat and using the scan to create his CAD model. The two are attached with four small bolts, and a set of large holes are made in the hat for airflow. Taking it out for a spin, he finds it does the job, but has a few ideas for improvements.

So Mike’s ready for the upcoming BornHack hacker camp, which Hackaday has been to a few times. We’re not so lucky with headgear, but at least if there’s a heatwave, they have plenty of hammocks in the trees.

youtube.com/embed/FSqJufgajMo?…


hackaday.com/2026/07/05/the-co…

Hackaday Links: July 5, 2026


The media in this post is not displayed to visitors. To view it, please log in.

Hackaday Links Column Banner

Happy belated July 4th to all the readers from the United States — hopefully you aren’t reading this from a hospital bed after losing a hand or burning off your eyebrows. While we suspect amateur firework shows and their related injuries will be around for many years to come, we did note that many major cities switched over to drone shows this year.

At least on paper, the appeal is obvious. Beyond the fact that drones are safer and quieter than pyrotechnics, they’re also capable of far more complex displays. Good luck trying to draw George Washington’s face in the sky with exploding rockets. But even if it’s a little more than nostalgia, there’s still something about the sights and sounds of fireworks that enthrall audiences. For many, the whole “rockets’ red glare” thing is a bit more meaningful than the “drones’ red LEDs.”

Earlier this week, we brought you news that Sony would stop producing physical PlayStation discs in January 2028. Many gamers are understandably concerned about the long-term implications such a move will have for software ownership, and while the negative reactions online haven’t bothered Sony enough to get them to amend their plans, they have clarified the situation with developers by explaining that games published before the cutoff date aren’t impacted. So if a developer has a hit title that drops in the summer of 2027 and they want to keep cranking out discs, additional orders can still be placed. Not much of a reprieve, but it will give the community a little more time to figure out what comes next.

While plenty would argue that the death of physical media has been exaggerated, the same can’t be said about 3D TV. Engadget has a piece that goes over what went wrong with 3D home media, and not all of it is on the technical side. Of course, a big part of the problem was the glasses — they were goofy and added per-viewer expenses that consumers weren’t thrilled with. But some of the blame also has to be put on Hollywood and the content they were producing. There were a few big-name movies like Avatar that were filmed in 3D, and computer-generated films could be rendered to take advantage of the third dimension, but the rest were lazy at best. Getting folks to spend thousands on a 3D-capable home theater was tricky enough, but asking them to do it if there were only a handful of movies worth watching on the thing was simply asking too much.

Speaking of tech heading off into the sunset, it looks like the end may be near for Amazon’s Mechanical Turk service, as they’ve announced they’ll no longer be taking new customers after this month. For those unaware, Mechanical Turk connected bored humans with customers that had repetitive tasks they needed completed. Think of somebody spending an afternoon sorting images and making a few cents a pop.

When the service launched 20 years ago, tasks like this were difficult to automate, and it made sense to pay humans to do it. But in the age of AI, it comes as no surprise to hear Amazon is looking to wind things down. Existing Mechanical Turk users will be able to continue using the service after July, but with no new jobs coming in, the writing is clearly on the wall.

Finally, things seem to be going well so far for the Neil Gehrels Swift Observatory rescue mission. On July 3rd, the robotic LINK spacecraft that will eventually link up with the Observatory and push it into a higher orbit was successfully air-launched aboard a Northrop Grumman Pegasus XL rocket. Teams on the ground have already made contact with the rescue vehicle and are performing health checks on it before committing to a rendezvous with the ailing Swift.
LINK will attempt to push the Neil Gehrels Swift Observatory into a higher orbit.
Once it has attached itself to Swift, LINK will push it up to an altitude of around 640 km (400 miles), which should keep it from burning up in the Earth’s atmosphere for another decade or so. We’ve had our eye on this ambitious mission for some time now, and will keep you updated as it progresses.


See something interesting that you think would be a good fit for our weekly Links column? Drop us a line; we’d love to hear about it.


hackaday.com/2026/07/05/hackad…

Seeing Bacteria, Nanoprisms, and More with an Atomic Force Microscope


The media in this post is not displayed to visitors. To view it, please log in.

A series of six sepia-tinted micrographs is shown. The images show the surface of a piece of steel after various etching treatments.

Unlike almost every other kind of microscope, atomic-force microscopes (AFMs) don’t use any kind of optical beam to image their subjects. Instead, they physically detect the subject’s surface with a tiny probe, repeating this thousands of times to build up a height map of the subject, sometimes with a resolution below a single nanometer. [Ben Krasnow] got to use an AFM in an investigation of one of his projects, and shared some unusual uses of it in his latest video.

For his first demonstration, [Ben] took a video of the probe head in action. Since the probe oscillates at nine kilohertz, this was less straightforward than it sounds, but a stroboscopic welding camera filming near that frequency could visualize its motion. The next project was to image some biological samples, particularly bacteria. First, [Ben] let the bacteria from nattō (fermented soybeans) multiply in a sterile growth medium, then centrifuged and washed them.

He spin-coated a thin layer of gelatine onto part of a silicon wafer, which provided a very flat substrate. The gelatine is electrostatically attracted to the bacteria, adhering them to the slide and letting [Ben] wash away other contaminants. This let the AFM image the bacteria clearly, even revealing how a spin-coating step had oriented them all in the same direction.

[Ben] also imaged a few other samples, including silver nanoprisms and track-etched membranes. Track-etched membranes use high-energy radiation and an etchant to cut very consistent, fine holes into a plastic filtration membrane. Finally, [Ben] used it to image his laser-etched diffraction gratings; to find out how the laser had created these diffraction patterns, he tried to selectively etch away the laser-exposed metal, using the AFM to verify that this metal had been stripped away. Neither an acidic nor a basic etch worked, but electrochemical etching seemed promising.

If after seeing this you want your own atomic force microscope, we’ve seen a few DIY AFMs, including one which can resolve individual atoms.

youtube.com/embed/DyIQkqBXhS0?…

Thanks to [H Hack] for the tip!


hackaday.com/2026/07/05/seeing…

Cybersecurity & cyberwarfare ha ricondiviso questo.

#Medtronic Notifies 3.8 Million After #ShinyHunters Data Breach
securityaffairs.com/194788/cyb…
#securityaffairs #hacking
Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

🔎 Ukraine redirects seized cryptocurrency to national recovery

#Ukraine transferred confiscated crypto assets into state-controlled funds, turning proceeds from cybercrime-related seizures toward reconstruction efforts.

🔗 read more: thecyberexpress.com/ukraine-tran...

#ransomNews #cybersecurity

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

🚨 nuova rivendicazione #ransomware Italia 🚨

🏴‍☠️ gruppo #Payload
🧬 Vela Film S.R.L. | Roma
🎯 settore: J - Editoria/Media
🔗 velafilmsrl.com
🗓️ 05 luglio 2026

📄 sample: sì
▪️ dati esfiltrati dichiarati: 12.00GB
▪️ dati esfiltrati pubblicati: -
⏲️ scadenza: 07 luglio 2026

#ransomNews #cyberthreats

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

BadEpoll: il nuovo zero-day che mette a rischio milioni di sistemi Linux e Android

📌 Link all'articolo : redhotcyber.com/post/badepoll-…

A cura di Luigi Zullo

#redhotcyber #news #vulnerabilitainlinux #badepoll #securitylinux #linuxvulnerabile #escalationaroot

Demonstrating LFP Battery Safety in Case of BMS Failure


The media in this post is not displayed to visitors. To view it, please log in.

Generally, LiFePO4 (LFP) batteries are quite safe and stable, but it’s still possible for something to go wrong, even something catastrophic, like the battery management system (BMS) developing a direct short. This is one of the tests required to be certified for the UL 2054 standard that targets household and portable battery safety. In a recent series of videos, [Will Prowse] demonstrates how a series of commercial batteries pass these tests, and how some still fail.

This particular short-circuit test is quite demanding, as it requires that this failure condition is immediately detected and some kind of fail-safe mechanism – like a fuse – kicks in. The first two batteries easily pass this test by blowing their fuse, just as you expect. Interestingly, the second unit here isn’t even UL-listed but comes with multiple layers of safety.

The third unit shown is a ‘Li Time’ LFP battery akin to what you’d purchase off a random online retailer’s website. This battery features the typical basic BMS and battery configuration, but is missing a chunky, prominently placed fuse. ‘LiTime’ also claims to be UL 2054 certified. The problem with this claim is that there is no fuse to prevent a thermal runaway event if the BMS were to short.

The final battery tested is made by Battle Born, and it also had issues. [Will’s] testing shows the battery catches fire as its purported thermal safety does extremely little to interrupt the current.

The takeaway from this demonstration is that you should look for safety features such as internal fuses. It’s also worth it to add terminal fuses to batteries to potentially interrupt dangerous currents at those points. Better to replace a blown fuse than to deal with an out-of-control inferno and/or violent hydrogen detonation.

youtube.com/embed/nZtDDgdEh6c?…

youtube.com/embed/_MOol0_DuU4?…


hackaday.com/2026/07/05/demons…

Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

"Capo, lo smaltimento dei cadaveri dei nemici costa.."
"Say no more!"

rsi.ch/s/3868496

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

Paper Clip l’app open per gestire metadati dei PDF su Linux


Paper Clip è un'app open source che modifica titoli, autori e metadati PDF con un’interfaccia GNOME intuitiva.
L'articolo Paper Clip l’app open per gestire metadati dei PDF su Linux proviene da Linux Easy.
E' vietato riprodurre questo articolo senza autorizzazione.
Questo feed RSS è destinato ai lettori, non agli scraper o aggregatori.
Linux Easy viene rilasciato con Licenza CC BY-NC 4....

🔗 Leggi il post completo

Cybersecurity & cyberwarfare ha ricondiviso questo.

Ciuf, ciuf...


The media in this post is not displayed to visitors. To view it, please go to the original post.

Trenino STEM pensato, progetto, creato da una mia studentessa (alla faccia che l'ingegneria è roba per maschiacci).
Lei ha fatto tutto con tubi di plastica ma, se siete poveri, potete usare un rotolo per la carta da cucina e due rotoli di carta igienica.
Questa voce è stata modificata (5 ore fa)

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

La lezione che abbiamo appreso da Anthropic Mythos non è affatto sulle vulnerabilità

📌 Link all'articolo : redhotcyber.com/post/la-lezion…

A cura di Carolina Vivianti

#redhotcyber #news #sovranitadigitale #resilienzadigitale #sicurezzainformatica #cloudcomputing

2026 Frikkin Lasers Challenge: A 3D-Printed Raman Spectrometer


The media in this post is not displayed to visitors. To view it, please log in.

A black plastic cube is shown in front of another, larger rectangular black plastic box. The plastic cube has a silver microscope objective protruding from one side, with green light being emitted from it into a small plastic tube held on a positioning stage.

When light reflects off a surface, not all of it reflects off at the same wavelength; some photons impart a portion of their energy to raising the vibrational energy of the surface’s molecules, and are thus scattered away at a lower energy and longer wavelength. This is called Raman scattering, and the precise wavelength shifts are characteristic of the particular molecule being illuminated. It can therefore be used in Raman spectroscopy to identify molecules; these spectrometers are normally elaborate, expensive instruments, but [Allegedly Science] was able to build a simple system with surprising sensitivity.

The system is named the CubeRaman, after the cube-shaped body containing the main optical path. It uses a cheap 532-nm laser module as a monochromatic light source, with a bandpass filter to eliminate stray infrared light. The beam then reflects off a 45-degree dichroic mirror and passes through a microscope objective onto the sample. Raman-shifted light then scatters back through the objective, passes through the dichroic mirror and a long-pass optical filter, and is focused by an achromatic lens onto the slit of a spectrometer. The entire housing is 3D-printed, as are most parts of the kinematic mounts; the kinematic mounts use adjustment screws running through inserts in the mount, with the tips of the screws held in place by magnets.

[Allegedly Science]’s first test was with a raw diamond, which clearly showed the expected Raman shift. When trying to test a chemical inside a glass bottle, it mainly returned the signature of silica, making thin-walled cuvettes essential. Ethanol inside a plastic bottle was similarly interesting; varying the focal distance changed whether it detected the characteristic shift of ethanol or polypropylene. Nevertheless, [Allegedly Science] thinks there’s still room for improvement, particularly by eliminating stray light and using a narrower slit in the spectrometer.

Although we’ve seen an open-source Raman spectrometer before, this design is significantly more accessible. It does still require a separate spectrometer, though, so it might be worth considering some other spectrometer options.

youtube.com/embed/bUxc6mWsTgc?…

2026 Hackaday Freaking Lasers Contest


hackaday.com/2026/07/05/2026-f…

Cybersecurity & cyberwarfare ha ricondiviso questo.

La scienza contro le menzogne del capialismo


Un articolo scientifico del prof. Brancaccio smonta tutta la propaganda dei capitalisti contro i nostri cittadini attraverso le menzogne sull'immigrazione: unita.it/2026/07/04/destra-e-l…
Cybersecurity & cyberwarfare ha ricondiviso questo.

Oggi anelletti al forno con melanzane, e la bimba ha dormito abbastanza da farci mangiare in santa pace.

Stanchezza cronica per il caldo.

Ieri sera ho ripreso a leggere con Calibre, "Credere alle cazzate".
Oggi ho installato Claude Desktop per Linux su Fedora (in un toolbox ubuntu)

The media in this post is not displayed to visitors. To view it, please log in.

Armored Likho: la APT che spia governi ed energia con il Python stealer BusySnake


@Informatica (Italy e non Italy)
Kaspersky svela Armored Likho, gruppo APT collegato a Eagle Werewolf, che colpisce enti governativi e il settore elettrico in Russia, Brasile e Kazakistan con BusySnake, un infostealer Python offuscato con PyArmor e payload generati con l'assistenza


Armored Likho: la APT che spia governi ed energia con il Python stealer BusySnake


Un attore APT mai documentato prima, battezzato Armored Likho, sta colpendo agenzie governative e il settore elettrico in Russia, Brasile e Kazakistan con un nuovo infostealer Python chiamato BusySnake. Kaspersky, che ha pubblicato l’analisi tecnica il 3 luglio, descrive un toolkit modulare, offuscato con PyArmor Pro e in parte generato con l’assistenza di strumenti di intelligenza artificiale: un caso di scuola di come lo spionaggio informatico stia adottando l’AI-assisted malware development anche nelle campagne di fascia media.

Chi è Armored Likho


Armored Likho non è un gruppo esordiente: secondo Kaspersky, il suo profilo operativo mescola campagne a sfondo finanziario contro privati con operazioni di cyberspionaggio mirate contro organizzazioni pubbliche e infrastrutture critiche. È proprio questa doppia natura — cybercrime opportunistico e intelligence gathering mirato — a rendere l’attribuzione complessa e la minaccia particolarmente insidiosa: la stessa toolchain può colpire un privato cittadino per rubare credenziali bancarie o un ministero per sottrarre documenti riservati.

I ricercatori segnalano possibili sovrapposizioni con un cluster tracciato da BI.ZONE con il nome Eagle Werewolf, attivo almeno dal maggio 2023 e storicamente focalizzato su enti governativi e della difesa, in particolare organizzazioni coinvolte nello sviluppo e nella produzione di droni (UAV). Nel febbraio 2026 Eagle Werewolf era già stato osservato compromettere un canale Telegram dedicato al mondo dei droni per distribuire il RAT AquilaRAT tramite un dropper Rust travestito da checklist per l’attivazione di dispositivi Starlink. Le sovrapposizioni tecniche tra AquilaRAT e BusySnake — stessi schemi di ricezione dei task dal C2, stessa modalità di persistenza tramite scheduled task, endpoint di comunicazione simili — rafforzano l’ipotesi che si tratti dello stesso ecosistema di sviluppo, se non dello stesso gruppo.

La catena d’attacco


Il vettore d’ingresso resta il più classico: email di spear-phishing con esche legate a comunicazioni governative ufficiali o programmi sociali, che distribuiscono un archivio RAR contenente eseguibili droppati da un repository GitHub. Il dropper crea due file VBScript, uno dei quali cancella le tracce dell’esecuzione iniziale mentre l’altro registra un’attività pianificata (scheduled task) per lanciare lo stealer ogni cinque minuti, mascherata da un innocuo processo di sistema chiamato WindowsHelper — la stessa convenzione di naming usata da AquilaRAT con MicrosoftOfficeUpdate.

Una catena alternativa sfrutta invece file di collegamento Windows (LNK) che abusano di CVE-2025-9491 (nota anche come ZDI-CAN-25373), la vulnerabilità nella gestione degli shortcut corretta da Microsoft nel Patch Tuesday di novembre 2025 ma già sfruttata in passato da una dozzina di gruppi APT dal 2017. In questo scenario, il file LNK innesca un comando PowerShell offuscato che avvia un loader: quest’ultimo mostra un documento esca alla vittima mentre in background prepara l’ambiente per l’esecuzione del vero payload, scaricando un interprete Python 3.12 portatile, lo script get-pip.py per installare le dipendenze e un archivio contenente il payload finale module.pyw.

BusySnake Stealer: un infostealer Python pensato per l’evasione


Il cuore della campagna è BusySnake, un infostealer scritto in Python e mai documentato prima. Il codice è offuscato e cifrato con PyArmor Pro 9.2.0: il malware decripta il proprio bytecode solo nell’istante esatto in cui una funzione viene invocata, per poi ricifrarlo immediatamente dopo l’esecuzione, complicando enormemente l’analisi statica e dinamica. L’estensione .pyw gli permette inoltre di girare in background senza mai aprire una finestra di console visibile.

Dopo l’inizializzazione, che legge da un file di configurazione l’indirizzo del C2, i percorsi delle directory, gli intervalli per gli screenshot e uno user-agent dedicato, BusySnake si mette in ascolto di comandi tramite una funzione poll_task che interroga costantemente il server. Tra le capacità operative documentate da Kaspersky:

  • Furto di dati dagli appunti di sistema (clipboard)
  • Enumerazione dei file sul disco con logging dei metadati in un database locale
  • Ricerca di chiavi esadecimali a 64 caratteri nei file — un pattern tipico dei wallet di criptovalute — e relativa esfiltrazione
  • Cattura periodica di screenshot, archiviazione e invio al C2
  • Keylogging con invio ed eliminazione periodica del log
  • Furto di cookie e password da browser Chromium e Firefox, tramite lettura diretta dei file Cookies/cookies.sqlite e della master key in Login State
  • Furto di sessioni e credenziali Telegram dalla cartella tdata, previa terminazione forzata del processo telegram.exe
  • Apertura di un tunnel SSH inverso riutilizzando una chiave privata fornita dal C2 (funzionalità ereditata dal tool standalone Go2Tunnel, ora integrata nativamente nello stealer)
  • Installazione o riavvio di RustDesk per ottenere il controllo remoto, con cattura dello screenshot delle credenziali inserite dalla vittima al momento del login

Kaspersky ha inoltre individuato una versione più recente dello stealer che introduce un vero e proprio framework di gestione dei task: ogni comando ricevuto dal C2 viene assegnato a un identificativo univoco e transita attraverso quattro stati operativi — SCHEDULED, IN_PROGRESS, SUCCEEDED, FAILED — per un reporting più granulare verso l’infrastruttura d’attacco. Un dettaglio che segnala una maturazione ingegneristica non banale per un tool di questa fascia.

L’ombra dell’AI nel malware development


Un elemento che merita attenzione da parte degli analisti: secondo Kaspersky, i payload di primo stadio (loader e stager) mostrano segni di essere stati generati, almeno in parte, con l’assistenza di strumenti di intelligenza artificiale, a giudicare dalla presenza di commenti ridondanti e blocchi di codice ripetitivi tipici dell’output di modelli linguistici. Non è un caso isolato nel panorama 2026, ma conferma una tendenza: gruppi di livello medio stanno abbassando i tempi di sviluppo del malware affidandosi a copiloti AI, con tutte le implicazioni che questo comporta in termini di volume e velocità di iterazione delle campagne.

Due righe per i difensori


Per i team di detection, il caso Armored Likho offre alcuni punti di leva concreti. Il monitoraggio di scheduled task con nomi che imitano processi Microsoft legittimi (WindowsHelper, ma anche varianti simili) dovrebbe essere prioritario in ambienti governativi e OT/ICS del settore energetico. Vale la pena bloccare o ispezionare il download di interpreti Python portatili e script get-pip.py da endpoint non di sviluppo, un comportamento anomalo per la maggior parte delle postazioni impiegatizie. È inoltre opportuno verificare che la patch per CVE-2025-9491 sia stata applicata su tutta la flotta Windows, dato che il bug LNK continua a essere riciclato da attori eterogenei quasi un decennio dopo la sua prima comparsa. Infine, il traffico verso servizi di tunneling SSH inverso avviato da processi non amministrativi è un segnale da allarme immediato, così come i tentativi di reinstallazione o riavvio non richiesti di RustDesk.

Kaspersky segnala di continuare a monitorare attivamente l’evoluzione della campagna e dell’infrastruttura di rete associata: è ragionevole aspettarsi nuove varianti di BusySnake nei prossimi mesi, considerato il ritmo di sviluppo osservato finora.

Indicatori di compromissione (IoC)

# Hash MD5 (selezione)
5D5C3E483C5E544260CE98FC29FBF192  - PS1 stager
0041FD1B2358CD08DBCBC28EA8FC3D20  - EXE dropper
894332174F536C2E1EFEDA05CBA79F8B  - DLL loader
CF74AC018D158EA2C2CFA1B1D71D95BC  - LNK malevolo
C7622A1EFFA27BBFEE6D6E03D6474343  - BusySnake Stealer (PYW)
80B7700053E115D65365CE7330383320  - BusySnake Stealer (nuova versione, PYW)
6B45DDB39A6E86229348DCBBA3857E7C  - Archivio RAR con BusySnake
006887732CA4A4A46A97989CF4DEEEF6  - Archivio RAR con BusySnake
732C31ACF971A81C7E51B2A3DAE82020  - Archivio RAR con BusySnake
# Domini C2
winupdate[.]live
arvax[.]xyz
varenie[.]live
lvl99[.]store
onetoken[.]ink
winupdate[.]ink
# CVE sfruttata
CVE-2025-9491 (ZDI-CAN-25373) - Windows LNK RCE, patchata Nov 2025
# Scheduled task sospetto
WindowsHelper (persistenza BusySnake)
MicrosoftOfficeUpdate (persistenza AquilaRAT)

Fonti: Kaspersky/Securelist, The Hacker News, BI.ZONE Threat Intelligence.

The media in this post is not displayed to visitors. To view it, please log in.

JADEPUFFER: il primo ransomware condotto interamente da un agente AI, dalla violazione al wipe del database


@Informatica (Italy e non Italy)
Il Threat Research Team di Sysdig documenta JADEPUFFER, il primo caso noto di estorsione digitale gestita end-to-end da un agente basato su LLM: dalla violazione di un server Langflow esposto alla


JADEPUFFER: il primo ransomware condotto interamente da un agente AI, dalla violazione al wipe del database


Il ransomware ha sempre avuto un umano dietro la tastiera, o quantomeno dietro lo script. Il Threat Research Team di Sysdig sostiene di aver documentato per la prima volta il contrario: un’estorsione digitale condotta interamente, dalla ricognizione iniziale alla distruzione dei dati, da un modello linguistico di grandi dimensioni senza intervento umano diretto. L’hanno battezzata JADEPUFFER, e i log che ha lasciato dietro di sé si leggono come il diario di bordo — auto-narrato, letteralmente — di un operatore che ragiona, sbaglia, si corregge e ripiega su un piano B in 31 secondi.

Il punto d’ingresso: un server Langflow esposto


JADEPUFFER ha ottenuto l’accesso iniziale sfruttando CVE-2025-3248, una falla di mancata autenticazione nell’endpoint di validazione del codice di Langflow, popolare framework open source per costruire applicazioni e workflow di agenti basati su LLM. Il difetto permette a chiunque raggiunga il servizio di eseguire codice Python arbitrario senza credenziali. Langflow resta un bersaglio ricorrente proprio perché le sue istanze, spesso esposte in fretta e senza controlli di rete, custodiscono tipicamente chiavi API di provider AI e credenziali cloud nell’ambiente circostante — un aperitivo perfetto per chi cerca un punto d’appoggio.

Tutti i payload sono stati consegnati come Python codificato in Base64 attraverso l’endpoint RCE, e da lì l’agente ha iniziato a muoversi da solo.

Fase 1: ricognizione e razzia sull’host compromesso


Subito dopo l’esecuzione, l’LLM ha enumerato l’host (id, uname -a, hostname, interfacce di rete, processi attivi) e ha setacciato in parallelo l’ambiente per categorie di segreti: chiavi API di provider AI (OpenAI, Anthropic, DeepSeek, Gemini e altri), credenziali cloud — con una copertura esplicita dei provider cinesi (Alibaba, Aliyun, Tencent, Huawei) oltre ad AWS, GCP e Azure — wallet di criptovalute e seed phrase, credenziali e file di configurazione di database.

Ha poi scaricato il database Postgres di backend dello stesso Langflow, sondato lo spazio di indirizzi interno alla ricerca di servizi raggiungibili e, trovato un endpoint MinIO (l’archivio oggetti compatibile S3 usato per dati applicativi, backup e modelli ML) protetto solo dalle credenziali di default minioadmin:minioadmin, ha eseguito l’intero playbook di enumerazione: elenco dei bucket — incluso uno dedicato allo stato Terraform — e recupero mirato di file .env e credentials.json. Quando un tentativo iniziale con ?format=json ha restituito XML invece del JSON atteso, l’agente ha adattato all’istante il proprio parser allo schema di risposta S3 e ha rilanciato la richiesta: un dettaglio piccolo ma rivelatore, perché è esattamente il tipo di correzione che un toolkit fisso non farebbe mai da solo.

Prima di spostarsi sul bersaglio vero, ha installato una persistenza banale ma efficace: un cron job che ogni 30 minuti invia un beacon all’infrastruttura d’attacco.

Fase 2: il vero obiettivo — un server Nacos/MySQL di produzione


Gli artefatti catturati mostrano che il bersaglio reale dell’operazione non era Langflow, ma un server di produzione separato che eseguiva MySQL e Alibaba Nacos, la piattaforma di service discovery e configurazione dinamica molto diffusa nelle architetture a microservizi. Nacos porta con sé una storia documentata di bypass di autenticazione (CVE-2021-29441 e varianti correlate) e una chiave di firma JWT di default nota pubblicamente dal 2020, che in molte installazioni non viene mai cambiata, rendendo banale la falsificazione dei token.

Con accesso root al database — le cui credenziali non risultano raccolte nell’ambiente della vittima, e la cui origine resta ignota — l’agente ha inserito direttamente un amministratore backdoor nel database di Nacos. Ed è qui che emerge la sequenza più interessante dell’intera analisi Sysdig: il primo tentativo di login con l’account appena creato fallisce; 12 secondi dopo l’LLM prova contemporaneamente le credenziali di default nacos:nacos e genera un nuovo hash per una password più semplice; 19 secondi più tardi emette un payload correttivo che passa da una chiamata subprocess a un import diretto della libreria bcrypt, cancella la riga corrotta e la ricrea con l’hash generato correttamente. Il login riesce. Dal fallimento alla correzione funzionante: 31 secondi, quindici righe di codice coordinato — cancellare, diagnosticare, ricostruire, reinserire.

Segue una fase di ricognizione per un possibile container escape — scritture di test su file MySQL, tentativi di lettura di docker.sock e /proc/1/cgroup, verifica dei permessi su /proc/1/mountinfo — condotta con precisione chirurgica in circa otto minuti e chiusa da un marcatore di completamento esplicito scritto su disco. Non è il comportamento di uno script fisso: è un agente strutturato che segnala da solo di essere pronto per la fase successiva.

Cifratura, estorsione e distruzione — con un colpo di scena


L’agente ha cifrato 1.342 elementi di configurazione del servizio Nacos usando la funzione AES_ENCRYPT() di MySQL, eliminato le tabelle originali config_info e la relativa cronologia, e creato una tabella di estorsione, README_RANSOM, con la richiesta di riscatto, un indirizzo Bitcoin e un contatto ProtonMail. La nota rivendica AES-256, ma AES_ENCRYPT() di default usa AES-128-ECB salvo riconfigurazione: un dettaglio che forse esagera l’algoritmo ma non cambia l’impatto pratico.

Il colpo di scena è nella chiave: generata come base64(uuid4().bytes + uuid4().bytes), quindi sostanzialmente casuale, stampata una sola volta a schermo e mai salvata né trasmessa altrove. Anche pagando, la vittima non potrebbe recuperare nulla — l’estorsione, in questo caso, è tecnicamente impossibile da onorare. Nella fase finale, l’agente è passato dalla cancellazione di singole righe all’eliminazione di schemi di database interi, commentando nel proprio stesso codice la logica di scelta dei bersagli (“database ad alto ROI da eliminare”) come farebbe un operatore che spiega a sé stesso perché sta agendo così.

Come si fa a dire che è stata davvero un’IA


Sysdig basa la propria valutazione su quattro elementi: codice auto-narrante saturo di commenti in linguaggio naturale che spiegano il “perché” di ogni azione; diagnosi e correzione degli errori a velocità di macchina, con timestamp che mostrano una finestra di 31 secondi tra un fallimento e una correzione multi-step accurata; comprensione dimostrata di testo libero incontrato durante l’operazione, non un semplice pattern-matching; e oltre 600 payload distinti ed efficaci eseguiti in una finestra temporale compressa. Anche l’indirizzo Bitcoin usato nella nota di riscatto è curioso: è l’esempio canonico di formato Pay-to-Script-Hash che compare in tutta la documentazione per sviluppatori Bitcoin — un caso da manuale di possibile “allucinazione” di un modello che ha semplicemente riprodotto un esempio della sua base di addestramento, oppure, alternativamente, un wallet reale scelto deliberatamente dall’operatore. Sysdig non è in grado di distinguere le due ipotesi senza visibilità sul system prompt dell’agente.

Cosa cambia per chi difende


Nessuna delle tecniche usate da JADEPUFFER è nuova: è la loro concatenazione autonoma, end-to-end, contro infrastrutture esposte e trascurate, a segnare un punto di svolta. La soglia di competenza per condurre un’estorsione digitale completa si sta abbassando a quanto costa far girare un agente — e se quell’agente gira su credenziali cloud rubate (LLMjacking), il costo per l’attaccante si avvicina allo zero.

  • Applicare la patch per CVE-2025-3248 su ogni istanza Langflow e non esporre mai endpoint di validazione/esecuzione codice a Internet
  • Non fare girare server di orchestrazione AI con chiavi API di provider o credenziali cloud nell’ambiente: isolarle in un secret manager lontano da processi raggiungibili dal web
  • Cambiare la chiave di firma token di default in Nacos, non esporlo mai a Internet e impedirgli di connettersi al database di backend come root
  • Non esporre mai account amministrativi di database su Internet; applicare credenziali forti e restrizioni per IP sorgente sulle porte di gestione
  • Applicare controlli di egress così che un host applicativo compromesso non possa contattare liberamente destinazioni esterne o database di staging
  • Monitorare cron job che invocano chiamate di rete in uscita e anomalie nello User-Agent, oltre agli IoC indicati sotto

Sysdig prevede che il volume e la varietà di queste campagne aumenteranno man mano che il tooling agentico matura. Il consiglio è trattare server applicativi esposti, config store non irrobustiti e account admin di database raggiungibili da Internet come le prime superfici che verranno colpite — non più da un operatore umano con uno script, ma da un agente che scrive da solo il proprio piano d’attacco, verificandolo passo dopo passo.

Indicatori di compromissione

Nome campagna: JADEPUFFER (agentic threat actor)
Vulnerabilità d'ingresso: CVE-2025-3248 (Langflow, RCE non autenticato)
C2 / accesso iniziale: 45.131.66[.]106
Beacon di persistenza: hxxp://45.131.66[.]106:4444/beacon (cron ogni 30 minuti)
Server di staging/exfil dichiarato: 64.20.53[.]230 (InterServer, AS19318)
Bersaglio secondario: server MySQL + Alibaba Nacos esposto
Vulnerabilità sfruttata sul bersaglio: CVE-2021-29441 (Nacos auth bypass) + chiave JWT di default
Credenziali MinIO sfruttate: minioadmin:minioadmin
Tabella di estorsione: README_RANSOM
Indirizzo Bitcoin: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
Contatto: e78393397[@]proton[.]me
Dati distrutti: 1.342 elementi di configurazione Nacos + tabelle config_info/his_config_info
Chiave di cifratura: generata casualmente, mai salvata né trasmessa (dati non recuperabili)

Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ JADEPUFFER: il primo ransomware condotto interamente da un agente AI, dalla violazione al wipe del database
#CyberSecurity
insicurezzadigitale.com/jadepu…

@informatica


JADEPUFFER: il primo ransomware condotto interamente da un agente AI, dalla violazione al wipe del database


Il ransomware ha sempre avuto un umano dietro la tastiera, o quantomeno dietro lo script. Il Threat Research Team di Sysdig sostiene di aver documentato per la prima volta il contrario: un’estorsione digitale condotta interamente, dalla ricognizione iniziale alla distruzione dei dati, da un modello linguistico di grandi dimensioni senza intervento umano diretto. L’hanno battezzata JADEPUFFER, e i log che ha lasciato dietro di sé si leggono come il diario di bordo — auto-narrato, letteralmente — di un operatore che ragiona, sbaglia, si corregge e ripiega su un piano B in 31 secondi.

Il punto d’ingresso: un server Langflow esposto


JADEPUFFER ha ottenuto l’accesso iniziale sfruttando CVE-2025-3248, una falla di mancata autenticazione nell’endpoint di validazione del codice di Langflow, popolare framework open source per costruire applicazioni e workflow di agenti basati su LLM. Il difetto permette a chiunque raggiunga il servizio di eseguire codice Python arbitrario senza credenziali. Langflow resta un bersaglio ricorrente proprio perché le sue istanze, spesso esposte in fretta e senza controlli di rete, custodiscono tipicamente chiavi API di provider AI e credenziali cloud nell’ambiente circostante — un aperitivo perfetto per chi cerca un punto d’appoggio.

Tutti i payload sono stati consegnati come Python codificato in Base64 attraverso l’endpoint RCE, e da lì l’agente ha iniziato a muoversi da solo.

Fase 1: ricognizione e razzia sull’host compromesso


Subito dopo l’esecuzione, l’LLM ha enumerato l’host (id, uname -a, hostname, interfacce di rete, processi attivi) e ha setacciato in parallelo l’ambiente per categorie di segreti: chiavi API di provider AI (OpenAI, Anthropic, DeepSeek, Gemini e altri), credenziali cloud — con una copertura esplicita dei provider cinesi (Alibaba, Aliyun, Tencent, Huawei) oltre ad AWS, GCP e Azure — wallet di criptovalute e seed phrase, credenziali e file di configurazione di database.

Ha poi scaricato il database Postgres di backend dello stesso Langflow, sondato lo spazio di indirizzi interno alla ricerca di servizi raggiungibili e, trovato un endpoint MinIO (l’archivio oggetti compatibile S3 usato per dati applicativi, backup e modelli ML) protetto solo dalle credenziali di default minioadmin:minioadmin, ha eseguito l’intero playbook di enumerazione: elenco dei bucket — incluso uno dedicato allo stato Terraform — e recupero mirato di file .env e credentials.json. Quando un tentativo iniziale con ?format=json ha restituito XML invece del JSON atteso, l’agente ha adattato all’istante il proprio parser allo schema di risposta S3 e ha rilanciato la richiesta: un dettaglio piccolo ma rivelatore, perché è esattamente il tipo di correzione che un toolkit fisso non farebbe mai da solo.

Prima di spostarsi sul bersaglio vero, ha installato una persistenza banale ma efficace: un cron job che ogni 30 minuti invia un beacon all’infrastruttura d’attacco.

Fase 2: il vero obiettivo — un server Nacos/MySQL di produzione


Gli artefatti catturati mostrano che il bersaglio reale dell’operazione non era Langflow, ma un server di produzione separato che eseguiva MySQL e Alibaba Nacos, la piattaforma di service discovery e configurazione dinamica molto diffusa nelle architetture a microservizi. Nacos porta con sé una storia documentata di bypass di autenticazione (CVE-2021-29441 e varianti correlate) e una chiave di firma JWT di default nota pubblicamente dal 2020, che in molte installazioni non viene mai cambiata, rendendo banale la falsificazione dei token.

Con accesso root al database — le cui credenziali non risultano raccolte nell’ambiente della vittima, e la cui origine resta ignota — l’agente ha inserito direttamente un amministratore backdoor nel database di Nacos. Ed è qui che emerge la sequenza più interessante dell’intera analisi Sysdig: il primo tentativo di login con l’account appena creato fallisce; 12 secondi dopo l’LLM prova contemporaneamente le credenziali di default nacos:nacos e genera un nuovo hash per una password più semplice; 19 secondi più tardi emette un payload correttivo che passa da una chiamata subprocess a un import diretto della libreria bcrypt, cancella la riga corrotta e la ricrea con l’hash generato correttamente. Il login riesce. Dal fallimento alla correzione funzionante: 31 secondi, quindici righe di codice coordinato — cancellare, diagnosticare, ricostruire, reinserire.

Segue una fase di ricognizione per un possibile container escape — scritture di test su file MySQL, tentativi di lettura di docker.sock e /proc/1/cgroup, verifica dei permessi su /proc/1/mountinfo — condotta con precisione chirurgica in circa otto minuti e chiusa da un marcatore di completamento esplicito scritto su disco. Non è il comportamento di uno script fisso: è un agente strutturato che segnala da solo di essere pronto per la fase successiva.

Cifratura, estorsione e distruzione — con un colpo di scena


L’agente ha cifrato 1.342 elementi di configurazione del servizio Nacos usando la funzione AES_ENCRYPT() di MySQL, eliminato le tabelle originali config_info e la relativa cronologia, e creato una tabella di estorsione, README_RANSOM, con la richiesta di riscatto, un indirizzo Bitcoin e un contatto ProtonMail. La nota rivendica AES-256, ma AES_ENCRYPT() di default usa AES-128-ECB salvo riconfigurazione: un dettaglio che forse esagera l’algoritmo ma non cambia l’impatto pratico.

Il colpo di scena è nella chiave: generata come base64(uuid4().bytes + uuid4().bytes), quindi sostanzialmente casuale, stampata una sola volta a schermo e mai salvata né trasmessa altrove. Anche pagando, la vittima non potrebbe recuperare nulla — l’estorsione, in questo caso, è tecnicamente impossibile da onorare. Nella fase finale, l’agente è passato dalla cancellazione di singole righe all’eliminazione di schemi di database interi, commentando nel proprio stesso codice la logica di scelta dei bersagli (“database ad alto ROI da eliminare”) come farebbe un operatore che spiega a sé stesso perché sta agendo così.

Come si fa a dire che è stata davvero un’IA


Sysdig basa la propria valutazione su quattro elementi: codice auto-narrante saturo di commenti in linguaggio naturale che spiegano il “perché” di ogni azione; diagnosi e correzione degli errori a velocità di macchina, con timestamp che mostrano una finestra di 31 secondi tra un fallimento e una correzione multi-step accurata; comprensione dimostrata di testo libero incontrato durante l’operazione, non un semplice pattern-matching; e oltre 600 payload distinti ed efficaci eseguiti in una finestra temporale compressa. Anche l’indirizzo Bitcoin usato nella nota di riscatto è curioso: è l’esempio canonico di formato Pay-to-Script-Hash che compare in tutta la documentazione per sviluppatori Bitcoin — un caso da manuale di possibile “allucinazione” di un modello che ha semplicemente riprodotto un esempio della sua base di addestramento, oppure, alternativamente, un wallet reale scelto deliberatamente dall’operatore. Sysdig non è in grado di distinguere le due ipotesi senza visibilità sul system prompt dell’agente.

Cosa cambia per chi difende


Nessuna delle tecniche usate da JADEPUFFER è nuova: è la loro concatenazione autonoma, end-to-end, contro infrastrutture esposte e trascurate, a segnare un punto di svolta. La soglia di competenza per condurre un’estorsione digitale completa si sta abbassando a quanto costa far girare un agente — e se quell’agente gira su credenziali cloud rubate (LLMjacking), il costo per l’attaccante si avvicina allo zero.

  • Applicare la patch per CVE-2025-3248 su ogni istanza Langflow e non esporre mai endpoint di validazione/esecuzione codice a Internet
  • Non fare girare server di orchestrazione AI con chiavi API di provider o credenziali cloud nell’ambiente: isolarle in un secret manager lontano da processi raggiungibili dal web
  • Cambiare la chiave di firma token di default in Nacos, non esporlo mai a Internet e impedirgli di connettersi al database di backend come root
  • Non esporre mai account amministrativi di database su Internet; applicare credenziali forti e restrizioni per IP sorgente sulle porte di gestione
  • Applicare controlli di egress così che un host applicativo compromesso non possa contattare liberamente destinazioni esterne o database di staging
  • Monitorare cron job che invocano chiamate di rete in uscita e anomalie nello User-Agent, oltre agli IoC indicati sotto

Sysdig prevede che il volume e la varietà di queste campagne aumenteranno man mano che il tooling agentico matura. Il consiglio è trattare server applicativi esposti, config store non irrobustiti e account admin di database raggiungibili da Internet come le prime superfici che verranno colpite — non più da un operatore umano con uno script, ma da un agente che scrive da solo il proprio piano d’attacco, verificandolo passo dopo passo.

Indicatori di compromissione

Nome campagna: JADEPUFFER (agentic threat actor)
Vulnerabilità d'ingresso: CVE-2025-3248 (Langflow, RCE non autenticato)
C2 / accesso iniziale: 45.131.66[.]106
Beacon di persistenza: hxxp://45.131.66[.]106:4444/beacon (cron ogni 30 minuti)
Server di staging/exfil dichiarato: 64.20.53[.]230 (InterServer, AS19318)
Bersaglio secondario: server MySQL + Alibaba Nacos esposto
Vulnerabilità sfruttata sul bersaglio: CVE-2021-29441 (Nacos auth bypass) + chiave JWT di default
Credenziali MinIO sfruttate: minioadmin:minioadmin
Tabella di estorsione: README_RANSOM
Indirizzo Bitcoin: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
Contatto: e78393397[@]proton[.]me
Dati distrutti: 1.342 elementi di configurazione Nacos + tabelle config_info/his_config_info
Chiave di cifratura: generata casualmente, mai salvata né trasmessa (dati non recuperabili)

Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ Armored Likho: la APT che spia governi ed energia con il Python stealer BusySnake
#CyberSecurity
insicurezzadigitale.com/armore…

@informatica


Armored Likho: la APT che spia governi ed energia con il Python stealer BusySnake


Un attore APT mai documentato prima, battezzato Armored Likho, sta colpendo agenzie governative e il settore elettrico in Russia, Brasile e Kazakistan con un nuovo infostealer Python chiamato BusySnake. Kaspersky, che ha pubblicato l’analisi tecnica il 3 luglio, descrive un toolkit modulare, offuscato con PyArmor Pro e in parte generato con l’assistenza di strumenti di intelligenza artificiale: un caso di scuola di come lo spionaggio informatico stia adottando l’AI-assisted malware development anche nelle campagne di fascia media.

Chi è Armored Likho


Armored Likho non è un gruppo esordiente: secondo Kaspersky, il suo profilo operativo mescola campagne a sfondo finanziario contro privati con operazioni di cyberspionaggio mirate contro organizzazioni pubbliche e infrastrutture critiche. È proprio questa doppia natura — cybercrime opportunistico e intelligence gathering mirato — a rendere l’attribuzione complessa e la minaccia particolarmente insidiosa: la stessa toolchain può colpire un privato cittadino per rubare credenziali bancarie o un ministero per sottrarre documenti riservati.

I ricercatori segnalano possibili sovrapposizioni con un cluster tracciato da BI.ZONE con il nome Eagle Werewolf, attivo almeno dal maggio 2023 e storicamente focalizzato su enti governativi e della difesa, in particolare organizzazioni coinvolte nello sviluppo e nella produzione di droni (UAV). Nel febbraio 2026 Eagle Werewolf era già stato osservato compromettere un canale Telegram dedicato al mondo dei droni per distribuire il RAT AquilaRAT tramite un dropper Rust travestito da checklist per l’attivazione di dispositivi Starlink. Le sovrapposizioni tecniche tra AquilaRAT e BusySnake — stessi schemi di ricezione dei task dal C2, stessa modalità di persistenza tramite scheduled task, endpoint di comunicazione simili — rafforzano l’ipotesi che si tratti dello stesso ecosistema di sviluppo, se non dello stesso gruppo.

La catena d’attacco


Il vettore d’ingresso resta il più classico: email di spear-phishing con esche legate a comunicazioni governative ufficiali o programmi sociali, che distribuiscono un archivio RAR contenente eseguibili droppati da un repository GitHub. Il dropper crea due file VBScript, uno dei quali cancella le tracce dell’esecuzione iniziale mentre l’altro registra un’attività pianificata (scheduled task) per lanciare lo stealer ogni cinque minuti, mascherata da un innocuo processo di sistema chiamato WindowsHelper — la stessa convenzione di naming usata da AquilaRAT con MicrosoftOfficeUpdate.

Una catena alternativa sfrutta invece file di collegamento Windows (LNK) che abusano di CVE-2025-9491 (nota anche come ZDI-CAN-25373), la vulnerabilità nella gestione degli shortcut corretta da Microsoft nel Patch Tuesday di novembre 2025 ma già sfruttata in passato da una dozzina di gruppi APT dal 2017. In questo scenario, il file LNK innesca un comando PowerShell offuscato che avvia un loader: quest’ultimo mostra un documento esca alla vittima mentre in background prepara l’ambiente per l’esecuzione del vero payload, scaricando un interprete Python 3.12 portatile, lo script get-pip.py per installare le dipendenze e un archivio contenente il payload finale module.pyw.

BusySnake Stealer: un infostealer Python pensato per l’evasione


Il cuore della campagna è BusySnake, un infostealer scritto in Python e mai documentato prima. Il codice è offuscato e cifrato con PyArmor Pro 9.2.0: il malware decripta il proprio bytecode solo nell’istante esatto in cui una funzione viene invocata, per poi ricifrarlo immediatamente dopo l’esecuzione, complicando enormemente l’analisi statica e dinamica. L’estensione .pyw gli permette inoltre di girare in background senza mai aprire una finestra di console visibile.

Dopo l’inizializzazione, che legge da un file di configurazione l’indirizzo del C2, i percorsi delle directory, gli intervalli per gli screenshot e uno user-agent dedicato, BusySnake si mette in ascolto di comandi tramite una funzione poll_task che interroga costantemente il server. Tra le capacità operative documentate da Kaspersky:

  • Furto di dati dagli appunti di sistema (clipboard)
  • Enumerazione dei file sul disco con logging dei metadati in un database locale
  • Ricerca di chiavi esadecimali a 64 caratteri nei file — un pattern tipico dei wallet di criptovalute — e relativa esfiltrazione
  • Cattura periodica di screenshot, archiviazione e invio al C2
  • Keylogging con invio ed eliminazione periodica del log
  • Furto di cookie e password da browser Chromium e Firefox, tramite lettura diretta dei file Cookies/cookies.sqlite e della master key in Login State
  • Furto di sessioni e credenziali Telegram dalla cartella tdata, previa terminazione forzata del processo telegram.exe
  • Apertura di un tunnel SSH inverso riutilizzando una chiave privata fornita dal C2 (funzionalità ereditata dal tool standalone Go2Tunnel, ora integrata nativamente nello stealer)
  • Installazione o riavvio di RustDesk per ottenere il controllo remoto, con cattura dello screenshot delle credenziali inserite dalla vittima al momento del login

Kaspersky ha inoltre individuato una versione più recente dello stealer che introduce un vero e proprio framework di gestione dei task: ogni comando ricevuto dal C2 viene assegnato a un identificativo univoco e transita attraverso quattro stati operativi — SCHEDULED, IN_PROGRESS, SUCCEEDED, FAILED — per un reporting più granulare verso l’infrastruttura d’attacco. Un dettaglio che segnala una maturazione ingegneristica non banale per un tool di questa fascia.

L’ombra dell’AI nel malware development


Un elemento che merita attenzione da parte degli analisti: secondo Kaspersky, i payload di primo stadio (loader e stager) mostrano segni di essere stati generati, almeno in parte, con l’assistenza di strumenti di intelligenza artificiale, a giudicare dalla presenza di commenti ridondanti e blocchi di codice ripetitivi tipici dell’output di modelli linguistici. Non è un caso isolato nel panorama 2026, ma conferma una tendenza: gruppi di livello medio stanno abbassando i tempi di sviluppo del malware affidandosi a copiloti AI, con tutte le implicazioni che questo comporta in termini di volume e velocità di iterazione delle campagne.

Due righe per i difensori


Per i team di detection, il caso Armored Likho offre alcuni punti di leva concreti. Il monitoraggio di scheduled task con nomi che imitano processi Microsoft legittimi (WindowsHelper, ma anche varianti simili) dovrebbe essere prioritario in ambienti governativi e OT/ICS del settore energetico. Vale la pena bloccare o ispezionare il download di interpreti Python portatili e script get-pip.py da endpoint non di sviluppo, un comportamento anomalo per la maggior parte delle postazioni impiegatizie. È inoltre opportuno verificare che la patch per CVE-2025-9491 sia stata applicata su tutta la flotta Windows, dato che il bug LNK continua a essere riciclato da attori eterogenei quasi un decennio dopo la sua prima comparsa. Infine, il traffico verso servizi di tunneling SSH inverso avviato da processi non amministrativi è un segnale da allarme immediato, così come i tentativi di reinstallazione o riavvio non richiesti di RustDesk.

Kaspersky segnala di continuare a monitorare attivamente l’evoluzione della campagna e dell’infrastruttura di rete associata: è ragionevole aspettarsi nuove varianti di BusySnake nei prossimi mesi, considerato il ritmo di sviluppo osservato finora.

Indicatori di compromissione (IoC)

# Hash MD5 (selezione)
5D5C3E483C5E544260CE98FC29FBF192  - PS1 stager
0041FD1B2358CD08DBCBC28EA8FC3D20  - EXE dropper
894332174F536C2E1EFEDA05CBA79F8B  - DLL loader
CF74AC018D158EA2C2CFA1B1D71D95BC  - LNK malevolo
C7622A1EFFA27BBFEE6D6E03D6474343  - BusySnake Stealer (PYW)
80B7700053E115D65365CE7330383320  - BusySnake Stealer (nuova versione, PYW)
6B45DDB39A6E86229348DCBBA3857E7C  - Archivio RAR con BusySnake
006887732CA4A4A46A97989CF4DEEEF6  - Archivio RAR con BusySnake
732C31ACF971A81C7E51B2A3DAE82020  - Archivio RAR con BusySnake
# Domini C2
winupdate[.]live
arvax[.]xyz
varenie[.]live
lvl99[.]store
onetoken[.]ink
winupdate[.]ink
# CVE sfruttata
CVE-2025-9491 (ZDI-CAN-25373) - Windows LNK RCE, patchata Nov 2025
# Scheduled task sospetto
WindowsHelper (persistenza BusySnake)
MicrosoftOfficeUpdate (persistenza AquilaRAT)

Fonti: Kaspersky/Securelist, The Hacker News, BI.ZONE Threat Intelligence.

Cybersecurity & cyberwarfare ha ricondiviso questo.

Armored Likho: la APT che spia governi ed energia con il Python stealer BusySnake


Kaspersky svela Armored Likho, gruppo APT collegato a Eagle Werewolf, che colpisce enti governativi e il settore elettrico in Russia, Brasile e Kazakistan con BusySnake, un infostealer Python offuscato con PyArmor e payload generati con l'assistenza dell'AI.
The media in this post is not displayed to visitors. To view it, please go to the original post.

Un attore APT mai documentato prima, battezzato Armored Likho, sta colpendo agenzie governative e il settore elettrico in Russia, Brasile e Kazakistan con un nuovo infostealer Python chiamato BusySnake. Kaspersky, che ha pubblicato l’analisi tecnica il 3 luglio, descrive un toolkit modulare, offuscato con PyArmor Pro e in parte generato con l’assistenza di strumenti di intelligenza artificiale: un caso di scuola di come lo spionaggio informatico stia adottando l’AI-assisted malware development anche nelle campagne di fascia media.

Chi è Armored Likho


Armored Likho non è un gruppo esordiente: secondo Kaspersky, il suo profilo operativo mescola campagne a sfondo finanziario contro privati con operazioni di cyberspionaggio mirate contro organizzazioni pubbliche e infrastrutture critiche. È proprio questa doppia natura — cybercrime opportunistico e intelligence gathering mirato — a rendere l’attribuzione complessa e la minaccia particolarmente insidiosa: la stessa toolchain può colpire un privato cittadino per rubare credenziali bancarie o un ministero per sottrarre documenti riservati.

I ricercatori segnalano possibili sovrapposizioni con un cluster tracciato da BI.ZONE con il nome Eagle Werewolf, attivo almeno dal maggio 2023 e storicamente focalizzato su enti governativi e della difesa, in particolare organizzazioni coinvolte nello sviluppo e nella produzione di droni (UAV). Nel febbraio 2026 Eagle Werewolf era già stato osservato compromettere un canale Telegram dedicato al mondo dei droni per distribuire il RAT AquilaRAT tramite un dropper Rust travestito da checklist per l’attivazione di dispositivi Starlink. Le sovrapposizioni tecniche tra AquilaRAT e BusySnake — stessi schemi di ricezione dei task dal C2, stessa modalità di persistenza tramite scheduled task, endpoint di comunicazione simili — rafforzano l’ipotesi che si tratti dello stesso ecosistema di sviluppo, se non dello stesso gruppo.

La catena d’attacco


Il vettore d’ingresso resta il più classico: email di spear-phishing con esche legate a comunicazioni governative ufficiali o programmi sociali, che distribuiscono un archivio RAR contenente eseguibili droppati da un repository GitHub. Il dropper crea due file VBScript, uno dei quali cancella le tracce dell’esecuzione iniziale mentre l’altro registra un’attività pianificata (scheduled task) per lanciare lo stealer ogni cinque minuti, mascherata da un innocuo processo di sistema chiamato WindowsHelper — la stessa convenzione di naming usata da AquilaRAT con MicrosoftOfficeUpdate.

Una catena alternativa sfrutta invece file di collegamento Windows (LNK) che abusano di CVE-2025-9491 (nota anche come ZDI-CAN-25373), la vulnerabilità nella gestione degli shortcut corretta da Microsoft nel Patch Tuesday di novembre 2025 ma già sfruttata in passato da una dozzina di gruppi APT dal 2017. In questo scenario, il file LNK innesca un comando PowerShell offuscato che avvia un loader: quest’ultimo mostra un documento esca alla vittima mentre in background prepara l’ambiente per l’esecuzione del vero payload, scaricando un interprete Python 3.12 portatile, lo script get-pip.py per installare le dipendenze e un archivio contenente il payload finale module.pyw.

BusySnake Stealer: un infostealer Python pensato per l’evasione


Il cuore della campagna è BusySnake, un infostealer scritto in Python e mai documentato prima. Il codice è offuscato e cifrato con PyArmor Pro 9.2.0: il malware decripta il proprio bytecode solo nell’istante esatto in cui una funzione viene invocata, per poi ricifrarlo immediatamente dopo l’esecuzione, complicando enormemente l’analisi statica e dinamica. L’estensione .pyw gli permette inoltre di girare in background senza mai aprire una finestra di console visibile.

Dopo l’inizializzazione, che legge da un file di configurazione l’indirizzo del C2, i percorsi delle directory, gli intervalli per gli screenshot e uno user-agent dedicato, BusySnake si mette in ascolto di comandi tramite una funzione poll_task che interroga costantemente il server. Tra le capacità operative documentate da Kaspersky:

  • Furto di dati dagli appunti di sistema (clipboard)
  • Enumerazione dei file sul disco con logging dei metadati in un database locale
  • Ricerca di chiavi esadecimali a 64 caratteri nei file — un pattern tipico dei wallet di criptovalute — e relativa esfiltrazione
  • Cattura periodica di screenshot, archiviazione e invio al C2
  • Keylogging con invio ed eliminazione periodica del log
  • Furto di cookie e password da browser Chromium e Firefox, tramite lettura diretta dei file Cookies/cookies.sqlite e della master key in Login State
  • Furto di sessioni e credenziali Telegram dalla cartella tdata, previa terminazione forzata del processo telegram.exe
  • Apertura di un tunnel SSH inverso riutilizzando una chiave privata fornita dal C2 (funzionalità ereditata dal tool standalone Go2Tunnel, ora integrata nativamente nello stealer)
  • Installazione o riavvio di RustDesk per ottenere il controllo remoto, con cattura dello screenshot delle credenziali inserite dalla vittima al momento del login

Kaspersky ha inoltre individuato una versione più recente dello stealer che introduce un vero e proprio framework di gestione dei task: ogni comando ricevuto dal C2 viene assegnato a un identificativo univoco e transita attraverso quattro stati operativi — SCHEDULED, IN_PROGRESS, SUCCEEDED, FAILED — per un reporting più granulare verso l’infrastruttura d’attacco. Un dettaglio che segnala una maturazione ingegneristica non banale per un tool di questa fascia.

L’ombra dell’AI nel malware development


Un elemento che merita attenzione da parte degli analisti: secondo Kaspersky, i payload di primo stadio (loader e stager) mostrano segni di essere stati generati, almeno in parte, con l’assistenza di strumenti di intelligenza artificiale, a giudicare dalla presenza di commenti ridondanti e blocchi di codice ripetitivi tipici dell’output di modelli linguistici. Non è un caso isolato nel panorama 2026, ma conferma una tendenza: gruppi di livello medio stanno abbassando i tempi di sviluppo del malware affidandosi a copiloti AI, con tutte le implicazioni che questo comporta in termini di volume e velocità di iterazione delle campagne.

Due righe per i difensori


Per i team di detection, il caso Armored Likho offre alcuni punti di leva concreti. Il monitoraggio di scheduled task con nomi che imitano processi Microsoft legittimi (WindowsHelper, ma anche varianti simili) dovrebbe essere prioritario in ambienti governativi e OT/ICS del settore energetico. Vale la pena bloccare o ispezionare il download di interpreti Python portatili e script get-pip.py da endpoint non di sviluppo, un comportamento anomalo per la maggior parte delle postazioni impiegatizie. È inoltre opportuno verificare che la patch per CVE-2025-9491 sia stata applicata su tutta la flotta Windows, dato che il bug LNK continua a essere riciclato da attori eterogenei quasi un decennio dopo la sua prima comparsa. Infine, il traffico verso servizi di tunneling SSH inverso avviato da processi non amministrativi è un segnale da allarme immediato, così come i tentativi di reinstallazione o riavvio non richiesti di RustDesk.

Kaspersky segnala di continuare a monitorare attivamente l’evoluzione della campagna e dell’infrastruttura di rete associata: è ragionevole aspettarsi nuove varianti di BusySnake nei prossimi mesi, considerato il ritmo di sviluppo osservato finora.

Indicatori di compromissione (IoC)

# Hash MD5 (selezione)
5D5C3E483C5E544260CE98FC29FBF192  - PS1 stager
0041FD1B2358CD08DBCBC28EA8FC3D20  - EXE dropper
894332174F536C2E1EFEDA05CBA79F8B  - DLL loader
CF74AC018D158EA2C2CFA1B1D71D95BC  - LNK malevolo
C7622A1EFFA27BBFEE6D6E03D6474343  - BusySnake Stealer (PYW)
80B7700053E115D65365CE7330383320  - BusySnake Stealer (nuova versione, PYW)
6B45DDB39A6E86229348DCBBA3857E7C  - Archivio RAR con BusySnake
006887732CA4A4A46A97989CF4DEEEF6  - Archivio RAR con BusySnake
732C31ACF971A81C7E51B2A3DAE82020  - Archivio RAR con BusySnake
# Domini C2
winupdate[.]live
arvax[.]xyz
varenie[.]live
lvl99[.]store
onetoken[.]ink
winupdate[.]ink
# CVE sfruttata
CVE-2025-9491 (ZDI-CAN-25373) - Windows LNK RCE, patchata Nov 2025
# Scheduled task sospetto
WindowsHelper (persistenza BusySnake)
MicrosoftOfficeUpdate (persistenza AquilaRAT)

Fonti: Kaspersky/Securelist, The Hacker News, BI.ZONE Threat Intelligence.

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

JADEPUFFER: il primo ransomware condotto interamente da un agente AI, dalla violazione al wipe del database


Il Threat Research Team di Sysdig documenta JADEPUFFER, il primo caso noto di estorsione digitale gestita end-to-end da un agente basato su LLM: dalla violazione di un server Langflow esposto alla cifratura e distruzione di un database Nacos, con correzioni autonome degli errori in 31 secondi.
The media in this post is not displayed to visitors. To view it, please go to the original post.

Il ransomware ha sempre avuto un umano dietro la tastiera, o quantomeno dietro lo script. Il Threat Research Team di Sysdig sostiene di aver documentato per la prima volta il contrario: un’estorsione digitale condotta interamente, dalla ricognizione iniziale alla distruzione dei dati, da un modello linguistico di grandi dimensioni senza intervento umano diretto. L’hanno battezzata JADEPUFFER, e i log che ha lasciato dietro di sé si leggono come il diario di bordo — auto-narrato, letteralmente — di un operatore che ragiona, sbaglia, si corregge e ripiega su un piano B in 31 secondi.

Il punto d’ingresso: un server Langflow esposto


JADEPUFFER ha ottenuto l’accesso iniziale sfruttando CVE-2025-3248, una falla di mancata autenticazione nell’endpoint di validazione del codice di Langflow, popolare framework open source per costruire applicazioni e workflow di agenti basati su LLM. Il difetto permette a chiunque raggiunga il servizio di eseguire codice Python arbitrario senza credenziali. Langflow resta un bersaglio ricorrente proprio perché le sue istanze, spesso esposte in fretta e senza controlli di rete, custodiscono tipicamente chiavi API di provider AI e credenziali cloud nell’ambiente circostante — un aperitivo perfetto per chi cerca un punto d’appoggio.

Tutti i payload sono stati consegnati come Python codificato in Base64 attraverso l’endpoint RCE, e da lì l’agente ha iniziato a muoversi da solo.

Fase 1: ricognizione e razzia sull’host compromesso


Subito dopo l’esecuzione, l’LLM ha enumerato l’host (id, uname -a, hostname, interfacce di rete, processi attivi) e ha setacciato in parallelo l’ambiente per categorie di segreti: chiavi API di provider AI (OpenAI, Anthropic, DeepSeek, Gemini e altri), credenziali cloud — con una copertura esplicita dei provider cinesi (Alibaba, Aliyun, Tencent, Huawei) oltre ad AWS, GCP e Azure — wallet di criptovalute e seed phrase, credenziali e file di configurazione di database.

Ha poi scaricato il database Postgres di backend dello stesso Langflow, sondato lo spazio di indirizzi interno alla ricerca di servizi raggiungibili e, trovato un endpoint MinIO (l’archivio oggetti compatibile S3 usato per dati applicativi, backup e modelli ML) protetto solo dalle credenziali di default minioadmin:minioadmin, ha eseguito l’intero playbook di enumerazione: elenco dei bucket — incluso uno dedicato allo stato Terraform — e recupero mirato di file .env e credentials.json. Quando un tentativo iniziale con ?format=json ha restituito XML invece del JSON atteso, l’agente ha adattato all’istante il proprio parser allo schema di risposta S3 e ha rilanciato la richiesta: un dettaglio piccolo ma rivelatore, perché è esattamente il tipo di correzione che un toolkit fisso non farebbe mai da solo.

Prima di spostarsi sul bersaglio vero, ha installato una persistenza banale ma efficace: un cron job che ogni 30 minuti invia un beacon all’infrastruttura d’attacco.

Fase 2: il vero obiettivo — un server Nacos/MySQL di produzione


Gli artefatti catturati mostrano che il bersaglio reale dell’operazione non era Langflow, ma un server di produzione separato che eseguiva MySQL e Alibaba Nacos, la piattaforma di service discovery e configurazione dinamica molto diffusa nelle architetture a microservizi. Nacos porta con sé una storia documentata di bypass di autenticazione (CVE-2021-29441 e varianti correlate) e una chiave di firma JWT di default nota pubblicamente dal 2020, che in molte installazioni non viene mai cambiata, rendendo banale la falsificazione dei token.

Con accesso root al database — le cui credenziali non risultano raccolte nell’ambiente della vittima, e la cui origine resta ignota — l’agente ha inserito direttamente un amministratore backdoor nel database di Nacos. Ed è qui che emerge la sequenza più interessante dell’intera analisi Sysdig: il primo tentativo di login con l’account appena creato fallisce; 12 secondi dopo l’LLM prova contemporaneamente le credenziali di default nacos:nacos e genera un nuovo hash per una password più semplice; 19 secondi più tardi emette un payload correttivo che passa da una chiamata subprocess a un import diretto della libreria bcrypt, cancella la riga corrotta e la ricrea con l’hash generato correttamente. Il login riesce. Dal fallimento alla correzione funzionante: 31 secondi, quindici righe di codice coordinato — cancellare, diagnosticare, ricostruire, reinserire.

Segue una fase di ricognizione per un possibile container escape — scritture di test su file MySQL, tentativi di lettura di docker.sock e /proc/1/cgroup, verifica dei permessi su /proc/1/mountinfo — condotta con precisione chirurgica in circa otto minuti e chiusa da un marcatore di completamento esplicito scritto su disco. Non è il comportamento di uno script fisso: è un agente strutturato che segnala da solo di essere pronto per la fase successiva.

Cifratura, estorsione e distruzione — con un colpo di scena


L’agente ha cifrato 1.342 elementi di configurazione del servizio Nacos usando la funzione AES_ENCRYPT() di MySQL, eliminato le tabelle originali config_info e la relativa cronologia, e creato una tabella di estorsione, README_RANSOM, con la richiesta di riscatto, un indirizzo Bitcoin e un contatto ProtonMail. La nota rivendica AES-256, ma AES_ENCRYPT() di default usa AES-128-ECB salvo riconfigurazione: un dettaglio che forse esagera l’algoritmo ma non cambia l’impatto pratico.

Il colpo di scena è nella chiave: generata come base64(uuid4().bytes + uuid4().bytes), quindi sostanzialmente casuale, stampata una sola volta a schermo e mai salvata né trasmessa altrove. Anche pagando, la vittima non potrebbe recuperare nulla — l’estorsione, in questo caso, è tecnicamente impossibile da onorare. Nella fase finale, l’agente è passato dalla cancellazione di singole righe all’eliminazione di schemi di database interi, commentando nel proprio stesso codice la logica di scelta dei bersagli (“database ad alto ROI da eliminare”) come farebbe un operatore che spiega a sé stesso perché sta agendo così.

Come si fa a dire che è stata davvero un’IA


Sysdig basa la propria valutazione su quattro elementi: codice auto-narrante saturo di commenti in linguaggio naturale che spiegano il “perché” di ogni azione; diagnosi e correzione degli errori a velocità di macchina, con timestamp che mostrano una finestra di 31 secondi tra un fallimento e una correzione multi-step accurata; comprensione dimostrata di testo libero incontrato durante l’operazione, non un semplice pattern-matching; e oltre 600 payload distinti ed efficaci eseguiti in una finestra temporale compressa. Anche l’indirizzo Bitcoin usato nella nota di riscatto è curioso: è l’esempio canonico di formato Pay-to-Script-Hash che compare in tutta la documentazione per sviluppatori Bitcoin — un caso da manuale di possibile “allucinazione” di un modello che ha semplicemente riprodotto un esempio della sua base di addestramento, oppure, alternativamente, un wallet reale scelto deliberatamente dall’operatore. Sysdig non è in grado di distinguere le due ipotesi senza visibilità sul system prompt dell’agente.

Cosa cambia per chi difende


Nessuna delle tecniche usate da JADEPUFFER è nuova: è la loro concatenazione autonoma, end-to-end, contro infrastrutture esposte e trascurate, a segnare un punto di svolta. La soglia di competenza per condurre un’estorsione digitale completa si sta abbassando a quanto costa far girare un agente — e se quell’agente gira su credenziali cloud rubate (LLMjacking), il costo per l’attaccante si avvicina allo zero.

  • Applicare la patch per CVE-2025-3248 su ogni istanza Langflow e non esporre mai endpoint di validazione/esecuzione codice a Internet
  • Non fare girare server di orchestrazione AI con chiavi API di provider o credenziali cloud nell’ambiente: isolarle in un secret manager lontano da processi raggiungibili dal web
  • Cambiare la chiave di firma token di default in Nacos, non esporlo mai a Internet e impedirgli di connettersi al database di backend come root
  • Non esporre mai account amministrativi di database su Internet; applicare credenziali forti e restrizioni per IP sorgente sulle porte di gestione
  • Applicare controlli di egress così che un host applicativo compromesso non possa contattare liberamente destinazioni esterne o database di staging
  • Monitorare cron job che invocano chiamate di rete in uscita e anomalie nello User-Agent, oltre agli IoC indicati sotto

Sysdig prevede che il volume e la varietà di queste campagne aumenteranno man mano che il tooling agentico matura. Il consiglio è trattare server applicativi esposti, config store non irrobustiti e account admin di database raggiungibili da Internet come le prime superfici che verranno colpite — non più da un operatore umano con uno script, ma da un agente che scrive da solo il proprio piano d’attacco, verificandolo passo dopo passo.

Indicatori di compromissione

Nome campagna: JADEPUFFER (agentic threat actor)
Vulnerabilità d'ingresso: CVE-2025-3248 (Langflow, RCE non autenticato)
C2 / accesso iniziale: 45.131.66[.]106
Beacon di persistenza: hxxp://45.131.66[.]106:4444/beacon (cron ogni 30 minuti)
Server di staging/exfil dichiarato: 64.20.53[.]230 (InterServer, AS19318)
Bersaglio secondario: server MySQL + Alibaba Nacos esposto
Vulnerabilità sfruttata sul bersaglio: CVE-2021-29441 (Nacos auth bypass) + chiave JWT di default
Credenziali MinIO sfruttate: minioadmin:minioadmin
Tabella di estorsione: README_RANSOM
Indirizzo Bitcoin: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
Contatto: e78393397[@]proton[.]me
Dati distrutti: 1.342 elementi di configurazione Nacos + tabelle config_info/his_config_info
Chiave di cifratura: generata casualmente, mai salvata né trasmessa (dati non recuperabili)

reshared this

Old Midi Instruments Don’t Like Modern Midi. What’s To Be Done?


The media in this post is not displayed to visitors. To view it, please log in.

In theory, MIDI is an electrical and protocol standard that allows any such equipped instrument or computer to talk to any other. But as the wonderfully named [Knob Monster] will tell you, when the computer is new, and the instrument is old, it ain’t that simple.

They specialise in using the Web MIDI interface to allow browser control of an instrument. This might typically be done with a USB to MIDI interface, but in this lies a problem. The 8-bit microprocessor on a 1983 synth has problems keeping up with the rapid-fire data that spews relentlessly from the supercomputer-grade machine controlling it, and bad things happen as a result.

Expensive MIDI interfaces have a buffer built in, but a better solution lies in the Web MIDI code itself. They detail how to use the Web MIDI API’s built-in packet scheduler to slow things down a little and let your Yamaha DX7 chill a bit.

Meanwhile, if you need a USB to MIDI interface, we’ve covered one in the past.


hackaday.com/2026/07/05/old-mi…

Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

1983, quando ancora c'erano tutte le speranze per un mondo migliore e nessuna paura per il fard arancione e l'ombretto celeste.
E Cyndi Lauper, come tutte noi, voleva divertirsi 🤟

#YSMR - track 007
One track. One Sunday. One spin.

🔗 open.substack.com/pub/youspinm…

#ysmr
Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

⚠️ Poor interface design keeps creating avoidable cyber incidents

The article argues that security failures increasingly stem from confusing user experiences, where better UI and UX decisions can reduce phishing, misconfigurations and human error.

🔗 read more: undercodetesting.com/ui-ux-is-the...

reshared this

Homelab Gets Linksys Themed Aesthetic


The media in this post is not displayed to visitors. To view it, please log in.

If you’re building a homelab rig, you could just use off-the-shelf hardware in standard cases and slap it all in a rack like the normies do. Or, you could follow the example of [Justin Garrison] and build a more oddball setup.

This particular homelab is, at its heart, built from familiar components. There are two Raspberry Pi 5s, two Raspberry Pi 4s, a GMKtec NucBox M6 Mini with an ASUS GeForce RT 2060 GPU, a LattePanda IOTA, an NVidia DGX Spark, and an HP Z4 G4 mini PC. These machines are all laced together with a TP-Link LS108GB PoE switch. [Justin] has the mini PC running the control plane components, with the rig as a whole running Talos and Kubernetes workloads. What makes this build particularly appealing, though, is the aesthetics of the rig. [Justin] documents how he hacked this hardware to fit into a bunch of old Linksys router cases, which provides a pleasant early 2000s look to the build. This included a bit of hackery to get status LEDs flickering as they should be. [Justin] also took the time to make the power buttons accessible.

If you want to stunt on your friends with a rad homelab, you either have to go for maximum power, or maximum style. This build would be the latter. Video after the break.

youtube.com/embed/QcRyje_gGYM?…


hackaday.com/2026/07/05/homela…

Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

RHC Conference 2026 - Intervista a Patricio Xavier Zambrano Rodríguez

📍Guarda il video: youtube.com/watch?v=OtQrmRdKTP…

#redhotcyber #rhcconference #conferenza #informationsecurity #ethicalhacking #dataprotection

Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Sony ha già pensato a un nuovo utilizzo del proprio stabilimento dove producono i dischi PlayStation

📌 Link all'articolo : redhotcyber.com/post/sony-ha-g…

A cura di Luigi Zullo

#redhotcyber #news #sony #dischiottici #giochi #produzione #digitale #copiefisiche #disco

Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Il CEO di Palantir critica il modello a token di OpenAI e Anthropic e incentiva le AI Open Weight

📌 Link all'articolo : redhotcyber.com/post/il-ceo-di…

A cura di Carolina Vivianti

#redhotcyber #news #intelligenzaartificiale #criticamodelлотoken #aistatunitensi #ingestibile

Cybersecurity & cyberwarfare ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

361 – I Mondiali di calcio sono finti AI-powered! camisanicalzolari.it/361-i-mon…

La sfida dei data center spaziali


@Informatica (Italy e non Italy)
La Cina ha già lanciato i primi satelliti per elaborare dati in orbita. Gli Stati Uniti, tra Pentagono, Google e SpaceX, stanno facendo lo stesso. Nasce una nuova infrastruttura digitale globale?

#GuerreDiRete è la newsletter curata da @Carola Frediani

Make a DIY E-ink Faceplate For Valve’s Steam Machine


The media in this post is not displayed to visitors. To view it, please log in.

Valve has always designed hacker-friendly hardware, and in that spirit, [NaKyle Wright] released Inkterface, a design for an E-ink faceplate to fit the recently released Steam Machine. As far as projects go, this one is meticulously documented, so give it a peek.

The system uses a selection of components that include a 5.83″ E-ink panel and driver board, a small lithium-polymer battery, and an ESP32-based controller board. A cleverly-designed 3D printed frame and bezel hold everything just so, creating a snug assembly with minimal wiring hassles.
A small service can be easily configured to control how the display updates.
The faceplate is wireless and self-contained, attaching with the help of four magnets. On the software side, the host machine communicates over Bluetooth, and a service takes care of pushing updates. An app for configuring and talking to the display will be available on Steam eventually, but in the meantime one can install that part manually.

[NaKyle]’s bill of materials calls for specific components, but the underlying design is very modular. Should one wish to make hardware or component changes, alterations to the 3D printed parts might be needed as well. Fortunately, [NaKyle] includes the .step files alongside the .stl models. We love to see that, because it makes tweaking or customizing so much more accessible. A homebrewed version of this E-ink panel might be just the thing to complement a homebrewed Steam machine.

Be sure to also check out the repository of Steam hardware, which contains drawings and 3D models of the Steam Deck and Steam Controller, useful for designing holders or custom brackets or whatever else one may need.


hackaday.com/2026/07/04/make-a…

Cybersecurity & cyberwarfare ha ricondiviso questo.

Security Affairs #newsletter Round 584 by Pierluigi Paganini – INTERNATIONAL EDITION
securityaffairs.com/194772/sec…
#securityaffairs #hacking

The Persistent Display We Never Got


The media in this post is not displayed to visitors. To view it, please log in.

We all know the e-ink persistent displays, as they’re cheap and plentiful enough to have become ubiquitous in applications such as supermarket price labels. But we don’t often see some of the other technologies that almost did the same thing. The BBC Archive has a report from 1986 showing one of them, a prototype display from STC.

E-ink relies on flipping the arrangement of black and white particles in its pixels, while this one has a fluid in which the molecules are aligned to let light through, or dispersed randomly, at which point they block light. Frustratingly, we aren’t told what the liquid is, but we are given what might be the reason that we’ve never seen one. The activation voltage is rather high at 200 volts. It’s still a fascinating glimpse of something we might have had, with some tasty early-PC-era portables along the way.

The BBC archive has served up quite a bit of retro goodness over time, and we’ve certainly featured one or two of them over time. A recent one was this demonstration of email via a flight to Amsterdam, from the same year as today’s display.

youtube.com/embed/fM7BpmJlRIs?…


hackaday.com/2026/07/04/the-pe…

Using Flatpak to Run a 1996 Version of the GIMP on Modern Linux


The media in this post is not displayed to visitors. To view it, please log in.

Although there’s probably no good reason to want to run image editing software from 1996 other than for nostalgia’s sake, if you ever wanted to run the GIMP version 0.54 from back when Windows 98 was still called Windows 97, you can do so now from the comfort of a modern-day Linux desktop. What enables this is a Flatpak version of a beta release, assembled by [balooii] for everyone’s enjoyment.

It wasn’t a simple matter of compiling the old software’s code and packaging it up, with the repository for the project containing a series of patches that were required to make this possible. Also of note is that this is the first version of GIMP with full surviving source code. Back then, GIMP used the Motif widget toolkit. Later on, it switched to the GIMP Toolkit (GTK).

Bundled with this Flatpak release are a lot of plugins and tutorials that were created at the time, making it a veritable time capsule of a more innocent era. As noted by [balooii], this version of GIMP was very much Beta software, with all of the UI quirks you’d expect. It also features the multiple unconnected windows (not MDI) approach to its UI – dropped in more recent GIMP releases — that has enraged proponents of the single window approach, as used by all commercial competitors, including Paint Shop Pro and Photoshop.


hackaday.com/2026/07/04/using-…

Disk Polishing Goes Open Source


The media in this post is not displayed to visitors. To view it, please log in.

Optical media is great — it’s pretty high density, relatively durable, and decently long-lasting if
a selection of before-and-after shots“That’ll buff out” is very often true when it comes to disks.
well cared for. If not well cared for, well, it’s only relatively durable, and we’ve probably all picked up a second-hand disk that’s too scratched to use. The X-Box 360 is notorious for causing circular damage, and while decent disk cleaners were easy to get in the 90s, we’re not sure how far we trust what’s on offer at retailers today. Hence [Dennis], aka [RetroGameRevival]’s RGR ezBuff polishing machine, which does exactly what it says on the tin: buffs disks to a polish, easily.

We’d say the whole thing is 3D printed, but of course you still need a motor and controller — if you had to turn a crank, that would just be a Buff polishing machine, no ez — and we’ve yet to see a printer poop out polishing compound. If you build it, keep in mind that you’re taking the top layer of material off the disk to polish scratches away, so don’t overdo it. It’s entirely possible to ruin a disk beyond repair with too-aggressive buffing; it’s also possible for disks to be scratched too deeply to save. Polishing can’t save genuine disk rot, though in our experience you’re more likely to find scratched disks than rotten ones. Still, [Dennis]’s birthday gift to the community — it was apparently released on his birthday — should keep more than a few disks out of the trash.

With Sony getting out of the disk game, physical media is becoming more precious than ever, so it’s good to see what looks like a quality polishing option for those of us who either never had a polisher or didn’t save theirs. If you really want your disks to last, maybe we should bring back CD caddies.

Thanks to [Dean] for the tip, via timeExtension.com.


hackaday.com/2026/07/04/disk-p…

DigiDavidex ⚡ reshared this.

Cybersecurity & cyberwarfare ha ricondiviso questo.

Se aiuti Anna's Archive a derubare i ladri di libri, la tua parte del bottino saranno 200.000 e la gratitudine dei pirati di tutto il mondo... 🤣

Google Libri contiene molti libri scansionati, ma vengono resi pubblici solo tramite ricerca, dove vengono visualizzati come piccoli frammenti attorno ai risultati di ricerca.
Se hai trovato un metodo che ritieni possa essere ampliato, contattaci tempestivamente con il tuo prototipo e potremmo essere in grado di aiutarti ad ampliarlo.
Se lavori in Google e hai accesso a questi dati, allora ci rendiamo conto che 200.000 dollari significano poco per te, ma saresti considerato un archivista leggendario se riuscissi a rubare di nascosto questi dati.
Questa ricompensa si applica anche ad altre collezioni di dimensioni simili, ad esempio raccolti dalle aziende di intelligenza artificiale, soprattutto se la collezione comprende in modo significativo libri rari.

software.annas-archive.gl/Anna…

@Pirati Europei

Questo account è gestito da @informapirata ⁂ e propone e ricondivide articoli di cybersecurity e cyberwarfare, in italiano e in inglese

I post possono essere di diversi tipi:

1) post pubblicati manualmente
2) post pubblicati da feed di alcune testate selezionate
3) ricondivisioni manuali di altri account
4) ricondivisioni automatiche di altri account gestiti da esperti di cybersecurity

NB: purtroppo i post pubblicati da feed di alcune testate includono i cosiddetti "redazionali"; i redazionali sono di fatto delle pubblicità che gli inserzionisti pubblicano per elogiare i propri servizi: di solito li eliminiamo manualmente, ma a volte può capitare che non ce ne accorgiamo (e no: non siamo sempre on line!) e quindi possono rimanere on line alcuni giorni. Fermo restando che le testate che ricondividiamo sono gratuite e che i redazionali sono uno dei metodi più etici per sostenersi economicamente, deve essere chiaro che questo account non riceve alcun contributo da queste pubblicazioni.

reshared this