I’ve been flying quadcopters a fair bit lately, and trying to learn some new tricks also means crashing them, which inevitably means repairing them. Last weekend, I was working on some wiring that had gotten caught and ripped a pad off of the controller PCB. It wasn’t so bad, because there was a large SMT capacitor nearby, and I could just piggyback on that, but the problem was how to re-route the wires to avoid this happening again.

By luck, I had just watched a video where someone else was building up a new quad, and had elegantly solved the exact same routing problem. I was just watching the video because I was curious about the frame in question, and I had absolutely no idea that it would contain the solution to a problem that I was just about to encounter, but because I was paying attention, it make it all a walk in the park.

I can’t count the number of times that I’ve had this experience: the blind luck of having just read or seen something that solves a problem I’m about to encounter. It’s a great feeling, and it’s one of the reasons that I’ve always read Hackaday – you never know when one hacker’s neat trick is going to be just the one you need next week. Indeed, that’s one of the reasons that we try to feature not just the gonzo hacks that drill down deep on a particular feat, but also the little ones too, that solve something in particular in a neat way. Because reading up on the hacks is free, and particularly cheap insurance against tomorrow’s unexpected dilemmas.

Read more Hackaday!

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/09/13/keep-r…

Le aziende appaltatrici della difesa statunitense stanno sviluppando uno strumento di intelligenza artificiale chiamato Cyber Resilience On-Orbit (CROO) per rilevare attacchi informatici ai satelliti monitorando direttamente il comportamento e i dati di telemetria dei sistemi satellitari in orbita. L’obiettivo è identificare comportamenti anomali sfruttando apprendimento automatico e intelligenza artificiale, per comprendere il vero stato dei satelliti oltre la semplice protezione dei link di comunicazione.

Lo strumento CROO è stato sviluppato da Proof Labs, una startup di sicurezza informatica spaziale con sede ad Albuquerque, New Mexico, con il contributo di Big Bear AI, azienda di soluzioni di intelligenza artificiale della Virginia, e Redwire Space Systems, impresa aerospaziale e di difesa della Florida. Il modello AI è addestrato usando telemetria satellitare sintetica ad alta fedeltà e altri dati generati da un modello digitale del satellite FireSat costruito da Redwire.

Big Bear AI ha compilato una serie temporale di 1,2 milioni di righe di dati modellando la telemetria di FireSat e altri dati sia in condizioni normali sia in caso di attacchi informatici. I dati includono tutte le informazioni elaborate dal software di volo del satellite, permettendo al modello di apprendere pattern di funzionamento ordinario e anomalie prodotte da scenari ostili.

Proof Labs evidenzia che le soluzioni di sicurezza finora si concentrano soprattutto sul lato terra della rete; la crittografia dei collegamenti satellitari protegge i dati in transito ma non difende il satellite né le funzioni a bordo. CROO mira quindi a rilevare o dedurre attacchi anche attraverso dati generati da dispositivi o sottosistemi non attaccati, con l’intento di prevenire attacchi sofisticati simili a Stuxnet.

CROO sarà distribuito come software e potrà anche essere implementato come hardware installabile sui satelliti; il lancio è previsto per il prossimo anno. Parte del finanziamento proviene da un contratto di ricerca e innovazione firmato con l’U.S. Air Force Research Laboratory nel 2024, e il cliente previsto dalla Space Force è lo U.S. Space Systems Command. Il software sarà proposto a operatori satellitari sia militari sia commerciali.

Secondo i responsabili tecnici, il set di telemetria include parametri come la velocità della ruota di reazione, la posizione del sensore stellare e l’angolo solare riportato dal sensore solare di bordo. Big Bear ha inoltre dichiarato l’intenzione di condividere i dati come repository su GitHub per permettere ad altri di addestrare propri modelli di intelligenza artificiale.

I progettisti sottolineano l’importanza di comprendere il comportamento reale dei componenti del satellite: attacchi simulati contro FireSat hanno preso di mira principalmente le batterie, scelte perché avrebbero generato rumore evidente nella telemetria. Gli attacchi selezionati e gli scenari simulati sono stati pensati per produrre cambiamenti fisici o digitali tali da essere rilevabili nel flusso di telemetria, permettendo a CROO di intercettare segnali di compromissione anche quando alcuni sottosistemi non sembrano compromessi.

L'articolo SIEM Satellitare: La difesa USA sviluppa una AI per la difendere i satelliti dagli hacker proviene da il blog della sicurezza informatica.

Nebius (ex Yandex) ha annunciato un importante accordo con Microsoft Corporation per il leasing di unità di elaborazione grafica (GPU) per l’intelligenza artificiale. L’accordo riguarda la locazione di capacità in un data center nella città americana di Vineland (New Jersey).

Secondo i termini dell’accordo, Nebius fornirà a Microsoft potenza di calcolo in determinate tranche nel corso del 2025 e del 2026. A seconda del volume di energia fornito, il valore del contratto entro il 2031 potrebbe ammontare a 17,4 miliardi di dollari. Microsoft ha inoltre il diritto di acquistare ulteriore energia, il che aumenterebbe il valore del contratto a 19,4 miliardi di dollari.

Secondo i dettagli dell’accordo pubblicati sul sito web della Securities and Exchange Commission (SEC) degli Stati Uniti, se Nebius non riuscirà a fornire la potenza di calcolo richiesta da Microsoft entro determinate date, Microsoft avrà il diritto di recedere dall’accordo.

Inoltre, sia Nebius che Microsoft possono recedere dal presente contratto se l’altra parte commette gravi violazioni sostanziali e non le corregge entro 60 giorni.

Un altro motivo di risoluzione del contratto è la liquidazione o il fallimento della controparte, che non venga risolto entro 30 giorni. Tuttavia, qualora il fallimento venga dichiarato ai sensi dell’Articolo 11 del Codice Fallimentare degli Stati Uniti, che prevede la riorganizzazione della società o il trasferimento dei suoi beni a una terza parte affidabile, questo non costituisce motivo di risoluzione del contratto.

Nebius è una società olandese originariamente chiamata Yandex. Storicamente, la società era proprietaria della società russa Yandex, il cui fondatore, Arkady Volozh, era il principale azionista di Yandex. Nel 2011, Yandex ha effettuato un’IPO (offerta pubblica iniziale) sulla borsa americana Nasdaq.

Nel 2022, il Nasdaq ha sospeso le negoziazioni delle sue azioni. Successivamente, la società ha deciso di lasciare la Russia. La divisione russa dell’azienda, PJSC Yandex, è stata venduta nel 2024.

Le principali attività di Yandex erano in Russia. Dopo l’accordo, Yandex si è ritrovata con solo alcune startup di intelligenza artificiale (IA) : Nebius AI (elaborazione grafica nell’IA), Toloka AI (IA generativa), Andrive (sviluppatore di veicoli senza pilota ) e la piattaforma educativa TripleTen. Yandex è stata rinominata Nebius, il Nasdaq ha ripreso a negoziare le azioni della società e Arkady Volozh è tornato alla guida della società.

Nebius ha deciso di concentrarsi sugli investimenti in infrastrutture di intelligenza artificiale. Nel 2024, l’azienda ha aperto data center per l’elaborazione grafica a Parigi e a Kansas City, Missouri . Nel 2025, un altro data center è stato inaugurato nel Regno Unito. L’azienda ha promesso di investire 1 miliardo di dollari nell’infrastruttura corrispondente in Europa. I data center sono realizzati utilizzando apparecchiature Nvidia.

L'articolo Nebius, ex Yandex, firma un contratto miliardario con Microsoft per l’AI proviene da il blog della sicurezza informatica.

If you’re planning to make a metalworking lathe out of a CNC milling machine, you probably don’t expect getting a position sensor to work to be your biggest challenge. Nevertheless, this was [Anthony Zhang]’s experience. Admittedly, the milling machine’s manufacturer sells a conversion kit, which greatly simplifies the more obviously difficult steps, but getting it to cut threads automatically took a few hacks.

The conversion started with a secondhand Taig MicroMill 2019DSL CNC mill, which was well-priced enough to be purchased specifically for conversion into a lathe. Taig’s conversion kit includes the spindle, tool posts, mounting hardware, and other necessary parts, and the modifications were simple enough to take only a few hours of disassembly and reassembly. The final lathe reuses the motors and control electronics from the CNC, and the milling motor drives the spindle through a set of pulleys. The Y-axis assembly isn’t used, but the X- and Z-axes hold the tool post in front of the spindle.

The biggest difficulty was in getting the spindle indexing sensor working, which was essential for cutting accurate threads. [Anthony] started with Taig’s sensor, but there was no guarantee that it would work with the mill’s motor controller, since it was designed for a lathe controller. Rather than plug it in and hope it worked, he ended up disassembling both the sensor and the controller to reverse-engineer the wiring.

He found that it was an inductive sensor which detected a steel insert in the spindle’s pulley, and that a slight modification to the controller would let the two work together. In the end, however, he decided against using it, since it would have taken up the controller’s entire I/O port. Instead, [Anthony] wired his own I/O connector, which interfaces with a commercial inductive sensor and the end-limit switches. A side benefit was that the new indexing sensor’s mounting didn’t block moving the pulley’s drive belt, as the original had.

The end result was a small, versatile CNC lathe with enough accuracy to cut useful threads with some care. If you aren’t lucky enough to get a Taig to convert, there are quite a few people who’ve built their own CNC lathes, ranging from relatively simple to the extremely advanced.

hackaday.com/2025/09/13/turnin…

Secondo l’ufficio del Procuratore Generale dello Stato di New York, l’obiettivo principale degli hacker criminali sono gli anziani e le persone vicine a quell’età. Lo scenario criminale inizia solitamente con un messaggio allarmante su una minaccia urgente di hacking, in cui la vittima è costretta a chiamare un numero di supporto falso.

Il passo successivo è convincere la persona a installare un programma di “protezione”, ma in realtà questo strumento consente l’accesso remoto al computer. Dopo averne ottenuto il controllo, gli aggressori analizzano i documenti finanziari e identificano i conti più appetibili per il furto.

Successivamente, un secondo membro della gang entra in azione, fingendosi un impiegato di banca. Afferma che il conto del cliente sarebbe stato attaccato da hacker stranieri e li convince a trasferire immediatamente fondi su un conto “protetto”. Il più delle volte, ciò avviene tramite trasferimenti tramite servizi di criptovaluta o transazioni bancarie, accompagnati da rigide istruzioni sulla massima riservatezza.

Per aumentare la fiducia, un altro complice si unisce al caso. Può presentarsi come dipendente di un’agenzia governativa e persino inviare lettere o documenti falsi con i simboli dei dipartimenti. Secondo la Procura Generale, questi falsi appelli confondono completamente le persone e le costringono a seguire le istruzioni dei truffatori.

Letitia James ha affermato che i criminali prendono di mira i soldi che le persone hanno risparmiato nel corso della loro vita per pagare le spese mediche o le spese quotidiane. Ha aggiunto che i criminali sono spietati e giocano sulla paura e sulla fiducia.

Il comunicato dell’ufficio del Procuratore Generale offre consigli specifici ai newyorkesi.

Sconsiglia di cliccare su link sconosciuti in messaggi di testo o e-mail, di ignorare i numeri di telefono elencati nelle finestre pop-up e di non consentire mai a sconosciuti di accedere al proprio computer. In caso di dubbi sul proprio conto bancario, chiamare solo il numero ufficiale indicato sull’estratto conto.

L'articolo Attenzione anziani! Truffa hacker spietata: gli hacker criminali rubano i risparmi di una vita proviene da il blog della sicurezza informatica.

I ricercatori hanno utilizzato per la prima volta un algoritmo quantistico per risolvere un complesso problema matematico che per oltre un secolo è stato considerato insormontabile anche per i supercomputer più potenti. Il problema riguarda la fattorizzazione delle rappresentazioni di gruppo, un’operazione fondamentale utilizzata nella fisica delle particelle, nella scienza dei materiali e nella comunicazione dati.

Il lavoro è stato condotto dagli scienziati del Los Alamos National Laboratory Martin Larocca e dal ricercatore IBM Vojtech Havlicek. I risultati sono stati pubblicati sulla rivista Physical Review Letters .

Gli scienziati ricordano che Peter Shor dimostrò la possibilità di fattorizzare numeri interi su un computer quantistico. Ora è stato dimostrato che metodi simili sono applicabili alle simmetrie. In sostanza, stiamo parlando di scomporre strutture complesse nelle loro “rappresentazioni indecomponibili”, i mattoni fondamentali.

Per i computer classici, questo compito diventa proibitivo quando si ha a che fare con sistemi complessi. Identificare questi blocchi e calcolarne il numero (i cosiddetti “numeri moltiplicativi”) richiede enormi risorse computazionali.

Il nuovo algoritmo si basa sulla trasformata di Fourier quantistica, una famiglia di circuiti quantistici che consente l’implementazione efficiente di trasformazioni utilizzate nella matematica classica per analizzare i segnali. Maggiori dettagli sono forniti in un comunicato stampa del Los Alamos National Laboratory.

Gli scienziati sottolineano che questa è una dimostrazione del “vantaggio quantistico”, ovvero il momento in cui un computer quantistico può gestire un compito che le macchine tradizionali non sono in grado di svolgere. Secondo loro, sono esempi come questo a determinare il valore pratico delle tecnologie quantistiche.

L’articolo sottolinea che i ricercatori sono riusciti a identificare una classe di problemi nella teoria delle rappresentazioni che consentono algoritmi quantistici efficienti. Allo stesso tempo, viene descritto un regime parametrico in cui è possibile un reale aumento della produttività.

L’importanza pratica del lavoro è ampia. Nella fisica delle particelle, il metodo può essere utilizzato per calibrare i rivelatori. Nella scienza dei dati, può essere utilizzato per creare codici di correzione degli errori affidabili per l’archiviazione e la trasmissione di informazioni. Nella scienza dei materiali, aiuta a comprendere meglio le proprietà delle sostanze e a progettare nuovi materiali.

Pertanto, il lavoro di Larocca e Havlicek amplia la gamma di problemi in cui l’informatica quantistica apre davvero nuovi orizzonti. Come sottolineano gli autori, la sfida principale per la scienza oggi è semplice: è necessario determinare con precisione in che modo i computer quantistici possono apportare reali benefici e dimostrare vantaggi rispetto ai sistemi classici.

L'articolo Algoritmo quantistico risolve problema matematico complesso proviene da il blog della sicurezza informatica.

Un tribunale statunitense ha condannato un residente di Memphis a quattro anni e mezzo di carcere per aver venduto copie digitali di film prima della loro uscita ufficiale. Steven R. Hale, 37 anni, che lavorava presso una società di produzione e distribuzione di DVD e Blu-ray, ha rubato dischi che stavano per essere rilasciati e li ha rivenduti online.

I reati sono stati commessi da febbraio 2021 a marzo 2022 e, nel maggio 2025, Hale si è dichiarato colpevole di violazione del copyright e ha accettato di risarcire i danni restituendo al suo datore di lavoro circa 1.160 DVD e dischi Blu-ray sequestrati dagli investigatori.

Inoltre, l’uomo è stato trovato in possesso di una pistola con un colpo in canna e un caricatore carico, il che ha portato a un’ulteriore accusa di possesso illegale di arma, poiché era già stato condannato per rapina a mano armata. Secondo il Dipartimento di Giustizia, Hale ha pubblicato copie pirata dei dischi su marketplace e siti di file sharing.

Tra i film rubati figurano Godzilla vs. Kong, Shang-Chi e la leggenda dei dieci anelli, Dune, Fast and Furious 9, Venom 2 e Black Widow. Il caso di Spider-Man: No Way Home suscitò particolare scalpore, poiché Hale riuscì a bypassare il sistema di protezione Blu-ray e a caricare il film online più di un mese prima della sua uscita ufficiale. Secondo gli inquirenti, ciò comportò perdite per decine di milioni di dollari e copie del film furono scaricate milioni di volte.

L’inchiesta ha rilevato che le sue azioni hanno causato danni per decine di milioni di dollari ai distributori cinematografici. Un rappresentante dell’FBI ha sottolineato che i film in questione erano dei blockbuster e che la distribuzione illegale prima dell’uscita nelle sale e su disco ha minato i profitti degli studi cinematografici.

La storia di Hale fa parte di una tendenza più ampia che coinvolge il furto di contenuti digitali. A marzo, i procuratori di New York hanno incriminato due appaltatori di StubHub – Tyrone Rose, 20 anni, e Shamara Simmons, 31 anni – per aver rivenduto quasi 1.000 biglietti rubati per concerti di Taylor Swift, Ed Sheeran, Adele, gli US Open e partite NBA. Le truffe hanno fruttato oltre 635.000 dollari e i due rischiano fino a 15 anni di carcere.

Pertanto, il caso Hale e altri casi simili dimostrano la crescente severità delle pene per i reati legati alla proprietà intellettuale e alla circolazione illegale di contenuti digitali.

L'articolo Condannato a 4,5 anni per pirateria: vendeva DVD e film online proviene da il blog della sicurezza informatica.

Un aggiornamento di sicurezza di settembre 2025 è stato distribuito da Samsung, al fine di risolvere una falla critica di tipo zero-day, attualmente oggetto di sfruttamento attivo. Tale patch include correzioni per un totale di 25 vulnerabilità ed esposizioni (SVE) specifiche di Samsung, unitamente a quelle implementate da Google e Samsung Semiconductor, con l’obiettivo di rafforzare la sicurezza dei dispositivi Galaxy contro diverse minacce.

Una vulnerabilità critica di scrittura fuori dai limiti nella libimagecodec.quram.solibreria è stata risolta nell’ultimo aggiornamento, in particolare la CVE-2025-21043. I dispositivi Android con versioni 13, 14, 15 e 16 sono interessati da questa falla di sicurezza, che è stata considerata la più grave tra quelle affrontate in questo aggiornamento. A tal proposito si consiglia vivamente agli utenti di installare immediatamente l’aggiornamento per proteggere i propri dispositivi da potenziali attacchi di esecuzione di codice remoto.

Un aggressore remoto potrebbe, grazie a un exploit andato a buon fine, eseguire codice a sua scelta su un dispositivo suscettibile, molto probabilmente convincendo l’utente ad aprire un’immagine creata ad hoc. Samsung ha confermato che esiste già un exploit per questo problema, il che rende ancora più urgente per gli utenti applicare la patch.

La vulnerabilità è stata diffusa privatamente dai team di sicurezza di Meta e WhatsApp.
Una patch è stata rilasciata per correggere l’errata implementazione che ha portato alla falla.
Oltre a questa, il Security Maintenance Release (SMR) di settembre comprende patch per altre due vulnerabilità considerate di alta gravità. Tra queste, la CVE-2025-32100, sebbene priva di dettagli specifici nel bollettino, risulta anch’essa di elevata gravità.

Un’altra correzione significativa, identificata come CVE-2025-21034, risolve una vulnerabilità di scrittura fuori dai limiti nella libsavsvc.solibreria. Questa falla potrebbe consentire a un aggressore locale di eseguire codice arbitrario, rappresentando un rischio serio se sul dispositivo è già presente un’applicazione dannosa. La patch attenua questa minaccia aggiungendo una convalida adeguata degli input per impedire il danneggiamento della memoria.

L’aggiornamento affronta non solo le questioni critiche e di alta gravità, ma anche un’ampia gamma di vulnerabilità di gravità moderata presenti in diversi componenti del sistema. In particolare, sono state riscontrate vulnerabilità nel controllo degli accessi non autorizzati in One UI Home (CVE-2025-21032), le quali potrebbero permettere a un aggressore con accesso fisico di aggirare la modalità Kiosk. Inoltre, è stata individuata una falla di sicurezza in ContactProvider (CVE-2025-21033) che potrebbe consentire agli aggressori locali di ottenere informazioni sensibili.

Altre patch risolvono problemi nel servizio ImsService che potrebbero causare l’interruzione delle chiamate o la disattivazione temporanea della SIM. L’aggiornamento di sicurezza, denominato SMR Sep-2025 Release 1, verrà distribuito agli smartphone e tablet Galaxy supportati nelle prossime settimane.

L'articolo Samsung rilascia patch di sicurezza settembre 2025: corrette vulnerabilità critiche proviene da il blog della sicurezza informatica.

Barrier-grid animations (also called scanimations) are a thing most people would recognize on sight, even if they didn’t know what they were called. Move a set of opaque strips over a pattern, and watch as different slices of that image are alternately hidden and revealed, resulting in a simple animation. The tricky part is designing the whole thing — but researchers at MIT designed FabObscura as a design tool capable not only of creating the patterned sheets, but doing so in a way that allows for complex designs.

The barrier grid need not consist of simple straight lines, and movement of the grid can just as easily be a rotation instead of a slide. The system simply takes in the desired frames, a mathematical function describing how the display should behave, and creates the necessary design automatically.

The paper (PDF) has more details, and while it is possible to make highly complex animations with this system, the more frames and the more complex the design, the more prominent the barrier grid and therefore the harder it is to see what’s going on. Still, there are some very nice results, such as the example in the image up top, which shows a coaster that can represent three different drink orders.

We recommend checking out the video (embedded below) which shows off other possibilities like a clock that looks like a hamster wheel, complete with running rodent. It’s reminiscent of this incredibly clever clock that uses a Moiré pattern (a kind of interference pattern between two elements) to reveal numerals as time passes.

We couldn’t find any online demo or repository for FabObscura, but if you know of one, please share it in the comments.

youtube.com/embed/5B-hyodzi1w?…

hackaday.com/2025/09/13/design…

Gli esperti di Straiker hanno annunciato un nuovo strumento chiamato Villager, che è stato scaricato quasi 10.000 volte dal repository ufficiale PyPI dal suo rilascio a luglio. Il programma si posiziona come client Model Context Protocol e combina decine di strumenti per l’audit di rete, ma allo stesso tempo contiene tutto il necessario per condurre attacchi in modalità completamente automatizzata.

Simile a Cobalt Strike, Villager può essere utilizzato sia per scopi legittimi che come piattaforma offensiva per aggressori che non necessitano nemmeno di una formazione tecnica approfondita. Villager include container Kali Linux, centinaia di strumenti di analisi e exploit e l’integrazione con i modelli di linguaggio DeepSeek.

Gli sviluppatori hanno aggiunto un ampio database di 4.201 query pre-preparate per la generazione di exploit, che consente al sistema di adattare in modo indipendente gli attacchi a obiettivi specifici. Inoltre, sono stati implementati sofisticati meccanismi di rilevamento, la creazione automatica di container isolati per la scansione e il test e una funzione di autodistruzione dei container dopo 24 ore per nascondere le tracce.

Villager è in grado di ricostruire la strategia di attacco in tempo reale: quando viene rilevato WordPress, WPScan viene avviato automaticamente, quando viene trovato un endpoint API, l’automazione del browser viene attivata per verificare l’autenticazione. Se viene rilevata una vulnerabilità di contaminazione del prototipo sul lato client, lo strumento genera un payload, monitora il traffico di rete e, in caso di successo, si insinua nel sistema. Il report di Straiker fornisce esempi di catene multi-step: dalla scansione iniziale all’implementazione di meccanismi di persistenza.

La ricerca ha dimostrato che il progetto è collegato a un’organizzazione cinese chiamata Cyberspike, registrata nel novembre 2023 a Changchun Anshanyuan Technology Co. Nonostante l’indirizzo e la registrazione ufficiali, l’azienda non dispone di un sito web completo né di informazioni sui dipendenti, e il suo sito web è stato chiuso all’inizio del 2024. Una precedente linea di prodotti Cyberspike è stata caricata su VirusTotal, dove i ricercatori hanno trovato AsyncRATincorporato e plugin per strumenti popolari come Mimikatz . L’analisi ha confermato che Cyberspike stava in realtà riconfezionando malware noti come kit per il pentesting e operazioni potenzialmente offensive.

L’autore di Villager, noto con il nickname @stupidfish001, ha precedentemente partecipato al team cinese CTF HSCSEC. Queste competizioni, come sottolineano i ricercatori, servono tradizionalmente come canale per formare specialisti e attrarli verso strutture legate alle operazioni informatiche. Il codice di Villager contiene commenti in cinese e il servizio continua a utilizzare il dominio dell’azienda, il che indica un utilizzo attivo della sua infrastruttura.

Da luglio, Straiker ha registrato download stabili del pacchetto: circa 200 download ogni tre giorni. In totale, il numero di installazioni ha raggiunto quota 9952 su vari sistemi operativi, tra cui Linux, macOS e Windows. Allo stesso tempo, il prodotto rimane disponibile in open source e continua a essere distribuito tramite PyPI.

Secondo gli esperti, gli aggressori stanno rapidamente imparando a usare l’intelligenza artificiale per automatizzare gli attacchi e la velocità di questo processo richiede alle aziende di adottare un approccio simmetrico, implementando le proprie soluzioni di protezione basate sull’intelligenza artificiale con lo stesso livello di efficienza.

L'articolo Villager: lo strumento di attacco con Kali Linux e DeepSeek che allarma gli esperti proviene da il blog della sicurezza informatica.

Un déjà-vu con nuove implicazioni. A maggio 2025 il collettivo ransomware LockBit aveva subito un duro colpo: il deface del pannello affiliati della versione 4.0 da parte di un attore ignoto che si firmava “XOXO from Prague”, accompagnato dal leak di un database SQL contenente chat, wallet e dati degli affiliati.

In quell’occasione, LockBitSupp aveva persino offerto una taglia per chiunque fornisse informazioni sull’autore. Nelle ultime 24 ore, la scena si è ripetuta, ma con una variante significativa: questa volta non un semplice deface pubblico, bensì una compromissione interna del pannello di build della versione 5.0.

Gli screenshot trapelati mostrano il builder Linux con diversi campi alterati da XOXO from Prague.

Un chiaro segnale di sabotaggio: non solo colpire l’immagine pubblica, ma dimostrare come anche l’infrastruttura operativa della nuova piattaforma RaaS resti vulnerabile.

Questa compromissione tecnica mina ulteriormente la credibilità di LockBit, che dopo il deface di maggio aveva promesso maggiore sicurezza con la versione 5.0. Per gli affiliati, l’episodio rappresenta un rischio diretto: il builder stesso, cuore dell’operatività, non è più affidabile.

XOXO from Prague: il sabotatore fantasma

L’attore rimane ignoto, ma ha ormai consolidato il proprio profilo come sabotatore seriale di LockBit. Dopo aver esposto il gruppo con un deface pubblico, ora ha dimostrato di saper manipolare la logica interna della piattaforma. È attesa a breve una reazione di LockBitSupp, forse con nuove minacce o un’ulteriore taglia.

Conclusione

LockBit si trova a fare i conti con una seconda ferita aperta in pochi mesi: dal deface di maggio alla compromissione di settembre, il marchio “XOXO from Prague” sta diventando sinonimo di instabilità e ridicolizzazione del gruppo ransomware.
Un colpo che non solo danneggia la reputazione, ma potrebbe minare la fiducia degli affiliati nell’intero ecosistema RaaS.

L'articolo LockBit 5.0 compromesso di nuovo: XOXO from Prague torna a colpire proviene da il blog della sicurezza informatica.

This should count as a hack: making music from a thing that should not sing. In this case, [SIROJU] is tickling the ivories with a Brushless DC motor, or BLDC.

To listen to a performance, jump to 6:27 in the embedded video. This BLDC has a distinctly chip-tune like sound, not entirely unlike other projects that make music with stepper motors. Unlike most stepper-based instruments we’ve seen [SIROJU]’s BLDC isn’t turning as it sings. He’s just got it vibrating by manipulating the space vector modulation that drives the motor — he gets a response of about 10 kHz that way. Not CD-quality, no, but plenty for electronic music. He can even play chords of up to 7 notes at a time.

There’s no obvious reason he couldn’t embed the music into a proper motor-drive signal, and thus allow a drone to hum it’s own theme song as it hovers along. He’s certainly got the chops for it; if you haven’t seen [SIROJU]’s videos on BLDC drivers on YouTube, you should check out his channel. He’s got a lot of deep content about running these ubiquitous motors. Sure, we could have just linked to him showing you how to do FOC on an STM32, but “making it sing” is an expression for mastery in English, and a lot more fun besides.

There are other ways to make music with motors. If you know of any others, don’t hesitate to send us a tip.

youtube.com/embed/-aNXI6L4DLQ?…

hackaday.com/2025/09/12/musica…

Over at Quanta Magazine [Shalma Wegsman] asks What Is the Fourier Transform?

[Shalma] begins by telling you a little about Joseph Fourier, the French mathematician with an interest in heat propagation who founded the field of harmonic analysis in the early 1800s.

Fourier’s basic insight was that you can represent everything as a sum of very basic oscillations, where the basic oscillations are sine or cosine functions with certain parameters. [Shalma] explains that the biology of our ear can do a similar thing by picking the various notes out from a tune which is heard, but mathematicians and programmers work without the benefit of evolved resonant hairs and bone, they work with math and code.

[Shalma] explains how frequency components can be discovered by trial and error, multiplying candidate frequencies with the original function to see if there are large peaks, indicating the frequency is a component, or if the variations average to zero, indicating the frequency is not a component. [Shalma] tells how even square waves can be modeled with an infinite set of frequencies known as the Fourier series.

Taking a look at higher-dimensional problems [Shalma] mentions how Fourier transforms can be used for graphical compression by dropping the high frequency detail which our eyes can barely perceive anyway. [Shalma] gives us a fascinating look at the 64 graphical building blocks which can be combined to create any possible 8×8 image.

[Shalma] then mentions James Cooley and John Tukey and the development of the Fast Fourier Transform in the 1960s. This mathematical tool has been employed to study the tides, to detect gravitational waves, to develop radar and magnetic resonance imaging, and to support signal processing and data compression. Even quantum mechanics finds use for harmonic analysis, and [Shalma] explains how it relates to the uncertainty principle. The Fourier transform has spread through pure mathematics and into number theory, too.

[Shalma] closes with a quote from Charles Fefferman: “If people didn’t know about the Fourier transform, I don’t know what percent of math would then disappear, but it would be a big percent.”

If you’re interested in the Fourier transform and want to dive deeper we would encourage you to read The Fastest Fourier Transform In The West and Even Faster Fourier Transforms On The Raspbery Pi Zero.

Header image: Joseph Fourier, Attributed to Pierre-Claude Gautherot, Public domain.

hackaday.com/2025/09/12/what-i…

The PAX D177 PoS terminal helpfully tells you which tamper points got triggered. (Credit: Lucas Teske)
These days Points of Sale (PoS) usually include a digital payment terminal of some description, some of which are positively small, such as the Mini PoS terminals that PAX sells. Of course, since it has a CPU and a screen it must be hacked to run something else, and maybe discover something fun about the hardware in the process. Thus [Lucas Tuske] set out to do exactly this with a PAX D177 PoS, starting with purchasing three units: one to tear apart, one to bypass tamper protections on and one to keep as intact reference.

As expected, there are a few tamper protections in place, starting with pads that detect when the back cover is removed and a PCB that’s densely covered in fine traces to prevent sneaky drilling. Although tripping the tamper protections does not seem to affect the contents of the Flash, the firmware is signed. Furthermore the secrets like keys that are stored in NVRAM are purged, rendering the device effectively useless to any attacker.

The SoC that forms the brains of the whole operations is the relatively obscure MH1903, which is made by MegaHunt and comes in a dizzying number of variants that are found in applications like these PoS terminals. Fortunately the same SoC is also found on a development board with the AIR105 MCU that turns out to feature the same MH1903 core. These are ARM Cortex-M3 cores, which makes targeting them somewhat easier.

Rather than try to break the secure boot of the existing SoC, [Lucas] opted to replace the SoC package with a brand new one, which was its own adventure. Although one could say that this is cheating, it made getting a PoC of custom code running on one of these devices significantly easier. In a foll0w-up article [Lucas] expects to have Doom running on this device before long.

hackaday.com/2025/09/12/runnin…

Building a computer on a breadboard is a seminal project for many builders, but it can become complicated quite quickly, not to mention that all the parts needed for a computer are being placed on a medium which often lends itself to loose wires and other hardware bugs. [3DSage] has a working breadboard computer that is as simple as it can possibly be, putting it together piece by piece to show exactly what’s needed to get a computer which can count, access memory, and even perform basic mathematical operations.

The first step for any computer is to build a clock, and in this case it’s being provided by a 555 timer which is configured to provide an adjustable time standard and which steps through the clock pulses when a button is pressed. The next piece is a four-bit counter and a memory chip, which lets the computer read and write data. A set of DIP switches allows a user to write data to memory, and by using the last three bits of the data as opcodes, the computer can reset, halt, and jump to various points in a simple program.

Although these three chips make it possible to perform basic programming, [3DSage] takes this a bit further in his video by demonstrating some other simple programs, such as one which can play music or behave as an alarm clock. He also shows how to use a fourth chip in the form of a binary adder to perform some basic math, and then packages it all into a retro-styled computer kit. Of course you can take these principles and build them out as far as they will go, like this full 8-bit computer built on a breadboard or even this breadboard computer that hosts a 486.

youtube.com/embed/8aiYJxvh4r0?…

hackaday.com/2025/09/12/a-brea…

Over on Instructables, [Logan Fouts] shows us the Contrib Cal GitHub desk gadget. This build will allow you to sport your recent GitHub commit activity on your wall or desk with an attractive diffuse light display backed by a 7×4 matrix of multicolor LEDs. Motivate yourself and impress your peers!

This humble project is at the same time multifaceted. You will build a case with 3D printing, make a diffuse screen by gluing and cutting, design a LED matrix PCB using KiCad, solder everything together, and then program it all with Python. The brains of the operation are a Raspberry Pi Zero W.

The Instructables article will run you through the required supplies, help you to print the case, explain how to solder the LEDs, tell how to install the heat-set inserts for high quality screw attachments, explain wiring and power, tell you about how to use the various screws, then tell you about where to get more info and the required software on GitHub: Contrib Cal v2.

Of course this diffuse LED matrix is only one way to display your GitHub progress, you can also Track Your GitHub Activity With This E-Ink Display.

hackaday.com/2025/09/12/reify-…

Fresh hacks here! Get your fresh hot hacks right here! Elliot and Dan teamed up this week to go through every story published on our pages to find the best of the best, the cream of the crop, and serve them up hot and fresh for you. The news this week was all from space, with the ISS getting its latest push from Dragon, plus <<checks notes>> oh yeah, life on Mars. Well, maybe, but it’s looking more and more like we are not alone, or at least not a few million years ago.

But even if we are, plenty is still going on down here to keep you interested. Like homebrewing? Good, because we looked at DIY inductors, wire nuts, and even a dope — but nope — ultralight helicopter. Into retro? We’ve got you covered with a loving look at IRC, a 60s bedside computer guaranteed to end your marriage, and a look at the best 8-bit language you never heard of.

We looked at a rescued fume hood, sensors galore on your phone, a rug that should have — and did, kind of — use a 555, and raytracing for the rest of your natural life. As for “Can’t Miss Articles,” Elliot could barely contain himself with the bounty of projects written up by our Hackaday writers, not to mention Arya’s deep dive into putting GPS modules to work in your builds.

html5-player.libsyn.com/embed/…

Download this MP3, full of twisty little podcasts, all alike. Plugh!

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 337 Show Notes:

News:

• Dragon Is The Latest, And Final, Craft To Reboost ISS
• NASA Presser Reveals New Clues About Ancient Life on Planet Mars – YouTube

What’s that Sound?

• Have a listen, guess where the music is from, and enter your guess right here!

Interesting Hacks of the Week:

• Give Your Twist Connections Some Strength
  
  • Print-in-Place Connectors Aim To Make Wiring Easier

  
  

• Tips For Homebrewing Inductors
• Was Action! The Best 8-Bit Language?
  
  • AtariWiki V3.1: Action Source Code
  • AtariWiki V3.1: Action
  • AtariWiki V3.1: Forth

  
  

• Retrotechtacular: The Noisy Home Computer From 1967
• A Love Letter To Internet Relay Chat
  
  • Life After IRC – Your Move, Mozilla!

  
  

• Making An Ultralight Helicopter

Quick Hacks:

• Elliot’s Picks
  
  • Old Phone Upcycled Into Pico Projector, ASMR
  • Reverse Engineering A Robot Mower’s Fence
  • The 555 As You’ve Never Seen It: In Textile!
  • A Look At Not An Android Emulator
  • No Plans For The Weekend? Learn Raytracing!

  
  

• Dan’s Picks:
  
  • Restoring A Cheap Fume Hood
  • Smartphone Sensors Unlocked: Turn Your Phone Into A Physics Lab
  • Heart Rate Monitoring Via WiFi

  
  

Can’t-Miss Articles:

• FreeCAD Foray: From Brick To Shell
• Bootstrapping Android Development: A Survival Guide
• The Android Linux Commander
• GPS And Its Little Modules

hackaday.com/2025/09/12/hackad…

Two billion downloads per week. That’s the download totals for the NPM packages compromised in a supply-chain attack this week. Ninety-nine percent of the cloud depends on one of the packages, and one-in-ten cloud environments actually included malicious code as a result of the hack. Take a moment to ponder that. In a rough estimate, ten percent of the Internet was pwned by a single attack.

What extremely sophisticated technique was used to pull off such an attack? A convincing-looking phishing email sent from the newly registered npmjs.help domain. [qix] is the single developer of many of these packages, and in the midst of a stressful week, fell for the scam. We could refer to the obligatory XKCD 2347 here. It’s a significant problem with the NPM model that a single developer falling for a phishing email can expose the entire Internet to such risk.

And once that account was compromised, it didn’t take long for the mystery attacker to push malicious code. Within an hour, cryptocurrency stealing code was added to two dozen packages. Within a couple hours, the compromise was discovered and the cleanup effort began.

BREAKING

LARGEST SUPPLY CHAIN ATTACK IN HISTORY PULLS OFF MASSIVE CRYPTO HEIST

ATTACKS STEAL $20.05 OF ETH. ENTIRE WORLD CRUMBLING

— vx-underground (@vxunderground) September 8, 2025

While the attack was staggering in its breadth, in the end only a few hundred dollars worth of cryptocurrency was actually stolen as a result. Why was such a successful attack, when measured by deployment, so minimal in actual theft? Two reasons: First, the malware was only live for two hours before takedowns began. And a related second reason, the malicious code was specifically aimed at developer and end-user machines, while the majority of the installs were on servers and cloud deployments, where cryptocurrency transactions weren’t happening.

It brings to mind the question, what could have happened? Instead of looking for cryptocurrency to steal, if the malicious code was tailored to servers and stealth, how long would it have taken to detect? And is there malicious code on NPM and in other places that we just haven’t discovered yet?

SAP ERP CVEs

Let’s break down this Alphabet soup. SAP is an acronym for “Systems, Applications and Products in Data Processing”, a German company providing business software. ERP is their Enterprise Resource Planning software, and of course a CVE is a Common Vulnerabilities and Exposure. So to translate the acronyms, SAP’s accounting software has vulnerabilities. And in this case, CVE-2025-42944 is a ten out of ten on the CVSS severity scale.

In fact, there are four vulnerabilities altogether, all CVSS of nine or higher, and all in the underlying NetWeaver platform. SAP owned up to the problems, commenting that they operated as a backdoor, allowing unauthorized access. Patches are available for all of these issues, but some of them have been found in use in the wild.

Kerbroasting

You know it’s bad when a sitting US Senator can tell that your security has problems. Though before I read the article, I had a feeling it would be [Ron Wyden].

The issue here is Microsoft’s support for RC4 encryption in Active Directory. RC4, also known as ARC4, is a pseudorandom number generator developed at RSA in 1987. This continuing support leads to an attack known as kerberoasting.

Kerberos is one of the protocols that powers Active Directory. It works through a sort of ticket signing system. The server doing the signing takes a hash of a password and uses that hash as an encryption key to encrypt the Kerberos ticket. There are two possible problems. First, that password may be a human generated password, and therefore a weak password. And second, the legacy combination of RC4 and original NT hashing makes for extremely fast offline password guessing.

So here’s the kerberoasting attack: Take any account in the Active Directory, and request a Kerberos ticket, specifying the legacy RC4 encryption. Take this offline ticket to a modern CPU/GPU, and use Hashcat to crack that password, at a guess rate measured in the billions per second. Once that password is discovered, arbitrary Kerberos tickets can be signed, providing access to basically any account on the AD system.

This was part of the 2024 ransomware attack on Ascension health, and why the US senate is taking notice. What’s strange is how resistant Microsoft has been to fixing this issue. Microsoft states that RC4 only makes up .1% of traffic, which is nonsense, since the attack doesn’t rely on traffic. Finally in 2026, new installs of Windows server 2025 will disable RC4 by default.

Reverse Engineering and TLS Hacking

We get a great primer from [f0rw4rd] on how to defeat TLS certificates, in a very specific scenario. That scenario is reverse engineering an embedded or industrial Linux system. One of the tools you might want to use is to intercept traffic from the embedded system to some web server, but if that system uses HTTPS, it will fail to verify that certificate. What is a researcher to do?

One possible solution is to abuse LD_PRELOAD to poison the application. This approach uses dynamic library loading to insert a “malicious” library before program execution. tls-preloader is a tool to do exactly this, and supports multiple SSL/TLS libraries, allowing sniffing all that useful TLS data.

The Rest of the Story

Just recently we mentioned several 0-day vulnerabilities that were being used for in-the-wild attacks. This week we have updates on a couple of those. First is the iOS and macOS vulnerability in DNG image file processing. The basic issue is that this file type has a TIFF header that includes a SamplesPerPixel metadata, and a SOF3 section with a component count. A properly formatted file will have consistency between these two elements, and the Apple file processing didn’t handle such an inconsistency correctly, leading to memory corruption and potentially Remote Code Execution (RCE).

The other recent 0-day is a FreePBX flaw that was discovered through the presence of a clean.sh script on multiple FreePBX installs. The flaw was an automatic class loader that allowed an unauthenticated user to include module files when calling the ajax.php endpoint. One way to turn this into an exploit is SQL injection in one of the modules. This is what has been patched, meaning there are likely more exploits to find using this php injection quirk.

Bits and Bytes

The Apple CarPlay SDK had a buffer overflow that was reachable by a device connecting to the vulnerable head unit. Researchers from oligo discovered this flaw, and presented it at Def Con this year. The end result is root-level RCE, and while Apple has already published an SDK update, most cars are still vulnerable to this one.

And finally, enjoy [LaurieWired] taking a look at this year’s International Obfuscated C Code Contest (IOCCC) winners. This contest is all about pushing the limits in how terrifying C code can be, while still compiling and doing something interesting. And these entries don’t disappoint.

youtube.com/embed/by53T03Eeds?…

hackaday.com/2025/09/12/this-w…

Non brilliamo molto nella sicurezza informatica, ma sugli Spyware siamo tra i primi della classe!

Secondo una ricerca dell’Atlantic Council, il settore dello spyware è in piena espansione, poiché gli investitori rivolgono sempre più la loro attenzione a questo settore eticamente discutibile ma altamente redditizio. La maggior parte del denaro è destinata ad aziende negli Stati Uniti e in Israele, ma al terzo posto troviamo l’Italia.

E gli investimenti americani nello spyware sono triplicati nell’ultimo anno.

L’Italia al terzo posto nella guerra degli spyware

Lo studio dell’Atlantic Council ha preso in esame 561 organizzazioni provenienti da 46 paesi dal 1992 al 2024. Nel farlo, gli esperti sono riusciti a identificare 34 nuovi investitori, portando il loro numero totale a 128 (rispetto ai 94 del 2024).

Si nota che il maggiore interesse per lo spyware è dimostrato dagli investitori americani: nel 2024 sono state identificate 20 nuove società investitrici negli Stati Uniti, per un totale di 31. Questa crescita ha superato di gran lunga quella di altri Paesi, tra cui Israele, Italia e Regno Unito.

Pertanto, il numero di investitori identificati nell’UE e in Svizzera è stato di 31, con l’Italia, considerata un hub chiave per lo spyware, che ha rappresentato la quota maggiore con 12 investitori. Il numero di investitori in Israele è stato di 26.

Tra gli investitori americani, gli analisti dell’Atlantic Council annoverano i grandi hedge fund DE Shaw & Co. e Millennium Management, la nota società commerciale Jane Street e la grande società finanziaria Ameriprise Financial.

Secondo il rapporto, tutti loro hanno inviato fondi al fornitore israeliano di spyware legale Cognyte. Si sottolinea che questa azienda è stata precedentemente collegata a violazioni dei diritti umani in Azerbaigian, Indonesia e altri paesi.

L’acquisto di Paragon Solution

Un altro esempio degno di nota degli investimenti americani nello spyware è la recente acquisizione del noto fornitore israeliano di spyware Paragon Solutions da parte di AE Industrial Partners, una società di private equity con sede in Florida specializzata in sicurezza nazionale.

Gli autori del rapporto sottolineano che, sebbene i politici americani abbiano sistematicamente combattuto la diffusione e l’abuso di spyware, talvolta con misure politiche severe, esiste una significativa discrepanza tra loro e gli investitori statunitensi, perché “i dollari statunitensi continuano a finanziare proprio le entità che i politici statunitensi stanno cercando di combattere”.

Un esempio citato è il fornitore di spyware Saito Tech (ex Candiru), presente nell’elenco delle sanzioni del Dipartimento del Commercio degli Stati Uniti dal 2021 e che ha ricevuto nuovi investimenti dalla società statunitense Integrity Partners nel 2024.

Oltre a concentrarsi sugli investimenti, l’Atlantic Council scrive che il mercato globale degli spyware è “in crescita ed evoluzione”, e ora include quattro nuovi fornitori, sette nuovi rivenditori o broker, 10 nuovi fornitori di servizi e 55 nuovi individui associati al settore.

Ad esempio, tra i fornitori recentemente identificati figurano l’israeliana Bindecy e l’italiana SIO. Tra i rivenditori figurano società di facciata associate ai prodotti del Gruppo NSO (come la panamense KBH e la messicana Comercializadora de Soluciones Integrales Mecale). Tra i nuovi fornitori di servizi figurano la britannica Coretech Security e la statunitense ZeroZenX.

youtube.com/embed/jkMy6OaFOyo?…

Broker e rivenditori, sono il cuore pulsante degli spyware

Il rapporto evidenzia il ruolo centrale svolto da tali rivenditori e broker, che rappresentano un “gruppo di attori poco studiato”.

“Queste organizzazioni agiscono da intermediari, oscurando i collegamenti tra venditori, fornitori e acquirenti. Spesso, gli intermediari mettono in contatto i fornitori con nuovi mercati regionali. Questo crea una catena di fornitura complessa e opaca per lo spyware, rendendo estremamente difficile comprendere le strutture aziendali, le manipolazioni giurisdizionali e le responsabilità“, hanno dichiarato gli autori dello studio a Wired .

Ma attenzione: realizzare spyware è solo fare un puzzle

Quasi sempre non si tratta di aziende che sviluppano internamente malware costruiti sfruttando vulnerabilità scoperte da loro stesse (0day): le società che commercializzano spyware spesso non cercano e non scoprono direttamente i bug. Al contrario, la filiera vede la presenza di broker di exploit 0day che fungono da intermediari: questi broker acquistano vulnerabilità da ricercatori o scopritori e le rivendono—talvolta tramite aste private—a operatori che poi le integrano in strumenti di sorveglianza.

Quindi non bisogna pensare che realizzare uno spyware richieda necessariamente capacità tecniche di scoperta di vulnerabilità; nella pratica commerciale descritta basta produrre il software che sfrutta gli exploit 0day ottenuti di ricercatori di sicurezza, che li hanno venduti a loro volta ai broker. Questo spiega perché il mercato dello spyware può funzionare anche separando nettamente il lavoro di ricerca delle vulnerabilità dalla loro applicazione operativa.

L'articolo L’Italia tra i grandi degli Spyware! Un grande terzo posto dopo Israele e USA proviene da il blog della sicurezza informatica.

Dopo che la vulnerabilità in FreePBX è stata scoperta, è stata immediatamente sfruttata attivamente nell’ecosistema della telefonia IP. La comunità ha notato compromissioni di massa il 21 agosto 2025, e da allora sintomi identici e tracce di manomissioni hanno iniziato a comparire sui forum. I ricercatori di watchTowr Labs hanno confermato che si tratta di un attacco remoto senza autenticazione correlato al modulo Endpoint commerciale e a un errore nell’elaborazione del class autoloader.

Al problema è stato assegnato l’identificatore CVE-2025-57819. FreePBX è un’interfaccia web per Asterisk utilizzata da tutti, dagli appassionati di home office ai fornitori di servizi e ai sistemi aziendali, quindi l’impatto si estende oltre i pannelli interni, consentendo l’accesso a chiamate, segreteria telefonica e registrazioni delle chiamate.

Il primo campanello d’allarme, il 25 agosto, è stato il crash di massa dell’interfaccia con un errore PHP relativo a una classe Symfony mancante. Il giorno successivo, uno degli amministratori ha mostrato un file .clean.sh improvvisamente apparso sul server. Lo script ha analizzato i log in “/var/log/*”, ha cancellato selettivamente le righe in cui potevano esserci riferimenti a web shell e nomi di servizi, per poi cancellarsi. Tale pulizia dei log è un tipico segnale di post-exploitation, quando gli aggressori cancellano le tracce e complicano l’analisi dell’incidente.

WatchTowr ha implementato un sensore FreePBX completamente monitorato e ne ha confrontato il comportamento prima e dopo le correzioni. È emerso che l’accesso diretto al codice vulnerabile si trova all’interno del modulo Endpoint e che il bundle di routing /admin/ajax.php e il meccanismo di caricamento automatico delle classi svolgono un ruolo cruciale. Il codice sorgente di FreePBX prevede un controllo class_exists per il valore del parametro del modulo e, con il valore di caricamento automatico PHP predefinito, questa chiamata passa una stringa all’utente fpbx_framework_autoloader.

Se si invia un modulo del tipo “FreePBXmodulesendpointajax“, l’autoloader raccoglie il percorso “/admin/modules/endpoint/ajax.php” e include semplicemente il file corrispondente, prima che la sessione venga verificata. In questo modo, il codice del modulo viene avviato senza login, ma a quel punto entra in gioco l’errore di validazione in Endpoint: l’iniezione SQL nei parametri del gestore ajax consente di manipolare il database di FreePBX.

In pratica, gli aggressori hanno prima creato un amministratore nascosto “ampuser” – ciò è confermato dalle richieste honeypot catturate, in cui un’operazione INSERT è stata iniettata nella tabella ampusers nel parametro brand. Quindi, per passare dall’accesso al database all’esecuzione di comandi, hanno aggiunto un record alla tabella cron_jobs con la pianificazione standard “* * * * *”, specificando il payload nel campo command – in questo modo, il codice è stato eseguito una volta al minuto per conto delle utilità di sistema di FreePBX. Questa catena watchTowr è stata riprodotta in laboratorio e, per verificare le tracce, è stato pubblicato un generatore di artefatti di rilevamento, che alternativamente tenta di registrare la web shell tramite cron o di aggiungere un nuovo utente.

Gli sviluppatori di FreePBX hanno risposto prontamente e hanno raccomandato di chiudere temporaneamente l’interfaccia di amministrazione tramite elenchi IP o un firewall e di installare aggiornamenti non pianificati per il modulo Endpoint. Per FreePBX 16/17, è stato suggerito il comando “fwconsole ma downloadinstall endpoint –edge”, per PBXAct 16 – “–tag 16.0.88.19”, per PBXAct 17 – “–tag 17.0.2.31”.

Nella descrizione dell’incidente, il team di FreePBX ha specificamente osservato che, a partire dal 21 agosto 2025, una persona sconosciuta ha iniziato ad accedere ai sistemi versione 16 e 17 accessibili da Internet senza un adeguato filtraggio e, dopo il login iniziale e una serie di passaggi sono stati concessi i diritti di root. Allo stesso tempo, watchTowr sottolinea che la correzione modulare risolve l’SQL injection, ma la causa principale, ovvero il caricamento automatico nel kernel, richiede ancora una riconsiderazione, poiché la connessione pre-autenticazione dei singoli file “.php” all’interno di “admin/modules” rimane una via accessibile.

L'articolo La vulnerabilità critica in FreePBX consente un accesso remoto senza autenticazione proviene da il blog della sicurezza informatica.

Microsoft ha iniziato a testare nuove funzionalità basate sull’intelligenza artificiale in Esplora file di Windows 11. Queste funzionalità consentiranno agli utenti di interagire con immagini e documenti direttamente da Esplora file, senza dover aprire i file in app separate.

La nuova funzionalità si chiama “Azioni AI” e attualmente funziona con immagini JPG, JPEG e PNG, consentendo di effettuare le seguenti operazioni:

• Rimuovi sfondo in Paint: ritaglia rapidamente lo sfondo di un’immagine, lasciando solo il soggetto;
• Rimuovi oggetti con l’app Foto: consente di rimuovere elementi indesiderati dalle foto utilizzando l’intelligenza artificiale generativa;
• Sfoca lo sfondo utilizzando l’app Foto: mette a fuoco il soggetto sfocando lo sfondo;
• Ricerca immagini con Bing Visual Search : la ricerca visiva con Bing trova immagini, oggetti, punti di riferimento e altro simili sul Web.

“Le azioni AI” in Esplora file semplificano e velocizzano il lavoro con i file: basta fare clic con il pulsante destro del mouse, ad esempio, per modificare un’immagine o ottenere un riepilogo di un documento”, affermano i rappresentanti Microsoft Amanda Langowski e Brandon LeBlanc.

Queste nuove funzionalità sono disponibili in Windows 11 Insider Preview Build 27938. Insieme a queste, è stata introdotta un’altra utile funzionalità: in Impostazioni > Privacy e sicurezza > Generazione di testo e immagini, viene ora visualizzato un elenco delle app di terze parti che hanno utilizzato di recente modelli di intelligenza artificiale generativa locale di Windows.

L’utente può visualizzare questa attività e gestire l’accesso di queste app alle funzionalità di intelligenza artificiale.

A inizio maggio, Microsoft ha anche introdotto gli agenti di intelligenza artificiale , assistenti intelligenti in grado di modificare le impostazioni di Windows con un comando vocale o di testo. Queste funzionalità sono ora disponibili sui PC Copilot+ e sui processori Snapdragon.

L'articolo Windows 11: Microsoft Rinnova Esplora file introducendo l’intelligenza artificiale proviene da il blog della sicurezza informatica.