Mentre il mondo corre verso l’adozione di nuovi modelli, reti segmentate e difese automatizzate, l’Italia resta ancorata a un passato fatto di server dimenticati, password su foglietti volanti e backup “fatti a mano”. Questo non è cyberpunk.

È la quotidianità, ma nessuno sembra nemmeno preoccuparsene. Benvenuti nel Paese dove i ransomware trovano più porte aperte che nei peggiori bar di Caracas. Comuni con sistemi gestionali del 2003, software proprietari che nessuno sa più aggiornare, enti locali che usano ancora Internet Explorer.

Dal 2021 abbiamo visto, infatti, una crescita di attacchi verso regioni, comuni e ospedali. La cosa peggiore è che molti attacchi non vengono nemmeno resi pubblici. I log non esistono. I responsabili IT sono spesso da soli, sottopagati e colpevolizzati. Le piccole e medie imprese italiane sono un bersaglio perfetto. Budget IT risicati, cultura della sicurezza assente, sistemi spesso gestiti da parenti e amici informatici improvvisati.

E così la sicurezza diventa folklore. In Italia, la cybersecurity è spesso trattata come una moda passeggera, buona per qualche convegno, un po’ di LinkedIn marketing e qualche “badge” su siti istituzionali. Ma sotto la superficie c’è il vuoto: procedure scritte male (quando ci sono), infrastrutture che nessuno osa toccare e sistemi affidati a società esterne che spariscono quando serve assistenza.

L’IT è visto come un costo, la sicurezza come un fastidio.

E chi prova a cambiare le cose si trova presto schiacciato tra burocrazia, scetticismo e mancanza di fondi. Non c’è bisogno di un APT russo per violare una rete comunale: basta una mail con allegato Excel e una macro scritta male. Il problema non è la potenza degli attaccanti. È la debolezza strutturale dei bersagli.

Chi è il responsabile di tutto questo? Nessuno, e quindi tutti.

I dirigenti che firmano capitolati con software senza manutenzione. I fornitori che installano firewall convenienti e poi spariscono. I politici che parlano di digitalizzazione senza sapere distinguere una VPN da una rete Wi-Fi. Ma anche noi tecnici, che troppo spesso ci rassegniamo al “così fan tutti”.

In altri Paesi si investe per rafforzare l’infrastruttura digitale come se fosse un asset critico nazionale. Da noi si spera solo che domani non succeda. Si spera che nessuno si accorga che quel NAS è esposto su internet. Che nessuno clicchi su quell’allegato. Che nessuno chieda log che non esistono.

Nel frattempo, tutto resta com’è. I bandi premiano l’offerta più economica, le competenze digitali sono affidate a chi ha fatto un corso da 30 ore, e gli attacchi aumentano. Ogni volta ci si sorprende.

Ogni volta si promette un audit, una commissione, un’indagine interna. Poi si archivia. Si dimentica.

E nel frattempo, chi segnala vulnerabilità viene ignorato. O peggio, minacciato.

Non esiste sistema invulnerabile. Ma un sistema che ignora le sue vulnerabilità è già compromesso.

Ma qualcosa può ancora cambiare.

La speranza ha un volto giovane. Sono gli studenti delle scuole superiori che si appassionano a Linux più che alla console. Sono i ragazzi che smontano router vecchi per capire come funzionano. Sono le community che fanno formazione gratuita, che organizzano CTF, che diffondono cultura dove lo Stato è assente.

Serve investire su di loro.

Dargli spazio. Fiducia. Budget.

Non saranno perfetti, ma sono l’unico firewall culturale che ci è rimasto.

Se c’è un futuro per la cybersecurity italiana, passa dalle mani di chi oggi sta imparando, spesso da solo, spesso senza mezzi, a difendere un Paese che non sa ancora di dover essere protetto.

L'articolo Spaghetti Crime: perché l’Italia è il bersaglio perfetto per i criminali informatici. Ma abbiamo una speranza! proviene da il blog della sicurezza informatica.

È stata scoperta una vulnerabilità critica di tipo double free nel modulo pipapo set del sottosistema NFT del kernel Linux. Un aggressore senza privilegi può sfruttare questa vulnerabilità inviando un messaggio netlink appositamente predisposto, innescando un errore double-free con elevata stabilità. L’aggressore può sfruttare le tecniche diexploit del kernel per ottenere un’escalation locale dei privilegi.

La vulnerabilità risiede nella funzione nft_add_set_elem che si trova in net/netfilter/nf_tables_api.c, dove una variabile stack non inizializzata struct nft_set_elem elem diventa la fonte del difetto di sicurezza. Gli analisti di SSD hanno riportato che il problema si verifica quando l’opzione di configurazione CONFIG_INIT_STACK_ALL_ZERO è disabilitata, lasciando dati non inizializzati sullo stack che contaminano la chiave dell’elemento durante l’elaborazione.

Il percorso del codice vulnerabile elabora i dati NFTA_SET_ELEM_KEY forniti dall’utente, ma inizializza la memoria solo fino alla lunghezza della chiave (klen), lasciando il contenuto del buffer rimanente con dati dello stack non inizializzati. Questa memoria non inizializzata contiene in genere puntatori da precedenti chiamate di funzioni del kernel, che attivano la condizione di doppia liberazione quando il set pipapo tenta di rimuovere elementi.

Il processo di exploit prevede una sofisticata tecnica di heap exploitation che consente di bypassare KASLR e stabilire una primitiva di scrittura arbitraria. La vulnerabilità riguarda le versioni del kernel Linux dalla 5.6-rc1 alla 6.13-rc3 e richiede configurazioni specifiche del kernel, tra cui:

• CONFIG_INIT_STACK_ALL_ZERO=n
• CONFIG_NETFILTER=y
• CONFIG_NF_TABLES=y
• CONFIG_USER_NS=y

Questa vulnerabilità presenta rischi significativi per la sicurezza poiché fornisce una primitiva double-free affidabile che può essere sfruttata per l’escalation dei privilegi locali. L’attacco raggiunge un’elevata stabilità attraverso tecniche di forza bruta che identificano le lunghezze ottimali delle chiavi per attivare il bug su configurazioni specifiche del kernel.

Strategie di mitigazione efficaci includono l’abilitazione dell’opzione di compilazione del kernel CONFIG_INIT_STACK_ALL_ZERO, che inizializza le variabili locali a zero e impedisce la contaminazione dei dati non inizializzati. Inoltre, applicando la patch disponibile dal team di sviluppo di Netfilter si affronta la causa principale inizializzando correttamente la struttura elem.

L'articolo Vulnerabilità Critica nel Kernel Linux: Una nuova Escalation di Privilegi proviene da il blog della sicurezza informatica.

Negli ultimi mesi, due episodi inquietanti hanno scosso l’opinione pubblica e il settore della sicurezza informatica italiana.

Il primo ha riguardato un ospedale italiano, violato nel suo cuore più sensibile: video dei pazienti e delle sale operatorie finiti online, esponendo non solo l’inadeguatezza dei sistemi di protezione, ma anche la vulnerabilità della nostra stessa umanità digitale. Altri episodi, li abbiamo visto colpire i sistemi SCADA di hotel e altre infrastrutture, dove l’accesso completo a impianti critici è stato ottenuto da due gruppi: Overflame e Sector16.

Proprio questi ultimi, i Sector16, sono il soggetto della nostra intervista esclusiva. Un nome che fino a poco tempo fa era conosciuto solo tra addetti ai lavori, ma che oggi inizia ad essere presente nei report delle intelligence cyber europee. Le loro operazioni, caratterizzate da una precisione chirurgica e da un linguaggio comunicativo crudo e provocatorio, si inseriscono in un nuovo paradigma di attivismo digitale, in cui la linea tra sabotaggio, dimostrazione di forza e crimine organizzato è sempre più sottile.

In questa conversazione, abbiamo cercato di comprendere chi sono, cosa li muove e fino a dove intendono spingersi. Quello che ne è emerso è il ritratto di un collettivo che non si limita a violare sistemi, ma che intende lanciare messaggi, sfidare i confini della sicurezza informatica e – a loro dire – “mettere in evidenza il marcio nel cuore delle infrastrutture digitali italiane”.

RHC: Il nome “Sector16” ha una connotazione precisa: richiama un linguaggio tecnico, quasi militare, e lascia intendere un certo grado di organizzazione o di visione strategica. Cosa rappresenta per voi questo nome? È legato a un luogo, a un concetto, a una provocazione?
SECTOR16: Nel film “Le colline hanno gli occhi“ viene citato un poligono militare abbandonato chiamato SECTOR 16. Il nome sottolinea l’atmosfera di isolamento e pericolo in cui i personaggi si trovano ad affrontare diverse minacce in questo luogo sospetto e abbandonato..

RHC: Cosa vi spinge a concentrare molti dei vostri attacchi proprio sulle infrastrutture italiane? È una scelta strategica, simbolica o c’è una motivazione più personale dietro questa costanza?
SECTOR16: L’infrastruttura italiana è la più vulnerabile, per questo continueremo ad attaccarla finché i suoi sistemi non saranno protetti da password robuste e metodi di autenticazione affidabili.

RHC: In molti dei vostri attacchi avete preso di mira sistemi SCADA, dispositivi e impianti industriali solitamente ignorati dai gruppi criminali tradizionali. Cosa vi affascina di questi ambienti e perché sembrano essere al centro delle vostre campagne?
SECTOR16: Ci interessano i sistemi SCADA, perché prima di noi questo settore non era molto sviluppato e ha un impatto fondamentale sulle infrastrutture più importanti dell’intero pianeta, rivestendo in alcuni casi un’importanza critica..

RHC: Vi considerate hacktivisti mossi da un ideale, oppure operate con altri scopi? In sostanza, come vi definite e cosa distingue Sector16 da un gruppo di cyber criminali comuni e magari da profitto?
SECTOR16: Non ci consideriamo idealisti, non ci sono ideali, ci sarà sempre qualcuno migliore di te. Pertanto, ci sforziamo di migliorare e imparare qualcosa di nuovo. Ci differenziamo dai gruppi ordinari perché siamo umani, e lo facciamo non solo per danneggiare, ma anche per contribuire a proteggere il sistema con i nostri attacchi leggeri.

RHC: L’attacco a un ospedale italiano ha avuto un impatto umano e mediatico molto forte, soprattutto per la pubblicazione dei video dei pazienti e delle sale operatorie. Ci avete detto nei nostri primi contatti che non avete venduto ad altri criminali informatici i dati che avete esfiltrato. Come giustificate questa azione? C’è un messaggio dietro o è stato solo un mezzo per dimostrare le vostre capacità?
SECTOR16: L’ospedale in Italia è stato scoperto per caso, non ci aspettavamo che avrebbe suscitato una tale risonanza. Non abbiamo venduto i dati a nessuno, non c’è alcun intento finanziario. Abbiamo lasciato alcune nostre tracce in modo che gli amministratori potessero eliminare la vulnerabilità. Al momento il server non risponde più, il che significa che gli amministratori hanno eliminato la vulnerabilità. Non c’era una grande quantità di dati sul server che potesse essere trasferita a qualcuno, la scoperta principale riguardava le telecamere, non i dati al loro interno.

RHC: In occasione dell’attacco al sistema SCADA di un hotel di lusso a Capri, avete collaborato con Overflame. È stata una partnership occasionale o fate parte di una rete più ampia di gruppi con obiettivi comuni?
SECTOR16: Questa non è stata l’unica collaborazione con Overflame e speriamo non sarà l’ultima, hanno anche partecipato all’attacco alla centrale idroelettrica in Francia e a diversi altri attacchi ai sistemi SCADA

RHC: C’è una motivazione ideologica o politica che guida le vostre azioni? Vi sentite parte di una battaglia contro il sistema o operate secondo una vostra personale etica?
SECTOR16: Il nostro gruppo ha convinzioni politiche e un certo patriottismo verso il nostro Paese, un amore per esso. Ma questo non è legato a motivazioni ideologiche di natura nazionale o religiosa. Siamo parte attiva della lotta contro il sistema criminale Ucraino e possiamo apportare piccoli cambiamenti al nostro futuro e al nostro presente.

RHC: Dalle informazioni raccolte sembra che le vostre operazioni siano pianificate nei minimi dettagli. Quanto tempo dedicate alla fase di studio e raccolta informazioni prima di portare a termine un attacco?
SECTOR16: In effetti, pianificare un attacco può richiedere al massimo un giorno; per lo più cerchiamo di pensare alle nostre azioni, a quali saranno le conseguenze e a come minimizzarle o aumentarle.

RHC: Per violare i vostri obiettivi utilizzate strumenti già pubblici o preferite sviluppare exploit e tool personalizzati? Quanto conta la parte tecnica nell’affermazione della vostra identità?
SECTOR16: Utilizziamo strumenti già pronti e noti per penetrare nei sistemi, ma scriviamo anche exploit nostri. La parte tecnica è molto importante, perché influisce direttamente sul successo e sulla quantità degli attacchi.

RHC: Qual è la vostra opinione sulla sicurezza delle infrastrutture critiche italiane? Se doveste dare una scala da 1 a 10, quanto sono difficili da violare le infrastrutture italiane? Rispetto ad altri paesi europei, l’Italia è un bersaglio facile o semplicemente trascurato?
SECTOR16: Valuteremo la sicurezza delle infrastrutture critiche in Italia con un massimo di 3/10, poiché hanno rinunciato alla sicurezza e non riescono nemmeno a impostare password decenti per i propri sistemi o persino impostare una password di sistema.

RHC: Una volta ottenuto l’accesso a un sistema, quali sono i vostri obiettivi principali? Vi interessa il semplice accesso, la raccolta di dati, la dimostrazione di un fallimento sistemico, o altro?
SECTOR16: Siamo interessati all’accesso al sistema stesso, a ciò che è presente e a ciò che può essere controllato. Più grande è il server, meglio è per noi, perché significa che abbiamo un accesso esteso e contenuti di qualità.

RHC: A vostro dire avete ricevuto diverse offerte per acquistare i dati da voi ottenuti nel vostro recente attacco. L’opinione pubblica non ha ben chiaro il mercato che sta dietro ad azioni analoghe alla vostra, potreste dirci che tipo di offerte (e quantita’ di denaro) avete ricevuto? Come spieghereste la gravita’ della situazione quando dati di tipo sanitario vengono ottenuti da parte di attori malevoli?
SECTOR16: Non vendiamo dati ad altri gruppi, poiché non è nostro compito, nonostante ci sia stato offerto di acquistare alcuni sistemi SCADA in diverse occasioni. Non posso fornire esempi specifici, poiché si tratta di informazioni riservate e non vogliamo esporre altri team.

RHC: In passato avete mai valutato di monetizzare le vostre competenze tramite ransomware, estorsioni o vendita di accessi, oppure il denaro non è un vostro obiettivo?
SECTOR16: Abbiamo un atteggiamento molto negativo nei confronti dei ransomware. Crediamo che violino qualsiasi forma di moralità. Per fare un semplice esempio: quando abbiamo ottenuto l’accesso al computer dell’ospedale italiano, avremmo potuto crittografarlo, ma a causa dei nostri principi e standard morali, abbiamo abbandonato l’idea e ci siamo semplicemente limitati a lasciare un segno.

RHC: Come selezionate i vostri bersagli? Ci sono criteri precisi – simbolici, strategici, geopolitici – oppure è una questione di opportunità e vulnerabilità tecniche?
SECTOR16: Non ci sono criteri chiari per gli attacchi. Per lo più, la scelta dei Paesi da colpire avviene in modo casuale e, come abbiamo notato, una grande percentuale di sistemi SCADA trovati è italiana o spagnola. Tutto dipende dall’intervallo degli indirizzi IP.

RHC: Sector16 è un gruppo chiuso e strutturato o esiste una rete più fluida in cui nuovi membri possono essere accolti? Qual è il vostro modello organizzativo?
SECTOR16: Chiunque superi il nostro piccolo test può provare a entrare a far parte di SECTOR16. L’importante è che la persona abbia voglia di lavorare e imparare qualcosa di nuovo. L’esperienza è molto importante, perché influisce sul numero di attacchi.

RHC: Considerando l’impatto crescente delle vostre azioni, temete di essere identificati e perseguiti dalle forze dell’ordine, o vi sentite al sicuro dietro il vostro anonimato digitale? Telegram in questo periodo si sta aprendo alle forze dell’ordine. Come vedete tutto questo?
SECTOR16: Temiamo direttamente di essere identificati, per questo cerchiamo di nascondere la nostra identità in ogni modo possibile e prevediamo di abbandonare Telegram in futuro.

RHC: Se aveste la possibilità di far arrivare un messaggio diretto ai governi o all’opinione pubblica, cosa vorreste che comprendessero davvero di Sector16 e delle vostre azioni?
SECTOR16: Vogliamo aiutare l’infrastruttura dell’intero pianeta, ma per farlo è necessario lanciare un segnale affinché le persone possano comprendere il problema e, grazie all’esperienza, evitare simili errori. Non direi che il problema della protezione VNC sia particolarmente pericoloso: basta semplicemente impostare password complesse, e tutto si risolve.

RHC: I blackhat sono sempre più forti dei whitehat, siete sempre un passo avanti! perché non offrire le vostre competenze dietro adeguato compenso per aumentare la sicurezza dei sistemi delle aziende e delle organizzazioni?
SECTOR16: Stiamo già cercando di migliorare la sicurezza dei sistemi e delle organizzazioni. Non perseguiamo ricompense o denaro di alcun tipo, siamo pronti ad aiutare i white hat e a fornire loro preziose conoscenze a beneficio della nostra società.

RHC: Durante le vostre intrusioni, quanto è importante l’ingegneria sociale rispetto alla semplice vulnerabilità tecnica? Avete mai fatto leva su dipendenti interni, phishing mirato o altre tecniche di manipolazione umana?
SECTOR16: L’ingegneria sociale non gioca quasi alcun ruolo nei nostri attacchi. È il fattore umano ad avere un impatto. Al momento non utilizziamo insider e non facciamo uso di phishing.

RHC: Quanto conta la componente di persistence nei vostri attacchi? Vi limitate a un exploit one-shot o costruite accessi duraturi e invisibili nel tempo?
SECTOR16: Alcuni exploit li utilizziamo per mesi, altri solo per pochi giorni. Naturalmente, la persistenza gioca un ruolo fondamentale nel nostro team.

RHC: Sector16, grazie ancora per il vostro tempo e le vostre preziose risposte ai nostri lettori! Vi lasciamo quest’ultimo spazio per dire quello che volete in totale libertà.
SECTOR16: Fai attenzione alla tua sicurezza, usa password complesse e VPN sicure. E ricordate: “Distruggiamo il presente per un futuro migliore“.

RHC: Qual è la password italiana più semplice che tu abbia mai trovato?
SECTOR16: Una delle password più semplici su un server italiano è 111111.

RHC: Hai detto che lascerai Telegram. Possiamo sapere quale piattaforma utilizzerai?
SECTOR16: Stiamo pensando di lasciare Telegram per Jabber, ma il problema principale è il pubblico, che è più ampio e più accessibile su Telegram.

L'articolo RHC intervista Sector16, uno tra i gruppi hacktivisti più attivi del 2025. “L’infrastruttura italiana è la più vulnerabile” proviene da il blog della sicurezza informatica.

[Tom] has taken a DIY approach to smart sailing with a Raspberry Pi as the back end to the navigation desk on his catamaran, the SeaHorse. Tucked away neatly in a waterproof box with a silicone gasket, he keeps the single board computer safe from circuit-destroying salt water. Keeping a board sealed up so tightly also means that it can get a little too warm. Because of this he under-clocks the CPU so that it generates less heat. This also has the added benefit of saving on power which is always good when you aren’t connected to the grid for long stretches of time.

A pair of obsolescent phones and a repurposed laptop screen provide display surfaces for his navdesk. With these screens he has weather forecasts, maps, GPS, depth, speed over ground — all the data from all the onboard instruments a sailor could want to stream through a boat’s WiFi network — at his fingertips.

There’s much to be done still. Among other things, he’s added a software defined radio to the Pi to integrate radio monitoring into the system, and he’s started experimenting with reprogramming a buoy transmitter, originally designed for tracking fishing nets, so that it can transmit his boat’s location, speed and heading instead.

The software that ties much of this system together is the open source navigational platform OpenCPN which, with its support for third-party plugins, looks like a great choice for experimenting with new gadgets like fishing net buoy transmitters.

For more nautical computing fun check out this open source shipboard computer, and this data-harvesting, Arduino-driven buoy.

youtube.com/embed/-yAqIrRWtN0?…

Thanks to [Andrew Sheldon] for floating this one our way.

hackaday.com/2025/07/10/diy-na…

Using light to 3D print liquid resins is hardly a new idea. But researchers at the University of Texas at Austin want to double down on the idea. Specifically, they use a resin with different physical properties when cured using different wavelengths of light.

Natural constructions like bone and cartilage inspired the researchers. With violet light, the resin cures into a rubbery material. However, ultraviolet light produces a rigid cured material. Many of their test prints are bio-analogs, unsurprisingly.

Even more importantly, the resin materials connect naturally, so you don’t have as much worry about a piece made with two materials delaminating at the interface. You can control the exact properties by shifting the light frequency one way or another. We read the actual paper, but it wasn’t clear to us if, after curing in a rubbery state, the part could still cure hard in, for example, sunlight. The paper is available in Nature Materials, but if you don’t have a subscription, try your local library or University.

Maybe just the thing for that tunable laser project. Of course, you can use multicolor FDM printers with two types of filaments. You only need to convert the model over.

hackaday.com/2025/07/10/double…

If you’re looking for a long journey into the wonderful world of instrument hacking, [Arty Farty Guitars] is six parts into a seven part series onhacking an existing guitar into a guitar-hurdy-gurdy-hybrid, and it is “a trip” as the youths once said. The first video is embedded below.

The Hurdy-Gurdy is a wheeled instrument from medieval europe, which you may have heard of, given the existence of the laser-cut nerdy-gurdy, the electronicmidi-gurdy we covered here, and the digi-gurdy whichseems to be a hybrid of the two. In case you haven’t seen one before, the general format is for a hurdy-gurdy is this : a wheel rubs against the strings, causing them to vibrate via sliding friction, providing a sound not entirely unlike an upset violin. A keyboard on the neck of the instrument provides both fretting and press the strings onto the wheel to create sound.

[Arty Farty Guitars] is a guitar guy, so he didn’t like the part with about the keyboard. He wanted to have a Hurdy Gurdy with a guitar fretboard. It turns out that that is a lot easier said than done, even when starting with an existing guitar instead of from scratch, and [Arty Farty Guitar] takes us through all of the challenges, failures and injuries incurred along the way.

Probably the most interesting piece of the puzzle is the the cranking/keying assembly that allows one hand to control cranking the wheel AND act as keyboard for pressing strings into the wheel. It’s key to the whole build, as combining those functions on the lower hand leaves the other hand free to use the guitar fretboard half of the instrument. That controller gets its day invideo five of the series. It might inspire some to start thinking about chorded computer inputs– scrolling and typing?

If you watch up to the sixth video, you learn that that the guitar’s fretting action is ultimately incompatible with pressing strings against the wheel at the precise, constant tension needed for good sound. To salvage the project he had to switch from a bowing action with a TPU-surfaced wheel to a sort of plectrum wheel, creating an instrument similar to thethousand-pick guitar we saw last year.

Even though [Arty Farty Guitars] isn’t sure this hybrid instrument can really be called a Hurdy Gurdy anymore, now that it isn’t using a bowing action, we can’t help but admire the hacking spirit that set him on this journey. We look forward to the promised concert in the upcoming 7th video, once he figures out how to play this thing nicely.

Know of any other hacked-together instruments that possibly should not exist? We’re always listening for tips.

youtube.com/embed/tqtJN4Xitqo?…

hackaday.com/2025/07/10/hackin…

According to [Casey Connolly], Qualcomm’s release of how to interact with their embedded USB debugging (EUD) is a big deal. If you haven’t heard of it, nearly all Qualcomm SoCs made since 2018 have a built-in debugger that connects to the onboard USB port. The details vary by chip, but you write to some registers and start up the USB phy. This gives you an oddball USB interface that looks like a seven-port hub with a single device “EUD control interface.”

So what do you do with that? You send a few USB commands, and you’ll get a second device. This one connects to an SWD interface. Of course, we have plenty of tools to debug using SWD.

In particular, there’s a fork of OpenOCD that knows how to use EUD, although it required a library that wasn’t available to us mere mortals. But now it is, so smooth sailing, right?

Um, no. Unless you have a very specific build configuration, the code won’t compile. Luckily, the fixes are not that hard and are available. The OpenOCD fork is a bit out of date, too. But with perseverance, it all worked.

In addition to the SWD device, there appears to be a COM and trace peripheral available, although those may need more work to be usable. If you make progress on those, let us know.

SWD debugging can be very handy. While not everyone likes debuggers, we’ve been a fan of hardware-based debugging for a long time.

hackaday.com/2025/07/10/embedd…

When we do textbook analysis, we tend to ignore the real-world concerns for the sake of learning. So, a typical theoretical voltage divider is simply two resistors. But if you examine a low-pass RC filter, you’ll see a single resistor and a capacitor. What if you combine them? That’s what [Old Hack EE] did in a recent video, and you can check it out below.

It helps if you are familiar with Thevenin equivalents and, of course, Ohm’s Law. There’s also a bit of algebra, but nothing too complicated. The example design has a lossy filter at 100 Hz.

Of course, RC filters are easy to understand if you think of them as voltage dividers with a frequency-variable resistance, which is what the math is basically saying. The load impedance, in this case, is R2 in parallel with Xc at a given frequency.

He mentions that you might find a circuit like this in a power supply. However, it is also common to see this circuit wherever a divider drives a load with capacitance or even parasitic capacitance in cables or circuit boards.

We’ve discussed Thevenin equivalence modeling before. If you want really good filters, you are probably going to need op-amps.

youtube.com/embed/7h5irBPDMrk?…

hackaday.com/2025/07/10/voltag…

Immutable distributions are slowly spreading across the Linux world– but should you care? Are they hacker friendly? What does “immutable” mean, anyway?

Immutable means “not subject or susceptible to change” according to Merriam-Webster, which is not 100% accurate in this context, but it’s close enough and the name is there so we’re stuck with it. Immutable distributions are subject to change, it’s just that how you change them is quite a bit different than bog-standard Linux. Will this matter to you? Read on to find out! (Or, if you know the answers already, read on to find out how angry you should be in the comments section.)

Immutability is cloud-based thinking: the system has a known-good state, and it’s always in it. Everything that is not part of the core system is containerized and controlled. I’m writing this from a KDE-based distribution called Aurora, part of the Universal Blue project that builds on Fedora’s Atomic Desktop work. It bills itself as being for “lazy developers”.

The advantage to this hypothetical lazy dev is that the base system is already built, and you can’t get distracted messing around with it. It works, and it isn’t at all likely to break. Every installation is essentially identical to every other installation, which means reproducibility is all but guaranteed. No more faffing about arguing on forums to figure out which library is conflicting with which. In an immutable system, they’ve all been selected to play well together, and anything else is safely containerized. (Again, a cloud ideal.) If the devs make a mistake during an update, well, just roll back!

50 Shades of Immunability

The different flavours of immutable linux differ in how they accomplish that, but all have rollbacks as a basic capability. Each change to the system becomes a new, indivisible image; that’s why we talk about atomic updates. You create a new system image when you update, but you don’t start using it until you reboot the system. (This has some advantages to stability, as you might imagine, although the rebooting can get old.) The old image is maintained on your system, just in case you happen to need it.

MicroOS and its descendants (like Aeon) use a system based on BRTFS snapshots to provide rollbacks. Fedora’s atomic desktops, like Silverblue, and the Universal Blue downstreams that are based on Fedora like Bazzite or Aurora use a system called OSTree, which is considerably more complex and more interesting. You can do something similar with Nix, of course, but that is a whole other kettle of fish.

OSTree bills itself as “Git for operating system binaries”. Every update, or every package installed is layered onto the tree and can be rolled back if needed– en masse, or individually. You can package up that tree of commits, and deploy it onto a new system, making devising new “distros” so trivial they don’t really deserve the name. In theory, you can install everything via OSTree, but the further you take your system from the base image, the less you have that “every system is identical” easy-problem-solving that the immutable guys like to talk about.

Of course you do want to install applications, and you do it the same way you might on a server: in containers. What sort of containers can vary by taste, but typically that means Flatpak for GUI applications. Fedora-based immutable distributions like Silverblue or Aurora use Flatpak, as does OpenSuse. (AppImage and snap are also options, technically speaking, but who likes snaps?) The Universal Blue team adds in Homebrew for those terminal applications that don’t tend to get Flatpaks. I admit that I was surprised at first to see Homebrew when I started using Aurora, since I knew it as “the missing package manager for MacOS” but its inclusion makes perfect sense when you think about it.

MacOS is the First Immutable UNIX

MacOS, you see, is the first immutable UNIX. As much as we in the Linux community don’t like to talk about it, Macs aren’t just POSIX compatible– they run Certified UNIX(). And Curputino has been moving towards this “immutable” thing for a long time, until Catalina finally sealed the system folders away completely on a read-only volume. Updates for MacOS also come as snapshots to replace that system volume– you could certainly call them “atomic”. Since the system volume is locked down, traditional package managers won’t be able operate. Homebrew was created to solve that problem. It works just as well on a Linux system that has the same lockdown applied to its system folders.

If Homebrew isn’t your cup of tea – and it seems to not be everyone’s, since I think Universal Blue is the only distro set to ship with it – you can go more hard-core into containerization with docker or podman. Somewhere in between, you could use something like Distrobox. If you haven’t heard of it, Distrobox is a framework for deploying traditional linux systems inside containers. For devs, it’s great for testing, even if you aren’t basing it on top of an immutable distribution. If you’ve never worked in the cloud, this may all sound like rube-goldberg gobbbly-gook, (“linux in a box on my linux!?”) but once you adapt to it, it’s not so bad.

The Year of Immutable on the Desktop?

The question is: do you want to adapt to it? Is cloud-based thinking necessary on the desktop? Well I’d say it depends on who is using the desktop. I would absolutely steer Windows users who are thinking of switching to Linux in the wake of the Windows 10 EOL to a Universal Blue distribution, and probably Aurora since KDE is more windows-y than Gnome. Most of those ex-Windows users are people who just want to use a computer, not play with it. If that describes you, then maybe an immutable distribution could be to your liking.

MacOS has shown that very few desktop users will ever notice if they can access the system folders or not; they are most interested in having a stable, reproducible environment to work in. Thus, immutable Linux may be the way to bring Linux mainstream – certainly Steam thinks so, with SteamOS. For their use case, it’s hard to argue the benefits: you need a stable base system for the stack of cards that is gaming on Linux, and tech support is much simplified for a locked-down operating system that you cannot install packages on. The rising popularity of Bazzite, Universal Blue’s gaming-centric distribution, also speaks to this.

There are downsides to this kind of system, of course, and it is important to recognize that. Some people really, really hate containerization because Flatpaks, and other similar options, use more memory, both on disk and in RAM. Of course not everything is available as a Flatpak, or on Homebrew if the system uses that. If you want to use Toolbox or Distrobox to get a distro-specific set of packages, well, of course running a whole extra Linux system in a container is going to have overhead.

From an aesthetic perspective, it’s not as elegant as a traditional Linux environment, at least to some eyes, mine included. Those of us who switched to Linux because we wanted absolute control over our computers might not feel too great about the “do not touch” label implicitly scrawled across the system folders, even if we do get something like rpm-ostree to make changes with. Even with a package manager, there are customizations and tweaks you simply cannot make on a read-only system. For those of us who treat Linux as a hobby, that’s probably a no-go.

For the “Lazy Developer” Aurora sells itself to, well, that’s perhaps a different story. Speaking of lazy, I’ve been using Aurora for a few months now, almost in spite of myself. I initially loaded it as the last step on a distro-hopping jaunt to see if I could find a good Windows 10 replacement for my parents. (I think this is it, to be honest.) It’s still on my main laptop simply because it’s so unobtrusively out of the way that I can think of no reason to install anything else.

At some point that may change, and when it does I might just overcorrect and do a Linux From Scratch build or try out like NixOS like I’ve been meaning to. Something like that would let me regain the sense of agency I have forfeited to the Universal Blue dev team while running Aurora. (There have been times where I can feel the ghostly hand of an imaginary sysadmin urging me not to mess with my own system.)

After seeing how well containerization can work on desktop, Nix looks extra appealing – it can do most of what this article talks about with the immutable distros, but without trusting configuration of any facet of the system to anyone else. What do you think? Are the touted benefits to stability, reproducibility, and security worth the hassle of an immutable distribution? Is the grass greener in the land of Nix? If you’ve tried one of the immutable Linux distributions out there, we’d love to hear what you think in the comments.

hackaday.com/2025/07/10/person…

While we know that many of you are reading Hackaday via our Really Simple Syndication (RSS) feed, we suspect that most people on the street wouldn’t know that it underlies a lot of the modern internet. [A. McNamee] and [A. Service] have created an illustrated history of RSS that proudly proclaims RSS is (not) dead (yet)!

While tens of millions of users used Google Reader before it was shut down, social media and search companies have tried to squeeze independent blogs and websites for an increasingly large part of their revenue, making it more and more difficult to exist outside the walled gardens of Facebook, Apple, Google, etc. Despite those of you that remember, RSS has been mostly forgotten.

RSS has been the backbone of the podcast industry, however, quietly serving feeds to millions of users everywhere with few of them aware that an open protocol from the 90s was serving up their content. As with every other corner of the internet where money could be made, corporate raiders have come to scoop up creators and skim the profits for themselves. Spotify has been the most egregious actor here, but the usual suspects of Apple, Google, and Amazon are also making plays to enclose the podcast commons.

If you’d like to learn more about how big tech is sucking the life out of the internet (and possibly how to reverse the enshittification) check out Cory Doctorow’s keynote from our very own Supercon.

hackaday.com/2025/07/10/long-l…

We love 3D printing. We’ll print brackets, brackets for brackets, and brackets to hold other brackets in place. Perhaps even a guilty-pleasure Benchy. But 3D printed shoes? That’s where we start to have questions.

Every few months, someone announces a new line of 3D-printed footwear. Do you really want your next pair of sneakers to come out of a nozzle? Most of the shoes are either limited editions or fail to become very popular.

First World Problem

You might be thinking, “Really? Is this a problem that 3D printing is uniquely situated to solve?” You might assume that this is just some funny designs on some of the 3D model download sites. But no. Adidas, Nike, and Puma have shoes that are at least partially 3D printed. We have to ask why.

We are pretty happy with our shoes just the way that they are. But we will admit, if you insist on getting a perfect fitting shoe, maybe having a scan of your foot and a custom or semi-custom shoe printed is a good idea. Zellerfield lets you scan your feet with your phone, for example. [Stefan] at CNC Kitchen had a look at those in a recent video. The company is also in many partnerships, so when you hear that Hugo Boss, Mallet London, and Sean Watherspoon have a 3D-printed shoe, it might actually be their design from Zellerfield.

youtube.com/embed/4id0-vvu-u0?…

Or, try a Vivobiome sandal. We aren’t sold on the idea that we can’t buy shoes off the rack, but custom fits might make a little sense. We aren’t sure about 3D-printed bras, though.

Maybe the appeal of 3D-printed shoes lies in their personalizability? Creating self-printed shoes might make sense, so you can change their appearance or otherwise customize them. Maybe you’d experiment with different materials, colors, or subtle changes in designs. Nothing like 30 hours of printing and three filament changes to make one shoe. And that doesn’t explain why the majors are doing it.

Think of the Environment!

There is one possible plus to printing shoes. According to industry sources, more than 20 billion pairs of shoes are made every year, and almost all will end up in landfills. Up to 20% of these shoes will go straight to the dump without being worn even once.

So maybe you could argue that making shoes on demand would help reduce waste. We know of some shoe companies that offer you a discount if you send in an old pair for recycling, although we don’t know if they use them to make new shoes or not. Your tolerance for how much you are willing to pay might correlate to how much of a problem you think trash shoes really are.

But mass-market 3D-printed shoes? What’s the appeal? If you’re desperate for status, consider grabbing a pair of 3D-printed Gucci shoes for around $1,300. But for most of us, are you planning on dropping a few bucks on a pair of 3D-printed shoes? Why or why not? Let us know in the comments.

If you are imagining the big guys printing shoes on an Ender 3, that’s probably not the case. The shoes we’ve seen are made on big commercial printers.

hackaday.com/2025/07/10/ask-ha…

ChatGPT si è rivelato ancora una volta vulnerabile a manipolazioni non convenzionali: questa volta ha emesso chiavi di prodotto Windows valide, tra cui una registrata a nome della grande banca Wells Fargo. La vulnerabilità è stata scoperta durante una sorta di provocazione intellettuale: uno specialista ha suggerito che il modello linguistico giocasse a indovinelli, trasformando la situazione in un aggiramento delle restrizioni di sicurezza.

L’essenza della vulnerabilità consisteva in un semplice ma efficace bypass della logica del sistema di protezione. A ChatGPT 4.0 è stato offerto di partecipare a un gioco in cui doveva indovinare una stringa, con la precisazione che doveva trattarsi di un vero numero di serie di Windows 10.

Le condizioni stabilivano che il modello dovesse rispondere alle ipotesi solo con “sì” o “no” e, nel caso della frase “Mi arrendo”, aprire la stringa indovinata. Il modello ha accettato il gioco e, seguendo la logica integrata, dopo la frase chiave ha effettivamente restituito una stringa corrispondente alla chiave di licenza di Windows.

L’autore dello studio ha osservato che la principale debolezza in questo caso risiede nel modo in cui il modello percepisce il contesto dell’interazione. Il concetto di “gioco” ha temporaneamente superato i filtri e le restrizioni integrati, poiché il modello ha accettato le condizioni come uno scenario accettabile.

Le chiavi esposte includevano non solo chiavi predefinite disponibili al pubblico, ma anche licenze aziendali, tra cui almeno una registrata a Wells Fargo. Ciò è stato possibile perché avrebbe potuto causare la fuga di informazioni sensibili che avrebbero potuto finire nel set di addestramento del modello. In precedenza, si sono verificati casi di informazioni interne, incluse le chiavi API, esposte pubblicamente, ad esempio tramite GitHub, e di addestramento accidentale di un’IA.

Screenshot di una conversazione con ChatGPT (Marco Figueroa)

Il secondo trucco utilizzato per aggirare i filtri era l’uso di tag HTML . Il numero di serie originale veniva “impacchettato” all’interno di tag invisibili, consentendo al modello di aggirare il filtro basato sulle parole chiave. In combinazione con il contesto di gioco, questo metodo funzionava come un vero e proprio meccanismo di hacking, consentendo l’accesso a dati che normalmente sarebbero stati bloccati.

La situazione evidenzia un problema fondamentale nei modelli linguistici moderni: nonostante gli sforzi per creare barriere protettive (chiamati guardrail), il contesto e la forma della richiesta consentono ancora di aggirare il filtro. Per evitare simili incidenti in futuro, gli esperti suggeriscono di rafforzare la consapevolezza contestuale e di introdurre la convalida multilivello delle richieste.

L’autore sottolinea che la vulnerabilità può essere sfruttata non solo per ottenere chiavi, ma anche per aggirare i filtri che proteggono da contenuti indesiderati, da materiale per adulti a URL dannosi e dati personali. Ciò significa che i metodi di protezione non dovrebbero solo diventare più rigorosi, ma anche molto più flessibili e proattivi.

L'articolo Hai bisogno di una Product Key per Microsoft Windows? Nessun problema, chiedilo a Chat-GPT proviene da il blog della sicurezza informatica.

Il plugin @docusaurus/plugin-content-docs, vanta numeri impressionanti: oltre 1,36 milioni di download solo nell’ultimo mese, più di 56.000 stelle su GitHub e circa 8.560 fork, a dimostrazione di una community globale estremamente attiva.

Lanciato quasi quattro anni fa, oggi conta 85 pacchetti che lo utilizzano come dipendenza, più di 14.800 repository che lo includono e addirittura 2,7 milioni di download Docker, segno di una crescente adozione anche in ambienti containerizzati.

Nel mondo dei plugin open source, anche un singolo errore può trasformarsi in una falla catastrofica. È il caso di docusaurus-plugin-content-gists, un plugin che permette di mostrare in una pagina del proprio sito tutti i gist pubblici di un utente GitHub.

Secondo la CVE-2025-53624 (score 10/10, severity: CRITICAL), nelle versioni precedenti alla 4.0.0 è stata scoperta una vulnerabilità gravissima: il GitHub Personal Access Token, pensato solo per essere usato in fase di build, veniva incluso per errore nei bundle JavaScript distribuiti sul sito.

Risultato? Chiunque poteva leggere il token direttamente dal codice sorgente del sito pubblicato online, con rischi enormi per la sicurezza. Il problema, corretto nella release 4.0.0, riguarda un errore banale ma letale nella gestione della configurazione: un campo contenente la chiave privata non veniva filtrato correttamente e finiva nel codice client.

Con una complessità di attacco bassa, bastava semplicemente visitare il sito e aprire la console del browser per rubare la chiave. Questo caso dimostra, ancora una volta, quanto sia fondamentale trattare con cura ogni informazione sensibile nelle configurazioni, soprattutto in plugin open source e ambienti come WordPress o Docusaurus, che spesso vengono dati per scontati ma gestiscono dati critici.

La popolarità del plugin rende ancora più preoccupante la recente scoperta di una vulnerabilità critica (score 10/10) nel plugin docusaurus-plugin-content-gists per WordPress, che poteva esporre GitHub Personal Access Tokens nei bundle JavaScript destinati al client, rendendoli visibili a chiunque visualizzasse il codice sorgente del sito.

L'articolo Il plugin per WordPress Docusaurus ha una RCE da 10 su 10 di score ed espone le chiavi segrete proviene da il blog della sicurezza informatica.

Attacks that leverage malicious open-source packages are becoming a major and growing threat. This type of attacks currently seems commonplace, with reports of infected packages in repositories like PyPI or npm appearing almost daily. It would seem that increased scrutiny from researchers on these repositories should have long ago minimized the profits for cybercriminals trying to make a fortune from malicious packages. However, our investigation into a recent cyberincident once again confirmed that open-source packages remain an attractive way for attackers to make easy money.

Infected out of nowhere

In June 2025, a blockchain developer from Russia reached out to us after falling victim to a cyberattack. He’d had around $500,000 in crypto assets stolen from him. Surprisingly, the victim’s operating system had been installed only a few days prior. Nothing but essential and popular apps had been downloaded to the machine. The developer was well aware of the cybersecurity risks associated with crypto transactions, so he was vigilant and carefully reviewed his every step while working online. Additionally, he used free online services for malware detection to protect his system, but no commercial antivirus software.

The circumstances of the infection piqued our interest, and we decided to investigate the origins of the incident. After obtaining a disk image of the infected system, we began our analysis.

Syntax highlighting with a catch

As we examined the files on the disk, a file named extension.js caught our attention. We found it at %userprofile%\.cursor\extensions\solidityai.solidity-1.0.9-universal\src\extension.js. Below is a snippet of its content:

A request sent by the extension to the server

This screenshot clearly shows the code requesting and executing a PowerShell script from the web server angelic[.]su: a sure sign of malware.

It turned out that extension.js was a component of the Solidity Language extension for the Cursor AI IDE, which is based on Visual Studio Code and designed for AI-assisted development. The extension is available in the Open VSX registry, used by Cursor AI, and was published about two months ago. At the time this research, the extension had been downloaded 54,000 times. The figure was likely inflated. According to the description, the extension offers numerous features to optimize work with Solidity smart contract code, specifically syntax highlighting:

The extension’s description in the Open VSX registry

We analyzed the code of every version of this extension and confirmed that it was a fake: neither syntax highlighting nor any of the other claimed features were implemented in any version. The extension has nothing to do with smart contracts. All it does is download and execute malicious code from the aforementioned web server. Furthermore, we discovered that the description of the malicious plugin was copied by the attackers from the page of a legitimate extension, which had 61,000 downloads.

How the extension got on the computer

So, we found that the malicious extension had 54,000 downloads, while the legitimate one had 61,000. But how did the attackers manage to lull the developer’s vigilance? Why would he download a malicious extension with fewer downloads than the original?

We found out that while trying to install a Solidity code syntax highlighter, the developer searched the extension registry for solidity. This query returned the following:

Search results for “solidity”: the malicious (red) and legitimate (green) extensions

In the search results, the malicious extension appeared fourth, while the legitimate one was only in eighth place. Thus, while reviewing the search results, the developer clicked the first extension in the list with a significant number of downloads – which unfortunately proved to be the malicious one.

The ranking algorithm trap

How did the malicious extension appear higher in search results than the legitimate one, especially considering it had fewer downloads? It turns out the Open VSX registry ranks search results by relevance, which considers multiple factors, such as the extension rating, how recently it was published or updated, the total number of downloads, and whether the extension is verified. Consequently, the ranking is determined by a combination of factors: for example, an extension with a low number of downloads can still appear near the top of search results if that metric is offset by its recency. This is exactly what happened with the malicious plugin: the fake extension’s last update date was June 15, 2025, while the legitimate one was last updated on May 30, 2025. Thus, due to the overall mix of factors, the malicious extension’s relevance surpassed that of the original, which allowed the attackers to promote the fake extension in the search results.

The developer, who fell into the ranking algorithm trap, didn’t get the functionality he wanted: the extension didn’t do any syntax highlighting in Solidity. The victim mistook this for a bug, which he decided to investigate later, and continued his work. Meanwhile, the extension quietly installed malware on his computer.

From PowerShell scripts to remote control

As mentioned above, when the malicious plugin was activated, it downloaded a PowerShell script from https://angelic[.]su/files/1.txt.

The PowerShell script contents

The script checks if the ScreenConnect remote management software is installed on the computer. If not, it downloads a second malicious PowerShell script from: https://angelic[.]su/files/2.txt. This new script then downloads the ScreenConnect installer to the infected computer from https://lmfao[.]su/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest and runs it. From that point on, the attackers can control the infected computer via the newly installed software, which is configured to communicate with the C2 server relay.lmfao[.]su.

Data theft

Further analysis revealed that the attackers used ScreenConnect to upload three VBScripts to the compromised machine:

• a.vbs
• b.vbs
• m.vbs

Each of these downloaded a PowerShell script from the text-sharing service paste.ee. The download URL was obfuscated, as shown in the image below:

The obfuscated URL for downloading the PowerShell script

The downloaded PowerShell script then retrieved an image from archive[.]org. A loader known as VMDetector was then extracted from this image. VMDetector attacks were previously observed in phishing campaigns that targeted entities in Latin America. The loader downloaded and ran the final payload from paste.ee.

Our analysis of the VBScripts determined that the following payloads were downloaded to the infected computer:

• Quasar open-source backdoor (via a.vbs and b.vbs),
• Stealer that collected data from browsers, email clients, and crypto wallets (via m.vbs). Kaspersky products detect this malware as HEUR:Trojan-PSW.MSIL.PureLogs.gen.

Both implants communicated with the C2 server 144.172.112[.]84, which resolved to relay.lmfao[.]su at the time of our analysis. With these tools, the attackers successfully obtained passphrases for the developer’s wallets and then syphoned off cryptocurrency.

New malicious package

The malicious plugin didn’t last long in the extension store and was taken down on July 2, 2025. By that time, it had already been detected not only by us as we investigated the incident but also by other researchers. However, the attackers continued their campaign: just one day after the removal, they published another malicious package named “solidity”, this time exactly replicating the name of the original legitimate extension. The functionality of the fake remained unchanged: the plugin downloaded a malicious PowerShell script onto the victim’s device. However, the attackers sought to inflate the number of downloads dramatically. The new extension was supposedly downloaded around two million times. The following results appeared up until recently when users searched for solidity within the Cursor AI development environment (the plugin is currently removed thanks to our efforts).

Updated search results for “solidity”

The updated search results showed the legitimate and malicious extensions appearing side-by-side in the search rankings, occupying the seventh and eighth positions respectively. The developer names look identical at first glance, but the legitimate package was uploaded by juanblanco, while the malicious one was uploaded by juanbIanco. The font used by Cursor AI makes the lowercase letter l and uppercase I appear identical.

Therefore, the search results displayed two seemingly identical extensions: the legitimate one with 61,000 downloads and the malicious one with two million downloads. Which one would the user choose to install? Making the right choice becomes a real challenge.

Similar cyberattacks

It’s worth noting that the Solidity extensions we uncovered are not the only malicious packages published by the attackers behind this operation. We used our open-source package monitoring tool to find a malicious npm package called “solsafe”. It uses the URL https://staketree[.]net/1.txt to download ScreenConnect. In this campaign, it’s also configured to use relay.lmfao[.]su for communication with the attackers.

We also discovered that April and May 2025 saw three malicious Visual Studio Code extensions published: solaibot, among-eth, and blankebesxstnion. The infection method used in these threats is strikingly similar to the one we described above. In fact, we found almost identical functionality in their malicious scripts.

Scripts downloaded by the VS Code extension (left) vs. Solidity Language (right)

In addition, all of the listed extensions perform the same malicious actions during execution, namely:

• Download PowerShell scripts named 1.txt and 2.txt.
• Use a VBScript with an obfuscated URL to download a payload from paste.ee.
• Download an image with a payload from archive.org.

This leads us to conclude that these infection schemes are currently being widely used to attack blockchain developers. We believe the attackers won’t stop with the Solidity extensions or the solsafe package that we found.

Takeaways

Malicious packages continue to pose a significant threat to the crypto industry. Many projects today rely on open-source tools downloaded from package repositories. Unfortunately, packages from these repositories are often a source of malware infections. Therefore, we recommend extreme caution when downloading any tools. Always verify that the package you’re downloading isn’t a fake. If a package doesn’t work as advertised after you install it, be suspicious and check the downloaded source code.

In many cases, malware installed via fake open-source packages is well-known, and modern cybersecurity solutions can effectively block it. Even experienced developers must not neglect security solutions, as these can help prevent an attack in case a malicious package is installed.

Indicators of compromise

Hashes of malicious JS files
2c471e265409763024cdc33579c84d88d5aaf9aea1911266b875d3b7604a0eeb
404dd413f10ccfeea23bfb00b0e403532fa8651bfb456d84b6a16953355a800a
70309bf3d2aed946bba51fc3eedb2daa3e8044b60151f0b5c1550831fbc6df17
84d4a4c6d7e55e201b20327ca2068992180d9ec08a6827faa4ff3534b96c3d6f
eb5b35057dedb235940b2c41da9e3ae0553969f1c89a16e3f66ba6f6005c6fa8
f4721f32b8d6eb856364327c21ea3c703f1787cfb4c043f87435a8876d903b2c

Network indicators
https://angelic[.]su/files/1.txt
https://angelic[.]su/files/2.txt
https://staketree[.]net/1.txt
https://staketree[.]net/2.txt
https://relay.lmfao[.]su
https://lmfao[.]su/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest
144.172.112[.]84

securelist.com/open-source-pac…

If you’re into Macs, you’ll always remember your first. Maybe it was the revolutionary classic of 1984 fame, perhaps it was the adorable G3 iMac in 1998, or even a shiny OS X machine in the 21st century. Whichever it is, you’ll find it emulated in [Marcin Wichary]’s essay “Frame of preference: A history of Mac settings, 1984–2004” — an exploration of the control panel and its history.
That’s not a photograph, it’s an emulator. (At least on the page. Here, it’s a screenshot.)
[Marcin] is a UI designer as well as an engineer and tech historian, and his UI chops come out in full force, commenting and critiquing Curputino’s coercions. The writing is excellent, as you’d expect from the man who wrote the book on keyboards, and it provides a fascinating look at the world of retrocomputing through the eyes of a designer. That design-focused outlook is very apropos for Apple in particular. (And NeXT, of course, because you can’t tell the story of Apple without it.)

There are ten emulators on the page, provided by [Mihai Parparita] of Infinite Mac. It’s like a virtual museum with a particularly knowledgeable tour guide — and it’s a blast, getting to feel hands-on, the design changes being discussed. There’s a certain amount of gamification, with each system having suggested tasks and a completion score when you finish reading. There are even Easter eggs.

This is everything we wish the modern web was like: the passionate deep-dives of personal sites on the Old Web, but enhanced and enabled by modern technology. If you’re missing those vintage Mac days and don’t want to explore them in browser, you can 3D print your own full-size replica, or a doll-sized picoMac.

hackaday.com/2025/07/10/an-emu…