
A walkthrough of the REMnux Linux-based malware analysis toolkit, structured around the TryHackMe MAL: REMnux — The Redux lab. Covers three core investigative phases: document and delivery vector analysis (malicious PDFs and Office macros using pdfid, pdf-parser, oletools/olevba), static binary inspection via entropy analysis to detect packed executables, and live memory forensics using Volatility to analyze a Jigsaw Ransomware-infected RAM dump. Includes an incident response triage checklist and highlights key REMnux utilities for each phase.
Nguồn: https://infosecwriteups.com/dive-into-malware-forensics-a-walkthrough-of-remnux-the-redux-88f17ab2a96a. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Google, FBI và IRS đã triệt phá botnet NetNut, một mạng proxy dân cư chiếm dụng hơn 2 triệu thiết bị thông minh (smart TV, hộp streaming, Android). NetNut được Alarum Technologies (công ty Israel niêm yết Nasdaq) bán dưới dạng dịch vụ thương mại, bị 316 nhóm tội phạm lợi dụng để tấn công password spraying, gian lận quảng cáo, thu thập dữ liệu và chiếm tài khoản. Google vô hiệu hóa hạ tầng tài khoản Google của NetNut, FBI tịch thu hàng trăm tên miền liên quan, trong khi phát hiện 20% ứng dụng Samsung Tizen và 42% ứng dụng LG webOS chứa SDK proxy trái phép. Các thiết bị nhiễm còn mang biến thể DDoS Mirai và liên quan đến botnet Android Badbox 2.0. Google cho biết đây là "sự suy giảm đáng kể" chứ không phải xóa sổ hoàn toàn do các nhà cung cấp proxy chia sẻ tài nguyên.
Lập trình viên nên đọc bài này để hiểu cách các botnet như NetNut lây lan qua các ứng dụng không rõ nguồn gốc trên thiết bị IoT và Android, và cách các công ty như Google và FBI đối phó, giúp cảnh báo về nguy cơ bảo mật trong ứng dụng và hệ thống của riêng bạn.
OpenAI's tính năng nén ngữ cảnh native giảm tới ~86% lượng token đầu vào mà không ảnh hưởng đáng kể đến chất lượng tổng thể trong phân tích malware tự động, dù mô hình hóa đối tượng miền có giảm nhẹ. Bài viết phân biệt rõ memory làm việc (xử lý bởi nén ngữ cảnh) và storage bền vững (lưu trữ artifacts chính xác), đồng thời hướng dẫn sử dụng hai kiểu API nén (server-side và standalone) kèm ví dụ code, nhấn mạnh tầm quan trọng của "context engineering" trong workflow bảo mật agentic lâu dài.
Những lập trình viên phát triển hệ thống an ninh tự động cần đọc để tối ưu hóa hiệu suất và độ chính xác của các agent AI trong phân tích malware bằng cách hiểu cách điều khiển bộ nhớ và ngữ cảnh hiệu quả, từ đó giảm chi phí tính toán và bảo đảm chất lượng kết quả.
Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.
Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.
Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.
Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.
Dữ liệu đánh giá xâm nhập năm 2025 của Kaspersky cho thấy 30,8% sự cố kéo dài trên 3 tháng, trong đó 52% trường hợp nghiêm trọng không bị phát hiện trong 90+ ngày, thậm chí có trường hợp 4 năm tuổi. Các phát hiện nhấn mạnh lợi ích của kiểm toán chủ động, nguy cơ từ web shells trong backup, sự phổ biến của LoLBins và công cụ quản lý từ xa, cũng như hậu quả khi thiếu giám sát liên tục hay săn mối đe dọa.
Lập trình viên nên đọc bài này để hiểu cách chuyển đổi các lỗ hổng kỹ thuật thành cơ sở để xây dựng hệ thống bảo mật mạnh mẽ, từ việc phát hiện và khắc phục nhanh chóng đến việc phòng ngừa các cuộc tấn công dài hạn như web shells hoặc mã độc trong bộ nhớ.
A developer named Tobi is porting The Legend of Zelda: Twilight Princess (originally a GameCube/Wii title) to the Nintendo 3DS using the game's recently decompiled source code. Despite being an early-stage effort, the game is already playable on the handheld, though with graphical glitches and instability. The 3DS hardware — with 128 MB of FCRAM and a capable processor — is close enough to the original consoles to make the port feasible. Next steps include bug fixing, optimization, and potentially enabling native 3D rendering.
At Black Hat Asia 2026, the Cisco NOC team describes how they migrated from Secure Malware Analytics (SMA) to Splunk Attack Analyzer (SAA) for malware threat analysis. They built a query to extract high-scoring submissions (≥85), enriched results with network context (traffic telemetry, directionality, action context), and automated surfacing of alerts into Cisco XDR for threat hunters. Key engineering decisions included focusing only on HTTP traffic for relevance, normalizing timestamps, and adding a zScaler exception to prevent false correlations. The result is a detection stream that helps hunters dismiss noise faster and act on actionable signals rather than just high scores.
A deep technical exploration of breaking Widevine L3, Google's software-only DRM. The author loads the Android Widevine library (libwvhidl.so) into the Qiling emulation framework, extracts the encrypted keybox from memory, and applies Differential Fault Analysis (DFA) against the white-box AES implementation to recover the decryption key. The post covers trace visualization to locate AES T-table operations, using phoenixAES to recover round keys, and then goes further to deobfuscate the VM-based code protection layer — revealing that the keybox encryption key is simply the SHA1 of the device ID. The author notes that while the technique works, L3 content is already restricted by most providers to lower quality, and practical piracy impact is minimal.