Neurodivergenti in cybersecurity: quando il bug è il tuo superpotere

I manuali di crescita personale vendono l’hyperfocusing come segreto del successo. Le routine come chiave della produttività. L’uscita dalla comfort zone come panacea universale.

Ma Jeff Bezos (ADHD), Elon Musk (Asperger) e Richard Branson (dislessico) non hanno scoperto l’hyperfocus leggendo un libro di autoaiuto: ci sono nati.

Thomas Edison era ossessivo e incapace di concentrarsi a lungo su un solo compito, eppure ha inventato la lampadina. Leonardo Da Vinci lasciava opere in sospeso perché la sua mente correva in troppe direzioni. Einstein imparò tardi a leggere, a scrivere e a parlare. Oggi probabilmente sarebbero tutti diagnosticati come neurodivergenti. E il mondo li considererebbe “problematici”.

Il paradosso della normalità

Il punto è che chiamiamo “disturbo”, “sindrome” o “malattia” (disease) una diversa modulazione dell’intelligenza. L’ADHD non è solo distrazione: è anche multitasking estremo. L’autismo non è solo chiusura sociale: è anche un pensiero sistemico profondo. La dislessia non è solo un deficit di lettura: è anche un talento per l’innovazione non convenzionale.

E non è solo un’impressione: diversi studi neuroscientifici confermano il legame tra alcune forme di neurodivergenza e la capacità di risolvere problemi in modo creativo, vedere pattern invisibili agli altri, resistere a manipolazioni che funzionano sulla maggioranza delle persone.

Non sono errori di fabbrica: sono varianti evolutive. Eppure continuiamo a costruire programmi didattici, piattaforme digitali, sistemi e processi di sicurezza su un modello unificato. Forziamo cervelli diversi a imitare modelli che non gli appartengono… e poi ci stupiamo quando falliscono o vengono manipolati.

La profilazione cognitiva è già qui

La società tratta le persone come animali da addestrare con premi (bonus, gamificazione, promozioni) e punizioni standardizzate (licenziamenti e richiami). Ma le piattaforme digitali hanno capito tutto: progettano algoritmi che massimizzano il tuo engagement sfruttando esattamente le tue differenze cognitive specifiche.

Piattaforme come Google, TikTok e ChatGPT non ti trattano come utente medio: ti profilano, inferiscono il tuo funzionamento cognitivo, ti procurano stimoli calibrati sulle tue vulnerabilità personali. E se sei neurodivergente, per loro non sei un utente problematico o disturbato: sei un utente ad alto valore, perché il tuo comportamento è più prevedibile.

Un cervello ADHD reagisce in modo più intenso agli stimoli di novità continua: TikTok è progettato esattamente per questo. Un cervello autistico cerca pattern e coerenza: gli algoritmi di raccomandazione sfruttano proprio questa caratteristica. Un cervello dislessico privilegia informazioni visive: Instagram e Pinterest lo sanno benissimo.

Il vantaggio competitivo nascosto

Ma c’è un rovescio della medaglia. Le stesse caratteristiche che rendono i neurodivergenti vulnerabili ad alcune manipolazioni, li rendono immuni ad altre.

L’autismo filtra naturalmente molte tecniche di ingegneria sociale basate sull’emotività immediata. L’ADHD sfugge a manipolazioni che richiedono attenzione sequenziale prolungata. La dislessia potenzia la pattern recognition visiva e riduce l’efficacia del framing linguistico.

Un team di cybersecurity con membri neurodivergenti vede vulnerabilità che un team omogeneo ignora. Perché guardano il sistema da angolazioni diverse, fanno domande “strane”, notano incoerenze che altre persone considerano irrilevanti.

Il problema è che i processi di selezione, formazione e lavoro sono progettati per cervelli “standard” che in realtà rappresentano solo una minoranza della popolazione reale.

Il costo dell’esclusione

Secondo i dati europei, solo il 30% degli adulti autistici ha un impiego stabile, nonostante molti di essi abbiano qualifiche elevate. I laureati STEM con ADHD o dislessia hanno tassi di disoccupazione superiori alla media, non per mancanza di competenze ma per inadeguatezza dei processi di recruiting.

L’Italia è agli ultimi posti tra i Paesi UE per competenze digitali di base: solo il 45% degli italiani le possiede secondo l’indice DESI 2025. E la percentuale crolla ulteriormente se guardiamo l’inclusione lavorativa delle persone neurodivergenti.

Non è solo una questione etica. È un problema economico e di sicurezza nazionale. Stiamo sprecando talenti che potrebbero fare la differenza nella difesa cyber, nell’innovazione tecnologica, nella resilienza organizzativa.

Verso una security cognitivamente inclusiva

La cybersecurity deve smettere di trattare il fattore umano come variabile da standardizzare. Le persone non sono utenti medi: sono ecosistemi cognitivi diversi, ognuno con vulnerabilità e punti di forza specifici.

La formazione security awareness tradizionale fallisce sistematicamente con il 15-20% dei dipendenti. Non perché siano stupidi o disattenti: perché il loro cervello funziona diversamente e nessuno ha progettato contenuti adatti a loro.

La diversità cognitiva non è una quota CSR da riempire: è un vantaggio competitivo da proteggere e sviluppare. Ma solo se i processi sono progettati per il cervello che le persone hanno realmente, non per un cervello ideale che esiste solo nei manuali.

Se vuoi approfondire come trasformare la neurodivergenza da vulnerabilità percepita a risorsa strategica in ambito cybersecurity, il libroCYBERCOGNITIVISMO 2.0 – Manipolazione, Persuasione e Difesa Digitale(in arrivo su Amazon) dedica un’intera sezione all’analisi delle vulnerabilità cognitive specifiche e propone modelli operativi per una security awareness cognitivamente inclusiva.

L'articolo Neurodivergenti in cybersecurity: quando il bug è il tuo superpotere proviene da Red Hot Cyber.

Exploits and vulnerabilities in Q3 2025

In the third quarter, attackers continued to exploit security flaws in WinRAR, while the total number of registered vulnerabilities grew again. In this report, we examine statistics on published vulnerabilities and exploits, the most common security issues impacting Windows and Linux, and the vulnerabilities being leveraged in APT attacks that lead to the launch of widespread C2 frameworks. The report utilizes anonymized Kaspersky Security Network data, which was consensually provided by our users, as well as information from open sources.

Statistics on registered vulnerabilities

This section contains statistics on registered vulnerabilities. The data is taken from cve.org.

Let us consider the number of registered CVEs by month for the last five years up to and including the third quarter of 2025.

Total published vulnerabilities by month from 2021 through 2025 (download)

As can be seen from the chart, the monthly number of vulnerabilities published in the third quarter of 2025 remains above the figures recorded in previous years. The three-month total saw over 1000 more published vulnerabilities year over year. The end of the quarter sets a rising trend in the number of registered CVEs, and we anticipate this growth to continue into the fourth quarter. Still, the overall number of published vulnerabilities is likely to drop slightly relative to the September figure by year-end

A look at the monthly distribution of vulnerabilities rated as critical upon registration (CVSS > 8.9) suggests that this metric was marginally lower in the third quarter than the 2024 figure.

Total number of critical vulnerabilities published each month from 2021 to 2025 (download)

Exploitation statistics

This section contains exploitation statistics for Q3 2025. The data draws on open sources and our telemetry.

Windows and Linux vulnerability exploitation

In Q3 2025, as before, the most common exploits targeted vulnerable Microsoft Office products.

Most Windows exploits detected by Kaspersky solutions targeted the following vulnerabilities:

• CVE-2018-0802: a remote code execution vulnerability in the Equation Editor component
• CVE-2017-11882: another remote code execution vulnerability, also affecting Equation Editor
• CVE-2017-0199: a vulnerability in Microsoft Office and WordPad that allows an attacker to assume control of the system

These vulnerabilities historically have been exploited by threat actors more frequently than others, as discussed in previous reports. In the third quarter, we also observed threat actors actively exploiting Directory Traversal vulnerabilities that arise during archive unpacking in WinRAR. While the originally published exploits for these vulnerabilities are not applicable in the wild, attackers have adapted them for their needs.

• CVE-2023-38831: a vulnerability in WinRAR that involves improper handling of objects within archive contents We discussed this vulnerability in detail in a 2024 report.
• CVE-2025-6218 (ZDI-CAN-27198): a vulnerability that enables an attacker to specify a relative path and extract files into an arbitrary directory. A malicious actor can extract the archive into a system application or startup directory to execute malicious code. For a more detailed analysis of the vulnerability, see our Q2 2025 report.
• CVE-2025-8088: a zero-day vulnerability similar to CVE-2025-6128, discovered during an analysis of APT attacks The attackers used NTFS Streams to circumvent controls on the directory into which files were unpacked. We will take a closer look at this vulnerability below.

It should be pointed out that vulnerabilities discovered in 2025 are rapidly catching up in popularity to those found in 2023.

All the CVEs mentioned can be exploited to gain initial access to vulnerable systems. We recommend promptly installing updates for the relevant software.

Dynamics of the number of Windows users encountering exploits, Q1 2023 — Q3 2025. The number of users who encountered exploits in Q1 2023 is taken as 100% (download)

According to our telemetry, the number of Windows users who encountered exploits increased in the third quarter compared to the previous reporting period. However, this figure is lower than that of Q3 2024.

For Linux devices, exploits for the following OS kernel vulnerabilities were detected most frequently:

• CVE-2022-0847, also known as Dirty Pipe: a vulnerability that allows privilege escalation and enables attackers to take control of running applications
• CVE-2019-13272: a vulnerability caused by improper handling of privilege inheritance, which can be exploited to achieve privilege escalation
• CVE-2021-22555: a heap overflow vulnerability in the Netfilter kernel subsystem. The widespread exploitation of this vulnerability is due to its use of popular memory modification techniques: manipulating “msg_msg” primitives, which leads to a Use-After-Free security flaw.

Dynamics of the number of Linux users encountering exploits, Q1 2023 — Q3 2025. The number of users who encountered exploits in Q1 2023 is taken as 100% (download)

A look at the number of users who encountered exploits suggests that it continues to grow, and in Q3 2025, it already exceeds the Q1 2023 figure by more than six times.

It is critically important to install security patches for the Linux operating system, as it is attracting more and more attention from threat actors each year – primarily due to the growing number of user devices running Linux.

Most common published exploits

In Q3 2025, exploits targeting operating system vulnerabilities continue to predominate over those targeting other software types that we track as part of our monitoring of public research, news, and PoCs. That said, the share of browser exploits significantly increased in the third quarter, matching the share of exploits in other software not part of the operating system.

Distribution of published exploits by platform, Q1 2025 (download)

Distribution of published exploits by platform, Q2 2025 (download)

Distribution of published exploits by platform, Q3 2025 (download)

It is noteworthy that no new public exploits for Microsoft Office products appeared in Q3 2025, just as none did in Q2. However, PoCs for vulnerabilities in Microsoft SharePoint were disclosed. Since these same vulnerabilities also affect OS components, we categorized them under operating system vulnerabilities.

Vulnerability exploitation in APT attacks

We analyzed data on vulnerabilities that were exploited in APT attacks during Q3 2025. The following rankings draw on our telemetry, research, and open-source data.

TOP 10 vulnerabilities exploited in APT attacks, Q3 2025 (download)

APT attacks in Q3 2025 were dominated by zero-day vulnerabilities, which were uncovered during investigations of isolated incidents. A large wave of exploitation followed their public disclosure. Judging by the list of software containing these vulnerabilities, we are witnessing the emergence of a new go-to toolkit for gaining initial access into infrastructure and executing code both on edge devices and within operating systems. It bears mentioning that long-standing vulnerabilities, such as CVE-2017-11882, allow for the use of various data formats and exploit obfuscation to bypass detection. By contrast, most new vulnerabilities require a specific input data format, which facilitates exploit detection and enables more precise tracking of their use in protected infrastructures. Nevertheless, the risk of exploitation remains quite high, so we strongly recommend applying updates already released by vendors.

C2 frameworks

In this section, we will look at the most popular C2 frameworks used by threat actors and analyze the vulnerabilities whose exploits interacted with C2 agents in APT attacks.

The chart below shows the frequency of known C2 framework usage in attacks on users during the third quarter of 2025, according to open sources.

Top 10 C2 frameworks used by APT groups to compromise user systems in Q3 2025 (download)

Metasploit, whose share increased compared to Q2, tops the list of the most prevalent C2 frameworks from the past quarter. It is followed by Sliver and Mythic. The Empire framework also reappeared on the list after being inactive in the previous reporting period. What stands out is that Adaptix C2, although fairly new, was almost immediately embraced by attackers in real-world scenarios. Analyzed sources and samples of malicious C2 agents revealed that the following vulnerabilities were used to launch them and subsequently move within the victim’s network:

• CVE-2020-1472, also known as ZeroLogon, allows for compromising a vulnerable operating system and executing commands as a privileged user.
• CVE-2021-34527, also known as PrintNightmare, exploits flaws in the Windows print spooler subsystem, also enabling remote access to a vulnerable OS and high-privilege command execution.
• CVE-2025-6218 or CVE-2025-8088 are similar Directory Traversal vulnerabilities that allow extracting files from an archive to a predefined path without the archiving utility notifying the user. The first was discovered by researchers but subsequently weaponized by attackers. The second is a zero-day vulnerability.

Interesting vulnerabilities

This section highlights the most noteworthy vulnerabilities that were publicly disclosed in Q3 2025 and have a publicly available description.

ToolShell (CVE-2025-49704 and CVE-2025-49706, CVE-2025-53770 and CVE-2025-53771): insecure deserialization and an authentication bypass

ToolShell refers to a set of vulnerabilities in Microsoft SharePoint that allow attackers to bypass authentication and gain full control over the server.

• CVE-2025-49704 involves insecure deserialization of untrusted data, enabling attackers to execute malicious code on a vulnerable server.
• CVE-2025-49706 allows access to the server by bypassing authentication.
• CVE-2025-53770 is a patch bypass for CVE-2025-49704.
• CVE-2025-53771 is a patch bypass for CVE-2025-49706.

These vulnerabilities form one of threat actors’ combinations of choice, as they allow for compromising accessible SharePoint servers with just a few requests. Importantly, they were all patched back in July, which further underscores the importance of promptly installing critical patches. A detailed description of the ToolShell vulnerabilities can be found in our blog.

CVE-2025-8088: a directory traversal vulnerability in WinRAR

CVE-2025-8088 is very similar to CVE-2025-6218, which we discussed in our previous report. In both cases, attackers use relative paths to trick WinRAR into extracting archive contents into system directories. This version of the vulnerability differs only in that the attacker exploits Alternate Data Streams (ADS) and can use environment variables in the extraction path.

CVE-2025-41244: a privilege escalation vulnerability in VMware Aria Operations and VMware Tools

Details about this vulnerability were presented by researchers who claim it was used in real-world attacks in 2024.

At the core of the vulnerability lies the fact that an attacker can substitute the command used to launch the Service Discovery component of the VMware Aria tooling or the VMware Tools utility suite. This leads to the unprivileged attacker gaining unlimited privileges on the virtual machine. The vulnerability stems from an incorrect regular expression within the get-versions.sh script in the Service Discovery component, which is responsible for identifying the service version and runs every time a new command is passed.

Conclusion and advice

The number of recorded vulnerabilities continued to rise in Q3 2025, with some being almost immediately weaponized by attackers. The trend is likely to continue in the future.

The most common exploits for Windows are primarily used for initial system access. Furthermore, it is at this stage that APT groups are actively exploiting new vulnerabilities. To hinder attackers’ access to infrastructure, organizations should regularly audit systems for vulnerabilities and apply patches in a timely manner. These measures can be simplified and automated with Kaspersky Systems Management. Kaspersky Symphony can provide comprehensive and flexible protection against cyberattacks of any complexity.

securelist.com/vulnerabilities…

Shai Hulud 2.0, now with a wiper flavor

In September, a new breed of malware distributed via compromised Node Package Manager (npm) packages made headlines. It was dubbed “Shai-Hulud”, and we published an in-depth analysis of it in another post. Recently, a new version was discovered.

Shai Hulud 2.0 is a type of two-stage worm-like malware that spreads by compromising npm tokens to republish trusted packages with a malicious payload. More than 800 npm packages have been infected by this version of the worm.

According to our telemetry, the victims of this campaign include individuals and organizations worldwide, with most infections observed in Russia, India, Vietnam, Brazil, China, Türkiye, and France.

Technical analysis

When a developer installs an infected npm package, the setup_bun.js script runs during the preinstall stage, as specified in the modified package.json file.

Bootstrap script

The initial-stage script setup_bun.js is left intentionally unobfuscated and well documented to masquerade as a harmless tool for installing the legitimate Bun JavaScript runtime. It checks common installation paths for Bun and, if the runtime is missing, installs it from an official source in a platform-specific manner. This seemingly routine behavior conceals its true purpose: preparing the execution environment for later stages of the malware.

The installed Bun runtime then executes the second-stage payload, bun_environment.js, a 10MB malware script obfuscated with an obfuscate.io-like tool. This script is responsible for the main malicious activity.

Stealing credentials

Shai Hulud 2.0 is built to harvest secrets from various environments. Upon execution, it immediately searches several sources for sensitive data, such as:

• GitHub secrets: the malware searches environment variables and the GitHub CLI configuration for values starting with ghp_ or gho_. It also creates a malicious workflow yml in victim repositories, which is then used to obtain GitHub Actions secrets.
• Cloud credentials: the malware searches for cloud credentials across AWS, Azure, and Google Cloud by querying cloud instance metadata services and using official SDKs to enumerate credentials from environment variables and local configuration files.
• Local files: it downloads and runs the TruffleHog tool to aggressively scan the entire filesystem for credentials.

Then all the exfiltrated data is sent through the established communication channel, which we describe in more detail in the next section.

Data exfiltration through GitHub

To exfiltrate the stolen data, the malware sets up a communication channel via a public GitHub repository. For this purpose, it uses the victim’s GitHub access token if found in environment variables and the GitHub CLI configuration.

After that, the malware creates a repository with a randomly generated 18-character name and a marker in its description. This repository then serves as a data storage to which all stolen credentials and system information are uploaded.

If the token is not found, the script attempts to obtain a previously stolen token from another victim by searching through GitHub repositories for those containing the text, “Sha1-Hulud: The Second Coming.” in the description.

Worm spreading across packages

For subsequent self-replication via embedding into npm packages, the script scans .npmrc configuration files in the home directory and the current directory in an attempt to find an npm registry authorization token.

If this is successful, it validates the token by sending a probe request to the npm /-/whoami API endpoint, after which the script retrieves a list of up to 100 packages maintained by the victim.

For each package, it injects the malicious files setup_bun.js and bun_environment.js via bundleAssets and updates the package configuration by setting setup_bun.js as a pre-installation script and incrementing the package version. The modified package is then published to the npm registry.

Destructive responses to failure

If the malware fails to obtain a valid npm token and is also unable to get a valid GitHub token, making data exfiltration impossible, it triggers a destructive payload that wipes user files, primarily those in the home directory.

Our solutions detect the family described here as HEUR:Worm.Script.Shulud.gen.

Since September of this year, Kaspersky has blocked over 1700 Shai Hulud 2.0 attacks on user machines. Of these, 18.5% affected users in Russia, 10.7% occurred in India, and 9.7% in Brazil.

TOP 10 countries and territories affected by Shai Hulud 2.0 attacks (download)
We continue tracking this malicious activity and provide up-to-date information to our customers via the Kaspersky Open Source Software Threats Data Feed. The feed includes all packages affected by Shai-Hulud, as well as information on other open-source components that exhibit malicious behaviour, contain backdoors, or include undeclared capabilities.

securelist.com/shai-hulud-2-0/…

Building a Microscope without Lenses

It’s relatively easy to understand how optical microscopes work at low magnifications: one lens magnifies an image, the next magnifies the already-magnified image, and so on until it reaches the eye or sensor. At high magnifications, however, that model starts to fail when the feature size of the specimen nears the optical system’s diffraction limit. In a recent video, [xoreaxeax] built a simple microscope, then designed another microscope to overcome the diffraction limit without lenses or mirrors (the video is in German, but with automatic English subtitles).

The first part of the video goes over how lenses work and how they can be combined to magnify images. The first microscope was made out of camera lenses, and could resolve onion cells. The shorter the focal length of the objective lens, the stronger the magnification is, and a spherical lens gives the shortest focal length. [xoreaxeax] therefore made one by melting a bit of soda-lime glass with a torch. The picture it gave was indistinct, but highly magnified.
A cross section of the diffraction pattern of a laser diode shining through a pinhole, built up from images at different focal distances.
Besides the dodgy lens quality given by melting a shard of glass, at such high magnification some of the indistinctness was caused by the specimen acting as a diffraction grating and directing some light away from the objective lens. [xoreaxeax] visualized this by taking a series of pictures of a laser shining through a pinhole at different focal lengths, thus getting cross sections of the light field emanating from the pinhole. When repeating the procedure with a section of onion skin, it became apparent that diffraction was strongly scattering the light, which meant that some light was being diffracted out of the lens’s field of view, causing detail to be lost.

To recover the lost details, [xoreaxeax] eliminated the lenses and simply captured the interference pattern produced by passing light through the sample, then wrote a ptychography algorithm to reconstruct the original structure from the interference pattern. This required many images of the subject under different lighting conditions, which a rotating illumination stage provided. The algorithm was eventually able to recover a sort of image of the onion cells, but it was less than distinct. The fact that the lens-free setup was able to produce any image at all is nonetheless impressive.

To see another approach to ptychography, check out [Ben Krasnow’s] approach to increasing microscope resolution. With an electron microscope, ptychography can even image individual atoms.

youtube.com/embed/lhJhRuQsiMU?…

hackaday.com/2025/12/04/buildi…

Preventing a Mess with the Weller WDC Solder Containment Pocket

Resetting the paraffin trap. (Credit: MisterHW)

Have you ever tipped all the stray bits of solder out of your tip cleaner by mistake? [MisterHW] is here with a bit pf paraffin wax to save the day.

Hand soldering can be a messy business, especially when you wipe the soldering iron tip on those common brass wool bundles that have largely come to replace moist sponges. The Weller Dry Cleaner (WDC) is one of such holders for brass wool, but the large tray in front of the opening with the brass wool has confused many as to its exact purposes. In short, it’s there so that you can slap the iron against the side to flick contaminants and excess solder off the tip.

Along with catching some of the bits of mostly solder that fly off during cleaning in the brass wool section, quite a lot of debris can be collected this way. Yet as many can attest to, it’s quite easy to flip over brass wool holders and have these bits go flying everywhere.

The trap in action. (Credit: MisterHW)

That’s where [MisterHW]’s pit of particulate holding comes into play, using folded sheet metal and some wax (e.g. paraffin) to create a trap that serves to catch any debris that enters it and smother it in the wax. To reset the trap, simply heat it up with e.g. the iron and you’ll regain a nice fresh surface to capture the next batch of crud.

As the wax is cold when in use, even if you were to tip the holder over, it should not go careening all over your ESD-safe work surface and any parts on it, and the wax can be filtered if needed to remove the particulates. When using leaded solder alloys, this setup also helps to prevent lead-contamination of the area and generally eases clean-up as bumping or tipping a soldering iron stand no longer means weeks, months or years of accumulations scooting off everywhere.

hackaday.com/2025/12/04/preven…

Build A Pocket-Sized Wi-Fi Analyzer

Wi-Fi! It’s everywhere, and yet you can’t really see it, by virtue of the technology relying on the transmission of electromagnetic waves outside the visual spectrum. Never mind, though, because you can always build yourself a Wi-Fi analyzer to get some insight into your radio surroundings, as demonstrated by [moononournation].

The core of the build is the ESP32-C5. The popular microcontroller is well-equipped for this task with its onboard dual-band Wi-Fi hardware, even if the stock antenna on most devboards is a little underwhelming. [moononournation] has paired this with a small rectangular LCD screen running the ILI9341 controller. The graphical interface is drawn with the aid of the Arduino_GFX library. It shows a graph of access points detected in the immediate area, as well as which channels they’re using and their apparent signal strength.

If you’re just trying to get a basic read on the Wi-Fi environment in a given locale, a tool like this can prove pretty useful. If your desires are more advanced, you might leap up to tinkering in the world of software defined radio. Video after the break.

youtube.com/embed/t9VukUucfEA?…

hackaday.com/2025/12/04/build-…

Raising a GM EV1 from the Dead

Probably the biggest story in the world of old cars over the past couple of weeks has been the surfacing of a GM EV1 electric car for sale from an auto salvage yard. This was the famous electric car produced in small numbers by the automaker in the 1990s, then only made available for lease before being recalled. The vast majority were controversially crushed with a few units being donated to museums and universities in a non-functional state.

Finding an old car isn’t really a Hackaday story in itself, but now it’s landed in [The Questionable Garage]. It’s being subjected to a teardown as a prelude to its restoration, offering a unique opportunity to look at the state of the art in 1990s electric automotive technology.

The special thing about this car is that by a murky chain of events it ended up as an abandoned vehicle. GM’s legal net covers the rest of the surviving cars, but buying this car as an abandoned vehicle gives the owner legal title over it and frees him from their restrictions. The video is long, but well worth a watch as we see pieces of automotive tech never before shown in public. As we understand it the intention is to bring it to life using parts from GM’s contemporary S10 electric pickup truck — itself a rare vehicle — so we learn quite a bit about those machines too.

Along the way they find an EV1 charger hiding among a stock of pickup chargers, take us through the vehicle electronics, and find some galvanic corrosion in the car’s structure due to water ingress. The windscreen has a huge hole, which they cover with a plastic wrap in order to 3D scan so they can create a replacement.

This car will undoubtedly become a star of the automotive show circuit due to its unique status, so there will be plenty of chances to look at it from the outside in future. Seeing it this close up in parts though is as unique an opportunity as the car itself. We’ve certainly seen far more crusty conventional cars restored to the road, but without the challenge of zero parts availability and no donor cars. Keep an eye out as they bring it closer to the road.

youtube.com/embed/Xn2MJqPOmSI?…

hackaday.com/2025/12/04/raisin…

Keebin’ with Kristina: the One with the Pretty Protoypes

Some like it flat, and there’s nothing wrong with that. What you are looking at is the first prototype of Atlas by [AsicResistor], which is still a work in progress. [AsicResistor] found the Totem to be a bit cramped, so naturally, it was time to design a keyboard from the ground up.

Image by [AsicResistor] via redditThe case is wood, if that’s not immediately obvious. This fact is easily detectable in the lovely render, but I didn’t want to show you that here.

This travel-friendly keyboard has 34 keys and dual trackpoints, one on each half. If the nubbin isn’t your thing, there’s an optional, oversized trackball, which I would totally opt for. But I would need an 8-ball instead, simply because that’s my number.

A build video is coming at some point, so watch the GitHub, I suppose, or haunt r/ergomechkeyboards.

Flat as it may be, I would totally at least give this keyboard a fair chance. There’s just something about those keycaps, for starters. (Isn’t it always the keycaps with me?) For another, I dig the pinky stagger. I’m not sure that two on each side is nearly enough thumb keys for me, however.

The Foot Roller Scroller Is Not a Crock

Sitting at a keyboard all day isn’t great for anyone, but adding in some leg and/or foot movement throughout the day is a good step in the right direction. Don’t want to just ride a bike all day under your desk? Add something useful like foot pedals.

Image by [a__b] via redditThe Kinesis Savant pedals are a set of three foot switches that are great for macros, or just pressing Shift all the time. Trust me. But [a__b] wasn’t satisfied with mere clicking, and converted their old pedals into a Bluetooth 5.0 keyboard with a big, fat scroll wheel.

Brain-wise, it has a wireless macro keyboard and an encoder from Ali, but [a__b] plans to upgrade it to a nice!nano in order to integrate it with a Glove80.

Although shown with a NautiCroc, [a__b] says the wheel works well with socks on, or bare feet. (Take it from me, the footfeel of pedals is much more accurate with no shoes on.) Interestingly, much of the inspiration was taken from sewing machines.

As of this writing, [a__b] has mapped all keys using BetterTouchTool for app-specific action, and is out there happily scrolling through pages, controlling the volume, and navigating YouTube videos. Links to CAD and STLs are coming soon.

The Centerfold: LEGO My Ergo

Image by [Flat-Razzmatazz-672] via redditThis here is a Silakka 54 split keyboard with a custom LEGO case available on Thingiverse. [Flat-Razzmatazz-672] says that it isn’t perfect (could have fooled me!), but it did take a hell of a lot of work to get everything to fit right.

As you might imagine and [Flat-Razzmatazz-672] can attest, 3D printing LEGO is weird. These studs are evidently >= 5% bigger than standard studs, because if you print it as is, the LEGO won’t fit right.

Via reddit

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: the North’s was a Striking Down-striker

Although lovely to gaze upon, the North’s typewriter was a doomed attempt at creating a visible typewriter. That is, one where a person could actually see what they were typing as they typed it.

Image via The Antikey Chop

North’s achieved this feat through the use of vertical typebars arranged in a semi-circle that would strike down onto the platen from behind, making it a rear down-striker.

In order for this arrangement to work, the paper had to be loaded, coiled into one basket, and it was fed into another, hidden basket while typing. This actually allowed the typist to view two lines at a time, although the unfortunate ribbon placement obstructed the immediate character.

The story of North’s typewriter is a fairly interesting one. For starters, it was named after Colonel John Thomas North, who wasn’t really a colonel at all. In fact, North had very little to do with the typewriter beyond bankrolling it and providing a name.

North started the company by purchasing the failed English Typewriter Company, which brought along with it a couple of inventors, who would bring the North’s to fruition. The machine was made from 1892 to 1905. In 1896, North died suddenly while eating raw oysters, though the cause of death was likely heart failure. As he was a wealthy, unpopular capitalist, conspiracy theories abounded surrounding his departure.

Finally, MoErgo Released a New Travel Keyboard, the Go60

It’s true, the MoErgo Glove80 is great for travel. And admittedly, it’s kind of big, both in and out of its (very nice) custom zipper case. But you asked, and MoErgo listened. And soon enough, there will be a new option for even sleeker travel, the Go60. Check out the full spec sheet.

Image by MoErgo via reddit

You may have noticed that it’s much flatter than the Glove80, which mimics the key wells of a Kinesis Advantage quite nicely.

Don’t worry, there are removable palm rests that are a lot like the Glove80 rests. And it doesn’t have to be flat –there is 6-step magnetic tenting (6.2° – 17°), which snaps on or off in seconds. The palm rests have 7-step tenting (6°-21.5°), and they come right off, too.

Let’s talk about those trackpads. They are Cirque 40 mm Glidepoints. They aren’t multi-touch, but they are fully integrated into ZMK and thus are fully programmable, so do what you will.

Are you as concerned about battery life as I am? It’s okay — the Go60 goes fully wired with a TRRS cable between the halves, and a USB connection from the left half to the host. Although ZMK did not support this feature, MoErgo sponsored the founder, [Pete], to develop it, and now it’s just a feature of ZMK. You’re welcome.

Interested? The Go60 will be on Kickstarter first, and then it’ll be available on the MoErgo site. Pricing hasn’t quite been worked out yet, so stay tuned on that front.

Via reddit

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2025/12/04/keebin…

An Introduction to Analog Filtering

One of the major difficulties in studying electricity, especially when compared to many other physical phenomena, is that it cannot be observed directly by human senses. We can manipulate it to perform various tasks and see its effects indirectly, like the ionized channels formed during lightning strikes or the resistive heating of objects, but its underlying behavior is largely hidden from view. Even mathematical descriptions can quickly become complex and counter-intuitive, obscured behind layers of math and theory. Still, [lcamtuf] has made some strides in demystifying aspects of electricity in this introduction to analog filters.

The discussion on analog filters looks at a few straightforward examples first. Starting with an resistor-capacitor (RC) filter, [lcamtuf] explains it by breaking its behavior down into steps of how the circuit behaves over time. Starting with a DC source and no load, and then removing the resistor to show just the behavior of a capacitor, shows the basics of this circuit from various perspectives. From there it moves into how it behaves when exposed to a sine wave instead of a DC source, which is key to understanding its behavior in arbitrary analog environments such as those involved in audio applications.

There’s some math underlying all of these explanations, of course, but it’s not overwhelming like a third-year electrical engineering course might be. For anyone looking to get into signal processing or even just building a really nice set of speakers for their home theater, this is an excellent primer. We’ve seen some other demonstrations of filtering data as well, like this one which demonstrates basic filtering using a microcontroller.

hackaday.com/2025/12/04/an-int…

Ore Formation: A Surface Level Look

The past few months, we’ve been giving you a quick rundown of the various ways ores form underground; now the time has come to bring that surface-level understanding to surface-level processes.

Strictly speaking, we’ve already seen one: sulfide melt deposits are associated with flood basalts and meteorite impacts, which absolutely are happening on-surface. They’re totally an igneous process, though, and so were presented in the article on magmatic ore processes.

For the most part, you can think of the various hydrothermal ore formation processes as being metamorphic in nature. That is, the fluids are causing alteration to existing rock formations; this is especially true of skarns.

There’s a third leg to that rock tripod, though: igneous, metamorphic, and sedimentary. Are there sedimentary rocks that happen to be ores? You betcha! In fact, one sedimentary process holds the most valuable ores on Earth– and as usual, it’s not likely to be restricted to this planet alone.

Placer? I hardly know ‘er!

We’re talking about placer deposits, which means we’re talking about gold. In dollar value, gold’s great expense means that these deposits are amongst the most valuable on Earth– and nearly half of the world’s gold has come out of just one of them. Gold isn’t the only mineral that can be concentrated in placer deposits, to be clear; it’s just the one everyone cares about these days, because, well, have you seen the spot price lately?

Oof. Data from Goldprice.org

Since we’re talking about sediments, as you might guess, this is a secondary process: the gold has to already be emplaced by one of the hydrothermal ore processes. Then the usual erosion happens: wind and water breaks down the rock, and gold gets swept downhill along with all the other little bits of rock on their way to becoming sediments. Gold, however, is much denser than silicate rocks. That’s the key here: any denser material is naturally going to be sorted out in a flow of grains. To be specific, empirical data shows that anything denser than 2.87 g/cm³ can be concentrated in a placer deposit. That would qualify a lot of the sulfide minerals the hydrothermal processes like to throw up, but unfortunately sulfides tend to be both too soft and too chemically unstable to hold up to the weathering to form placer deposits, at least on Earth since cyanobacteria polluted the atmosphere with O₂.

Dry? Check. Windswept? Check. Aeolian placer deposits? Maybe!
Image: “MSL Sunset Dunes Mosaic“, NASA/JPL and Olivier de Goursac

One form of erosion is from wind, which tends to be important in dry regions – particularly the deserts of Australia and the Western USA. Wind erosion can also create placer deposits, which get called “aeolian placers”. The mechanism is fairly straightforward: lighter grains of sand are going to blow further, concentrating the heavy stuff on one side of a dune or closer to the original source rock. Given the annual global dust storms, aeolian placers may come up quite often on Mars, but the thin atmosphere might make this process less likely than you’d think.

We’ve also seen rockslides on Mars, and material moving in this matter is subject to the same physics. In a flow of grains, you’re going to have buoyancy and the heavy stuff is going to fall to the bottom and stop sooner. If the lighter material is further carried away by wind or water, we call the resulting pile of useful, heavy rock an effluvial placer deposit.

Still, on this planet at least it’s usually water doing the moving of sediments, and it’s water that’s doing the sortition. Heavy grains fall out of suspension in water more easily. This tends to happen wherever flow is disrupted: at the base of a waterfall, at a river bend, or where a river empties into a lake or the ocean. Any old Klondike or California prospector would know that that’s where you’re going to go panning for gold, but you probably wouldn’t catch a 49er calling it an “Alluvial placer deposit”. Panning itself is using the exact same physics– that’s why it, along with the fancy modern sluices people use with powered pumps, are called “placer mining”. Mars’s dry river beds may be replete with alluvial placers; so might the deltas on Titan, though on a world where water is part of the bedrock, the cryo-mineralogy would be very unfamiliar to Earthly geologists.

Back here on earth, wave action, with the repeated reversal of flow, is great at sorting grains. There aren’t any gold deposits on beaches these days because wherever they’ve been found, they were mined out very quickly. But there are many beaches where black magnetite sand has been concentrated due to its higher density to quartz. If your beach does not have magnetite, look at the grain size: even quartz grains can often get sorted by size on wavy beaches. Apparently this idea came after scientists lost their fascination with latin, as this type of deposit is referred to simply as a “beach placer” rather than a “littoral placer”.

Kondike, eat your heart out: Fifty thousand tonnes of this stuff has come out of the mines of Witwatersrand.

While we in North America might think of the Klondike or California gold rushes– both of which were sparked by placer deposits– the largest gold field in the world was actually in South Africa: the Witwatersrand Basin. Said basin is actually an ancient lake bed, Archean in origin– about three billion years old. For 260 million years or thereabouts, sediments accumulated in this lake, slowly filling it up. Those sediments were being washed out from nearby mountains that housed orogenic gold deposits. The lake bed has served to concentrate that ancient gold even further, and it’s produced a substantial fraction of the gold metal ever extracted– depending on the source, you’ll see numbers from as high as 50% to as low as 22%. Either way, that’s a lot of gold.

Witwatersrand is a bit of an anomaly; most placer deposits are much smaller than that. Indeed, that’s in part why you’ll find placer deposits only mined for truly valuable minerals like gold and gems, particularly diamonds. Sure, the process can concentrate magnetite, but it’s not usually worth the effort of stripping a beach for iron-rich sand.

The most common non-precious exception is uraninite, UO₂, a uranium ore found in Archean-age placer deposits. As you might imagine, the high proportion of heavy uranium makes it a dense enough mineral to form placer deposits. I must specify Archean-age, however, because an oxygen atmosphere tends to further oxidize the uraninite into more water-soluble forms, and it gets washed to sea instead of forming deposits. On Earth, it seems there are no uraninite placers dated to after the Great Oxygenation; you wouldn’t have that problem on Mars, and the dry river beds of the red planet may well have pitchblende reserves enough for a Martian rendition of “Uranium Fever”.

If you were the Martian, would you rather find uranium or gold in those river bends?
Image: Nandes Valles valley system, ESA/DLR/FU Berlin

While uranium is produced at Witwatersrand as a byproduct of the gold mines, uranium ore can be deposited exclusively of gold. You can see that with the alluvial deposits in Canada, around Elliot Lake in Ontario, which produced millions of pounds of the uranium without a single fleck of gold, thanks to a bend in a three-billion-year-old riverbed. From a dollar-value perspective, a gold mine might be worth more, but the uranium probably did more for civilization.

Lateritization, or Why Martians Can’t Have Pop Cans

Speaking of useful for civilization, there’s another type of process acting on the surface to give us ores of less noble metals than gold. It is not mechanical, but chemical, and given that it requires hot, humid conditions with lots of water, it’s almost certainly restricted to Sol 3. As the subtitle gives it away, this process is called “lateritization” and is responsible for the only economical aluminum deposits out there, along with a significant amount of the world’s nickel reserves.

The process is fairly simple: in the hot tropics, ample rainfall will slowly leech any mobile ions out of clay soils. Ions like sodium and potassium are first to go, followed by calcium and magnesium but if the material is left on the surface long enough, and the climate stays hot and wet, chemical weathering will eventually strip away even the silica. The resulting “Laterite” rock (or clay) is rich in iron, aluminum, and sometimes nickel and/or copper. Nickel laterites are particularly prevalent in New Caledonia, where they form the basis of that island’s mining industry. Aluminum-rich laterites are called bauxite, and are the source of all Earth’s aluminum, found worldwide. More ancient laterites are likely to be found in solid form, compressed over time into sedimentary rock, but recent deposits may still have the consistency of dirt. For obvious reasons, those recent deposits tend to be preferred as cheaper to mine.

That red dirt is actually aluminum ore, from a 1980s-era operation on the island of Jamaica. Image from “Bauxite” by Paul Morris, CC BY-SA 2.0

When we talk about a “warm and wet” period in Martian history, we’re talking about the existence of liquid water on the surface of the planet– we are notably not talking about tropical conditions. Mars was likely never the kind of place you’d see lateritization, so it’s highly unlikely we will ever find bauxite on the surface of Mars. Thus future Martians will have to make due without Aluminum pop cans. Of course, iron is available in abundance there and weighs about the same as the equivalent volume of aluminum does here on Earth, so they’ll probably do just fine without it.

Most nickel has historically come from sulfide melt deposits rather than lateralization, even on Earth, so the Martians should be able to make their steel stainless. Given the ambitions some have for a certain stainless-steel rocket, that’s perhaps comforting to hear.

It’s important to emphasize, as this series comes to a close, that I’m only providing a very surface-level understanding of these surface level processes– and, indeed, of all the ore formation processes we’ve discussed in these posts. Entire monographs could be, and indeed have been written about each one. That shouldn’t be surprising, considering the depths of knowledge modern science generates. You could do an entire doctorate studying just one aspect of one of the processes we’ve talked about in this series; people have in the past, and will continue to do so for the foreseeable future. So if you’ve found these articles interesting, and are sad to see the series end– don’t worry! There’s a lot left to learn; you just have to go after it yourself.

Plus, I’m not going anywhere. At some point there are going to be more rock-related words published on this site. If you haven’t seen it before, check out Hackaday’s long-running Mining and Refining series. It’s not focused on the ores– more on what we humans do with them–but if you’ve read this far, it’s likely to appeal to you as well.

hackaday.com/2025/12/04/ore-fo…

Leroy Merlin subisce un attacco informatico: dati personali di clienti francesi compromessi

Un’episodio di cyberattacco ha interessato Leroy Merlin, coinvolgendo i dati personali di numerosi clienti in Francia, con un impatto su centinaia di migliaia di individui.

Leroy Merlin assicura che “sono state attivate misure di sicurezza supplementari” con una vigilanza rafforzata, “la protezione dei dati è una priorità assoluta per il marchio”, aggiunge la direzione, precisando che anche la CNIL (Commissione nazionale per l’informatica e le libertà) è stata informata della situazione.

I dati rubati sono relativi soprattutto a informazioni di contatto, quali date di nascita, numeri di telefono, indirizzi di posta elettronica, nomi, domicili e informazioni sul programma fedeltà.

Queste informazioni sono sufficienti a supportare campagne di phishing molto credibili, Frodi su misura e tecniche di ingegneria sociale che usano la reputazione di affidabilità di uno dei marchi più sicuri e popolari nel settore del bricolage e dei prodotti per la casa e il giardino.

L’azienda ha comunicato agli interessati la violazione riportando quanto segue: “Un attacco informatico ha recentemente preso di mira il nostro sistema informativo e alcuni dei vostri dati personali potrebbero essere trapelati all’esterno dell’azienda. Non appena l’incidente è stato rilevato, abbiamo adottato tutte le misure necessarie per impedire accessi non autorizzati e contenere la situazione. Le informazioni in questione sono i tuoi dati di contatto (nome, cognome, numero di telefono, indirizzo e-mail, indirizzo postale, data di nascita) e le informazioni relative al tuo programma fedeltà.”

Sembra che, per fortuna, le informazioni delicate come account, password e dati bancari siano state preservate. I clienti italiani sono stati risparmiati, poiché l’incidente ha coinvolto solo quelli francesi.

La CNIL ha segnalato nell’ultimo rapporto annuale che il numero di violazioni sta aumentando rapidamente nel Paese transalpino. In soli 12 mesi, più di un milione di persone sono state coinvolte e il numero di attacchi riusciti è raddoppiato, passando da 20 a 40.

L'articolo Leroy Merlin subisce un attacco informatico: dati personali di clienti francesi compromessi proviene da Red Hot Cyber.

Cavi sottomarini: sempre più infrastrutture strategiche per la connessione globale

I cavi sottomarini in fibra ottica stanno diventando uno degli elementi più strategici delle relazioni internazionali. Pur essendo spesso ignorati rispetto alle tecnologie più visibili, come l’intelligenza artificiale, rappresentano l’infrastruttura attraverso cui transita la quasi totalità dei dati globali. Con oltre 1,4 milioni di chilometri di reti posate sui fondali, costituiscono la struttura essenziale che sostiene comunicazioni civili, militari e finanziarie.

Le agenzie internazionali che monitorano il settore, tra cui l’ITU e l’Agenzia europea per la sicurezza informatica, confermano che un’interruzione di questi collegamenti avrebbe ripercussioni immediate su cloud, servizi digitali, mercati e logistica. Le capacità dei satelliti non sono in grado di eguagliare la quantità di dati che i cavi riescono a trasportare, rendendoli una componente insostituibile del sistema digitale mondiale.

Di fronte a questa centralità, Stati Uniti ed Europa stanno rafforzando la protezione delle loro infrastrutture sottomarine. Washington ha discusso limitazioni alla partecipazione di Paesi considerati rivali nei progetti di posa dei cavi che collegano gli USA, mentre Bruxelles sta sviluppando nuove misure per aumentare il monitoraggio marittimo e coordinare la sicurezza con la NATO. Nessuna di queste iniziative cita minacce specifiche, ma tutte evidenziano un crescente allarme.

La vulnerabilità delle reti è emersa con chiarezza tra il 2023 e il 2024, quando due episodi – uno nel Mar Rosso e uno nel Mar Baltico– hanno causato gravi rallentamenti nelle comunicazioni intercontinentali. Indagini e rapporti della NATO hanno sottolineato come le infrastrutture europee siano esposte sia a incidenti tecnici sia al rischio di sabotaggi, in particolare nei passaggi marittimi più sensibili.

Il controllo delle rotte dei cavi è diventato un terreno di scontro tra le grandi potenze. Secondo analisi del CSIS, la competizione tra Stati Uniti e Cina si concentra soprattutto nell’Indo-Pacifico, una zona attraverso cui passa una quota significativa del traffico globale. Il costo elevato della posa e della manutenzione rende questi progetti legati a investimenti nazionali e sostegni governativi, trasformandoli in strumenti di influenza strategica.

Tra i sistemi più estesi e rilevanti c’è la serie di cavi “Sea Me We”, che collega il Sud-est asiatico all’Europa attraverso il Medio Oriente. L’evoluzione di questi progetti, insieme alla crescita di cloud computing, e-commerce e servizi digitali, ha reso indispensabile ampliare e aggiornare le reti esistenti. La necessità di manutenzione costante aumenta però i rischi, soprattutto nelle aree geopoliticamente instabili.

Parallelamente, la Cina sta ampliando la propria presenza globale attraverso i cavi sottomarini, integrandoli nella sua “Via della Seta Digitale”. Studi universitari e documenti ufficiali indicano che Pechino sta finanziando nuovi collegamenti in Africa e Asia per costruire un’infrastruttura meno dipendente dai sistemi occidentali. Questo approccio è visto da Stati Uniti ed Europa come una spinta espansionistica che potrebbe influenzare gli standard e il flusso dei dati.

Infine, anche le economie emergenti e i Paesi in via di sviluppo stanno investendo per accedere ai cavi sottomarini, considerandoli una condizione necessaria per integrarsi nell’economia digitale globale. In assenza di standard condivisi per la protezione da sabotaggi e minacce, la sicurezza resta un tema aperto.

In un mondo sempre più dipendente dai flussi di dati, il controllo e la protezione dei cavi sottomarini stanno diventando un elemento decisivo negli equilibri strategici internazionali.

L'articolo Cavi sottomarini: sempre più infrastrutture strategiche per la connessione globale proviene da Red Hot Cyber.

Le SIM anonime in Russia sono ancora possibili anche dopo l’introduzione di nuove leggi

Gli sforzi dei legislatori e delle forze dell’ordine per contrastare il riciclaggio di denaro e le procedure più complesse di verifica delle schede SIM non hanno indebolito in modo significativo la posizione dei commercianti di numeri anonimi. Questa conclusione emerge da uno studio sull’offerta nei mercati dell’elettronica di Mosca.

Nonostante l’introduzione di nuove procedure di registrazione delle schede SIM nella Federazione Russa, ottenere un numero anonimo rimane ancora semplice, inclusa la possibilità di ripristinarlo in un secondo momento. Per aggirare questi requisiti, i venditori utilizzano schede SIM aziendali registrate presso società fittizie.

Come ha scoperto Izvestia, una scheda SIM di questo tipo può essere acquistata senza particolari ostacoli.

Gli annunci di vendita si trovano solitamente sui social media o anche nei negozi stessi e nei loro siti internet. Anche altri prodotti “particolari”, come le telecamere compromesse, vengono vendute in questi market. Il prezzo per un numero “anonimo” parte dai 4.000 rubli, ovvero circa 45 euro.

Secondo le fonti della pubblicazione, i principali acquirenti di tali schede SIM sono i mercati criminali : “Il flusso incontrollato di numeri sfruttati per attività criminali proviene da cittadini stranieri. Per loro, il mercato nero non è affatto un mercato, ma una pratica comune.

I commercianti non hanno paura di vendere carte a sconosciuti e spesso operano tramite intermediari fidati.” Come ha spiegato Viktor Ievlev, responsabile della sicurezza informatica del Garda Group of Companies, le schede SIM sono intestate a società fittizie che le acquistano dagli operatori a tariffe aziendali”.

A volte vengono utilizzate connessioni tra dipendenti degli operatori o negozi di telefonia mobile. Sono possibili anche opzioni più discutibili, come registrarle a nome di persone decedute finite in database trapelati.

Tuttavia, Ievlev avverte che l’acquisto di tali carte è associato a gravi rischi, dai problemi con le forze dell’ordine e sono da ritenersi “pratiche illegali”.

L'articolo Le SIM anonime in Russia sono ancora possibili anche dopo l’introduzione di nuove leggi proviene da Red Hot Cyber.

Era ora! Microsoft corregge vulnerabilità di Windows sfruttata da 8 anni

Microsoft ha silenziosamente corretto una vulnerabilità di Windows di vecchia data, sfruttata in attacchi reali per diversi anni. L’aggiornamento è stato rilasciato nel Patch Tuesday di novembre , nonostante l’azienda fosse stata in precedenza lenta nell’affrontare il problema. Questa informazione è stata rivelata da 0patch, che ha indicato che la falla era stata sfruttata attivamente da vari gruppi dal 2017.

Il problema, denominato CVE-2025-9491, riguarda la gestione da parte di Windows delle scorciatoie LNK. Un errore dell’interfaccia utente faceva sì che parte del comando incorporato nella scorciatoia rimanesse nascosta durante la visualizzazione delle sue proprietà. Ciò consentiva l’esecuzione di codice dannoso come file innocuo. Gli esperti hanno osservato che le scorciatoie erano progettate per ingannare gli utenti, utilizzando caratteri invisibili e mascherandosi da documenti.

I primi dettagli emersero nella primavera del 2025, quando i ricercatori segnalarono che questo meccanismo veniva utilizzato da undici gruppi sponsorizzati da stati provenienti da Cina, Iran e Corea del Nord per attività di spionaggio, furto di dati e attacchi finanziari.
Paesi di origine APT che hanno sfruttato ZDI-CAN-25373 (Fonte Trendmicro)
All’epoca, la falla era nota anche come ZDI-CAN-25373. Microsoft dichiarò all’epoca che il problema non richiedeva un’attenzione immediata, citando il blocco del formato LNK in molte applicazioni Office e gli avvisi visualizzati quando si tentava di aprire tali file.

HarfangLab ha successivamente segnalato che la vulnerabilità era stata sfruttata dal gruppo XDSpy per distribuire il malware XDigo in attacchi ai governi dell’Europa orientale. Nell’autunno del 2025, Arctic Wolf ha rilevato un’altra ondata di abusi, questa volta rivolta a gruppi online cinesi che prendevano di mira istituzioni diplomatiche e governative europee e utilizzavano il malware PlugX. Microsoft ha successivamente rilasciato un chiarimento, ribadendo di non considerare il problema critico a causa della necessità di intervento da parte dell’utente e della presenza di avvisi di sistema.

Secondo 0patch, il problema andava oltre il semplice nascondere la coda del comando. Il formato di collegamento consente stringhe lunghe fino a decine di migliaia di caratteri, ma la finestra delle proprietà mostrava solo i primi 260 caratteri, troncando il resto senza preavviso. Ciò ha permesso di nascondere una parte significativa del comando eseguito. Una correzione di terze parti di 0patch ha risolto il problema in modo diverso : aggiunge un avviso quando si tenta di aprire un collegamento con argomenti più lunghi di 260 caratteri.

Un aggiornamento Microsoft ha risolto il problema espandendo il campo Destinazione in modo che venga visualizzato l’intero comando, anche se supera il limite di lunghezza precedente.

Un rappresentante dell’azienda, contattato, non ha confermato direttamente il rilascio dell’aggiornamento, ma ha fatto riferimento alle raccomandazioni generali sulla sicurezza e ha assicurato che l’azienda continua a migliorare l’interfaccia e i meccanismi di sicurezza.

L'articolo Era ora! Microsoft corregge vulnerabilità di Windows sfruttata da 8 anni proviene da Red Hot Cyber.

CISA: Guida per l’integrazione sicura dell’AI nella tecnologia operativa (OT)

Dalla pubblicazione pubblica di ChatGPT nel novembre 2022, l’intelligenza artificiale (AI) è stata integrata in molti aspetti della società umana. Per i proprietari e gli operatori delle infrastrutture critiche, l’AI può essere utilizzata per aumentare l’efficienza e la produttività, migliorare il processo decisionale, ridurre i costi e migliorare l’esperienza dei clienti.

Nonostante i numerosi vantaggi, integrare l’AI negli ambienti di tecnologia operativa (OT) che gestiscono servizi pubblici essenziali introduce anche rischi significativi — come la deriva nel tempo dei modelli di processo OT o l’elusione dei processi di sicurezza — che i proprietari e gli operatori devono gestire con attenzione per garantire la disponibilità e l’affidabilità delle infrastrutture critiche.

L’Australian Signals Directorate, attraverso l’Australian Cyber Security Centre, insieme alla CISA e a partner internazionali e federali, ha reso pubblica una guida aggiornata in materia di sicurezza informatica, dal titolo: Principi per l’integrazione sicura dell’intelligenza artificiale nella tecnologia operativa.

L’obiettivo di questa guida è supportare gli operatori e i proprietari di infrastrutture critiche nell’integrazione sicura dell’intelligenza artificiale (IA) nei sistemi tecnologici operativi (OT), contemperando i benefici dell’IA, quali aumento dell’efficienza, ottimizzazione delle decisioni e riduzione dei costi, con le minacce specifiche che essa comporta per la sicurezza, la protezione e l’affidabilità degli ambienti OT.

Le complesse sfide in termini di sicurezza costituiscono il focus principale del documento, che prende in considerazione l’apprendimento automatico (ML), i modelli linguistici di grandi dimensioni (LLM) e gli agenti di intelligenza artificiale.

Tuttavia, le considerazioni esposte sono ugualmente pertinenti per i sistemi che si basano sulla modellazione statistica classica e sull’automazione logica.

Principi chiave per l’integrazione sicura dell’IA:

1. Comprendere l’intelligenza artificiale: formare il personale sui rischi, gli impatti e i cicli di sviluppo sicuri dell’intelligenza artificiale.
2. Valutare l’utilizzo dell’intelligenza artificiale in OT: valutare i casi aziendali, gestire i rischi per la sicurezza dei dati OT e affrontare le sfide di integrazione immediate e a lungo termine.
3. Stabilire la governance dell’IA: implementare quadri di governance, testare continuamente i modelli di IA e garantire la conformità normativa.
4. Integra sicurezza e protezione: mantieni la supervisione, garantisci la trasparenza e integra l’intelligenza artificiale nei piani di risposta agli incidenti.

I proprietari e gli operatori di infrastrutture critiche sono incoraggiati ad adottare questi principi per massimizzare i benefici dell’IA e mitigare al contempo i rischi. Per ulteriori dettagli, consultare la guida completa.

L'articolo CISA: Guida per l’integrazione sicura dell’AI nella tecnologia operativa (OT) proviene da Red Hot Cyber.

Una richiesta e il server è tuo! Il bug critico di React Server ha bisogno di patch immediate

Sviluppatori e amministratori di tutto il mondo stanno aggiornando urgentemente i propri server a seguito della scoperta di una vulnerabilità critica in React Server, che consente agli aggressori di eseguire codice non autenticato da remoto con una singola richiesta HTTP. L’exploit è ora disponibile al pubblico e il problema ha ricevuto il punteggio di gravità più alto, 10 su 10, sul CVSS.

React viene utilizzato attivamente sui server per accelerare il rendering di JavaScript e dei contenuti: invece di ricaricare completamente la pagina a ogni richiesta, ridisegna solo le parti modificate dell’interfaccia. Ciò consente un notevole risparmio di risorse e migliora le prestazioni dell’applicazione. Si stima che React sia utilizzato da circa il 6% di tutti i siti web e da circa il 39% degli ambienti cloud, quindi la vulnerabilità interessa un’ampia fetta dell’infrastruttura.

Gli specialisti di Wiz riferiscono che lo sfruttamento richiede una sola richiesta HTTP appositamente predisposta e i loro test hanno mostrato un tasso di successo “quasi del 100%”. Un ulteriore rischio è rappresentato dal fatto che molti framework e librerie popolari integrano React Server di default. Di conseguenza, anche le applicazioni che non utilizzano direttamente le funzionalità di React, ma il cui livello di integrazione richiama comunque codice vulnerabile, possono essere vulnerabili.

È la combinazione tra l’ampia adozione di React, la facilità di sfruttamento e il potenziale di completa acquisizione del server che ha portato al suo più alto livello di gravità. Sui social media, esperti di sicurezza e sviluppatori stanno esortando gli sviluppatori ad aggiornare senza indugio. “Di solito non lo dico, ma risolvetelo subito, accidenti “, scrive un esperto, sottolineando che la vulnerabilità di React, CVE-2025-55182, è un “10 perfetto”.

Sono interessate le versioni 19.0.1, 19.1.2 e 19.2.1 di React. Anche i componenti di terze parti che utilizzano React Server Components sono vulnerabili: i plugin Vite RSC e Parcel RSC, la versione pre-release di React Router RSC, RedwoodSDK, Waku e Next.js. La vulnerabilità per Next.js è tracciata separatamente con l’identificatore CVE-2025-66478.

Secondo Wiz e Aikido, il problema deriva dalla deserializzazione non sicura in Flight, il protocollo utilizzato nei componenti server di React. La deserializzazione è il processo di conversione di stringhe, flussi di byte e altri dati “serializzati” in oggetti e strutture in memoria. Se questo processo viene implementato in modo errato, un aggressore potrebbe iniettare dati appositamente creati che altererebbero la logica di esecuzione del codice lato server.

Gli sviluppatori di React hanno già rilasciato aggiornamenti che rafforzano la convalida dei dati in entrata e rendono più efficace il comportamento di deserializzazione per prevenire tali attacchi.

Wiz e Aikido raccomandano vivamente ad amministratori e sviluppatori di aggiornare React e tutte le dipendenze che lo utilizzano il prima possibile e di seguire attentamente le raccomandazioni dei responsabili dei framework e dei plugin sopra menzionati. Aikido consiglia inoltre di cercare informazioni sull’utilizzo di React nel codice sorgente e nei repository del progetto e di assicurarsi che tutti i componenti potenzialmente vulnerabili siano stati patchati.

L'articolo Una richiesta e il server è tuo! Il bug critico di React Server ha bisogno di patch immediate proviene da Red Hot Cyber.

Vulnerabilità critiche nei plugin WordPress: King Addons per Elementor e Extended nel mirino

Durante il processo di registrazione, una falla di sicurezza critica (CVE-2025-8489) nel plugin King Addons per Elementor di WordPress viene sfruttata dagli aggressori, consentendo loro di acquisire privilegi amministrativi grazie ad una vulnerabilità che permette l’escalation dei privilegi.

Un componente aggiuntivo di terze parti denominato King Addons amplia le funzionalità di Elementor, un noto plugin per la creazione visiva di pagine web per siti WordPress. Con un utilizzo stimato su circa 10.000 siti web, fornisce una gamma di widget, modelli e funzionalità supplementari.

L’attività di minaccia è iniziata il 31 ottobre, appena un giorno dopo la divulgazione del problema. Finora, lo scanner di sicurezza Wordfence di Defiant, un’azienda che fornisce servizi di sicurezza per i siti web WordPress, ha bloccato oltre 48.400 tentativi di exploit.

I ricercatori hanno notato un picco nell’attività di sfruttamento tra il 9 e il 10 novembre, con due indirizzi IP più attivi: 45.61.157.120 (28.900 tentativi) e 2602:fa59:3:424::1 (16.900 tentativi).

Gli aggressori, stando alle analisi condotte da Wordfence, effettuano una richiesta contraffatta “admin-ajax.php” al fine di generare account con privilegi di amministratore non autorizzati sui siti presi di mira, specificando “user_role=administrator”.

Il difetto, identificato come CVE-2025-8489 da Peter Thaleikis, risiede nel gestore di registrazione del plugin, permettendo a qualsiasi utente registrato di assegnare a sé stesso un ruolo a propria scelta all’interno del sito web, compreso quello di amministratore, senza che siano applicate restrizioni di alcun tipo.

Si consiglia ai proprietari di siti web di eseguire l’aggiornamento alla versione 51.1.35 di King Addons, che risolve il problema CVE-2025-8489, rilasciato il 25 settembre.

Un’altra vulnerabilità critica nel plugin Extended di Advanced Custom Fields, che interessa più di 100.000 siti web WordPress, è stata segnalata dai ricercatori di Wordfence. Questa falla può consentire a un aggressore non autenticato di eseguire codice a distanza, mettendo a rischio la sicurezza dei siti interessati.

Il problema di sicurezza è stato segnalato il 18 novembre e il fornitore del plugin lo ha risolto nella versione 0.9.2 di Advanced Custom Fields: Extended, rilasciata un giorno dopo aver ricevuto il rapporto sulla vulnerabilità.

Poiché è possibile sfruttare la falla senza necessità di autenticazione attraverso una richiesta opportunamente strutturata, c’è il rischio che la diffusione pubblica di informazioni tecniche dettagliate provochi azioni dannose. Ai titolari di siti web si suggerisce di migrare alla versione più aggiornata al più presto oppure di rimuovere il plugin dai propri siti.

L'articolo Vulnerabilità critiche nei plugin WordPress: King Addons per Elementor e Extended nel mirino proviene da Red Hot Cyber.

Google testa titoli AI in Discover, ma è un disastro: confusione e disinformazione

Google sta testando titoli generati dall’intelligenza artificiale nel suo feed Discover, sostituendo i titoli delle notizie originali con quelli originali. Lo ha riferito Sean Hollister, caporedattore di The Verge, che ha notato che titoli brevi e spesso fuorvianti generati dall’intelligenza artificiale hanno iniziato ad apparire nel feed del suo smartphone al posto dei titoli dei giornali.

L’esperimento ha coinvolto il feed di notizie di Google Discover sugli smartphone Samsung Galaxy e Google Pixel. Hollister ha osservato che il sistema tenta di ridurre il significato di un post a poche parole, ma i risultati sono spesso distorti. I post su Baldur’s Gate 3 stanno ricevendo titoli che accusano i giocatori di sfruttamento minorile, mentre gli articoli sullo standard Qi2 sono impantanati in accuse di rallentamento dei vecchi Pixel.

Un articolo di Ars Technica sul prossimo prezzo della console di Valve si trasforma in un’affermazione secondo cui il prezzo sarebbe già stato rivelato, mentre un titolo accattivante sulle vendite di schede grafiche presso un rivenditore tedesco viene abbreviato in una frase sulle soluzioni AMD che presumibilmente “supereranno” Nvidia.

Compaiono semplicemente frasi prive di senso, come riferimenti a vaghi “backup” e “controversie sull’etichettatura dell’IA”, che, senza il contesto della notizia, suonano come un guazzabuglio di parole casuali.

I giornalisti sottolineano che il problema non riguarda solo la qualità della formulazione. Le pubblicazioni stanno perdendo il controllo su come i loro contenuti vengono presentati nel feed di Google e i lettori potrebbero presumere che i titoli clickbait siano creati dagli stessi redattori, poiché loghi e nomi dei media vengono ancora visualizzati accanto a essi.

La mancanza di trasparenza è una fonte particolare di frustrazione: Google contrassegna tali schede con un avviso che indica l’utilizzo di intelligenza artificiale e la possibilità di errori, ma questo avviso è visibile solo espandendo la sezione “Ulteriori dettagli”, non direttamente nel feed.

L’azienda descrive le modifiche come un piccolo esperimento di interfaccia per alcuni utenti di Discover. Secondo la portavoce di Google, Mallory DeLeon, l’obiettivo delle modifiche è rendere le informazioni su un argomento più facili da assimilare prima di arrivare sul sito. Tuttavia, la comunità giornalistica vede questo come la continuazione di una tendenza in cui il motore di ricerca e i suoi servizi correlati mantengono sempre più il pubblico all’interno dell’ecosistema Google e inviano sempre meno traffico ai siti di informazione.

In questo contesto, i team editoriali sono alla ricerca di nuove fonti di reddito, tra cui modelli di abbonamento, e avvertono che un ulteriore spostamento dell’attenzione verso l’elaborazione dei contenuti basata sull’intelligenza artificiale potrebbe solo accelerare il declino di Internet.

L'articolo Google testa titoli AI in Discover, ma è un disastro: confusione e disinformazione proviene da Red Hot Cyber.

Сімʼя Трампа «прогоріла» на крипті: усього за день вони втратили понад $1 млрд, — «Bloomberg».

Акції трампівської компанії за пів години рухнули більш ніж на 50%, а мемкоїни (Melania, Trump) обвалилися майже на 100 %(!).

Экс-главком Сухопутных войск РФ Владимир Чиркин заявил, что Россия не была готова к войне с Украиной

«Произошла недооценка противника и переоценка своих войск» (0:55). Также он отметил, что «Служба внешней разведки РФ уверяла Кремль, что 70% украинцев поддержат Россию, а против будут лишь 30%. На деле все оказалось наоборот» (1:43).

Великобритания официально обвинила Владимира Путина в отравлении Сергея Скрипаля в 2018 году

Следственная комиссия Великобритании опубликовала доклад, в котором заявила, что именно лидер Кремля Владимир Путин отдал приказ о применении нервно-паралитического вещества против Сергея Скрипаля в 2018 году.

Україна досі не знає, про що говорив Віткофф з Путіним

Україна намагається зʼясувати зміст нещодавніх розмов між американським представником та Путіним. Зеленський заявив, що РФ шукає нові приводи для тиску та затягування війни.

Прем’єр Бельгії сумнівається в поразці Росії у війні проти України

Прем’єр-міністр Бельгії заявив, що вважає поразку Росії неможливою і навіть небажаною через ризики ядерної нестабільності. Він також висловив сумніви щодо конфіскації російських активів, називаючи такий крок безпрецедентним і потенційно небезпечним для фінансової репутації ЄС.

Лідери Європи радять президенту Зеленському не погоджуватися на вимоги РФ без гарантій безпеки з боку США, пише The Wall Street Journal із посиланням на два джерела.

Про це вони говорили телефоном 1 грудня. У розмові взяли участь президент Франції Макрон, канцлер Німеччини Мерц, голова Єврокомісії фон дер Ляєн та інші лідери.

Європейські лідери наполягають на ключовій ролі США в гарантіях безпеки, які буде запропоновано Україні за будь-якою угодою.

Тим часом в Грозному у Чечні вибуховий ранок.

У комплексі "Грозний-Сіті" прогримів вибух, пошкоджено кілька поверхів вежі.

У Маямі вже пройшла зустріч української та американської делегацій, – джерела Суспільного.

Україну представляли секретар РНБО Умєров та начальних Генштабу Гнатов.