Hacker News Digest

Новый вид атаки Pixnapping позволяет вредоносным приложениям на Android незаметно перехватывать информацию, отображаемую другими приложениями или веб-сайтами, используя уязвимости в Android API и аппаратный недостаток, влияющий почти на все современные Android-устройства. Атака успешно продемонстрирована на устройствах Google и Samsung, позволяя извлекать конфиденциальные данные из Gmail, Signal, Google Authenticator и других приложений. Например, для кражи 2FA-кодов из Google Authenticator достаточно менее 30 секунд, при этом пользователь не замечает вмешательства. Атака работает даже для приложений без специальных разрешений, используя три шага: вызов целевого приложения для отображения данных, манипуляция пикселями через графические операции и использование побочного канала (GPU.zip) для восстановления скриншотов. Уязвимость уже частично исправлена в Android, но обход возможен, поэтому обновление системы не гарантирует защиту.

• Уязвимость позволяет приложениям без разрешения делать скриншоты, что может быть использовано для кражи 2FA-кодов и других чувствительных данных.
• Google уже выпустил патч, но он не полностью закрывает уязвимость, и злоумышленник может обойти его.
• Пользователи могут защитить себя, включив биометрическую аутентификацию в приложении для 2FA и отключая разрешение на доступ к камере для всех приложений.
• Исследователи не публикуют PoC-код, но утверждается, что атака может быть воспроизведена на любом Android-устройстве с 2012 года.
• В конце концов, единственный надёжный способ защиты — это не устанавливать приложения, которые не являются open-source и не требуют излишних разрешений.

• На этой неделе после атаки на npm целью стал crates.io.
• Рассылается письмо «Инцидент безопасности: взлом инфраструктуры».
• Просят перейти по ссылке и войти через «внутренний SSO» — это фейк.
• Сайт копирует GitHub-авторизацию, крадёт токены.
• Подделка заметна по домену, отсутствию HTTPS и странному URL.
• Настоящий crates.io никогда не просит войти через сторонние формы.
• Получили письмо — удалите, не кликайте; включите 2FA и проверьте токены.

• Фишинг снова в тренде: мошенники массово атакуют разработчиков через «сломанные» пакеты (npm, crates.io), подделывают e-mail от PayPal и GitHub.
• Самые опасные письма подписываются реальным доменом (paypal.com, github.rustfoundation.dev) и ведут на поддельный «внутренний» логин; звонки «от банка» тоже подменяют номер.
• Правило «ноль доверия»: не кликайте, не звоните по указанным ссылкам/номерам; заходите на сайт вручную или набираете официальный номер из надежного источника.
• Даже опытные разработчики чуть не ведутся: письмо выглядит срочным, без опечаток, с корректным логотипом и SSL, но просит «подтвердить» учётку на стороннем домене.
• Защита: включайте passkey / 2FA, не вводите пароль на незнакомых доменах, после любого изменения безопасности временно блокируйте публикацию пакетов.

running-qix-malware
Репозиторий демонстрирует работу вируса QIX (1989) в эмуляторе DOS.

• Собранный DOS-бинарь запускается в браузере через эмулятор.
• Исходники на ассемблере и C, скрипты сборки.
• Инфицирует .COM-файлы, показывает бегущую линию.
• Безопасен: эмуляция изолирует вредоносный код.

• Участники вспомнили про инцидент Jia Tan и пожаловались, что npm до сих пор не автоматически блокирует публикации с обфусцированным кодом и шестнадцатеричными именами.
• Предложены меры: предпубликационный сканер с «задержкой на проверку», 2FA-апрув каждого релиза, опциональный «verified»-бейдж и поддержка Yubikey.
• Сомнения в пользе LavaMoat: не спасает от DLL в lifecycle-скриптах, не работает с Webpack HMR, а изоляция может быть дорогой.
• Обсуждали lock-файлы: хэши в package-lock защищают от перезаписи версии, но теги git всё ещё можно подменить; иммутабельность npm-тарболлов считается основной защитой.
• Namespaces (@scope) в npm есть с 2016 г., но «красивые» безскоповые имена всё ещё популярны, поэтому переход идёт медленно.

Кратко
PyPI теперь ежедневно отслеживает, не истёк ли домен, к которому привязан e-mail пользователя. Если домен переходит в «период искупления» (redemption), адрес автоматически становится «неподтверждённым», что блокирует атаку «воскрешения» домена и захват аккаунта через восстановление пароля. С июня 2025 г. таким образом аннулировано более 1 800 адресов.

Как работает атака

1. Владелец забывает продлить домен.
2. Злоумышленник выкупает домен, поднимает почту, запрашивает сброс пароля PyPI.
3. До внедрения 2FA (до 1 янв 2024) это давало полный доступ; теперь нужно ещё обойти второй фактор, но риск остаётся.

Жизненный цикл домена
Активен → дата окончания → льготный период (до 45 дней) → redemption (30 дней, высокая цена) → 5 дней «pending delete» → освобождение. PyPI проверяет статус раз в 30 дней через API Domainr и действует до момента смены владельца.

Что делает PyPI

• С апреля 2025 ежедневный мониторинг.
• При переходе в redemption статус e-mail меняется на «unverified».
• Пользователю приходит уведомление; повторное подтверждение возможно только после продления домена.

Совет пользователям

• Продлевайте домены заранее.
• Используйте надёжный почтовый сервис с авто-продлением.
• Добавьте резервный подтверждённый адрес на стабильном домене.

• Проблема повторного использования email-адресов после удаления аккаунтов ставит под угрозу цифровую идентичность и безопасность пакетов (Maven, Go).
• Google и Microsoft по-разному подходят к блокировке «мертвых» доменов и email, но единого стандарта нет.
• URI-импорты и доменные namespace кажутся хрупкими: домен может истечь, а пакет — подмениться.
• Сильная криптографическая идентичность (PGP, Keybase, SigSum) технически решена, но не взлетела из-за UX, потери ключей и репутационных проблем крипто-мира.
• Участники сходятся во мнении: нужно что-то простое, децентрализованное и без единой точки отказа, но пока нет рабочего массового решения.