Google, FBI và IRS đã triệt phá botnet NetNut, một mạng proxy dân cư chiếm dụng hơn 2 triệu thiết bị thông minh (smart TV, hộp streaming, Android). NetNut được Alarum Technologies (công ty Israel niêm yết Nasdaq) bán dưới dạng dịch vụ thương mại, bị 316 nhóm tội phạm lợi dụng để tấn công password spraying, gian lận quảng cáo, thu thập dữ liệu và chiếm tài khoản. Google vô hiệu hóa hạ tầng tài khoản Google của NetNut, FBI tịch thu hàng trăm tên miền liên quan, trong khi phát hiện 20% ứng dụng Samsung Tizen và 42% ứng dụng LG webOS chứa SDK proxy trái phép. Các thiết bị nhiễm còn mang biến thể DDoS Mirai và liên quan đến botnet Android Badbox 2.0. Google cho biết đây là "sự suy giảm đáng kể" chứ không phải xóa sổ hoàn toàn do các nhà cung cấp proxy chia sẻ tài nguyên.
Vì sao nên đọc: Lập trình viên nên đọc bài này để hiểu cách các botnet như NetNut lây lan qua các ứng dụng không rõ nguồn gốc trên thiết bị IoT và Android, và cách các công ty như Google và FBI đối phó, giúp cảnh báo về nguy cơ bảo mật trong ứng dụng và hệ thống của riêng bạn.
Trả lời 3 câu hỏi ngắn để nhận điểm thưởng cho bài này. Chỉ làm khi bạn muốn lấy điểm.
3 câu hỏi · dưới một phút · không bắt buộc
Nguồn: https://latesthackingnews.com/2026/07/03/residential-proxy-botnet-netnut-takedown. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
OpenAI's tính năng nén ngữ cảnh native giảm tới ~86% lượng token đầu vào mà không ảnh hưởng đáng kể đến chất lượng tổng thể trong phân tích malware tự động, dù mô hình hóa đối tượng miền có giảm nhẹ. Bài viết phân biệt rõ memory làm việc (xử lý bởi nén ngữ cảnh) và storage bền vững (lưu trữ artifacts chính xác), đồng thời hướng dẫn sử dụng hai kiểu API nén (server-side và standalone) kèm ví dụ code, nhấn mạnh tầm quan trọng của "context engineering" trong workflow bảo mật agentic lâu dài.
Những lập trình viên phát triển hệ thống an ninh tự động cần đọc để tối ưu hóa hiệu suất và độ chính xác của các agent AI trong phân tích malware bằng cách hiểu cách điều khiển bộ nhớ và ngữ cảnh hiệu quả, từ đó giảm chi phí tính toán và bảo đảm chất lượng kết quả.
Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.
Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.
Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.
Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.
Jamf phát hiện ra PamStealer, một loại malware macOS mới tinh vi, tấn công qua trình quản lý clipboard Maccy giả mạo. Nó sử dụng AppleScript để vượt qua cơ chế bảo vệ macOS, giai đoạn thứ hai viết bằng Rust nhằm đánh cắp và xác thực credential cục bộ trước khi gửi dữ liệu về server điều khiển.
Những kỹ thuật phức tạp và kỹ thuật lừa đảo của PamStealer—như sử dụng PAM, impersonate Finder và trộm cắp dữ liệu khi người dùng chưa nhận biết—cho thấy các malware mới ngày càng tinh vi hơn, đòi hỏi lập trình viên phải cập nhật kiến thức về các thủ thuật mới để bảo vệ hệ thống và phát hiện nguy cơ sớm.

A new wave of ClickFix attacks uses fake Google reCAPTCHA and Cloudflare verification pages to trick users into running malicious PowerShell commands. The campaigns share common infrastructure — Cloudflare R2 buckets, a C:\ProgramData\Zooms staging folder, and IPs hosted by Dedik Services Limited — while delivering multiple malware families including HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport, and a Rust-based stealer. A newly documented loader called ResiLoader is distributed via a trojanized Franz messaging app; it uses a BYOD driver technique to terminate 140+ AV/EDR processes, performs UAC bypass, and ultimately deploys StealC via process hollowing. The post includes full IOCs: hashes, C2 domains, payload distribution domains, and IP addresses.
Google, in coordination with the FBI and Lumen, disrupted the NetNut residential proxy network (also known as Popa), estimated to control at least 2 million hijacked consumer devices worldwide. Actions included disabling Google accounts used for malware C2, sharing technical intelligence with law enforcement and platform providers, and using Google Play Protect to warn users and disable apps containing NetNut SDKs. NetNut populates its botnet via SDKs embedded in smart TVs and streaming boxes, and operates a whitelabel reseller program used by many popular proxy brands. In a single week in June 2026, 316 distinct threat clusters — including cybercriminal and espionage groups — were observed using NetNut exit nodes for password spraying, origin masking, and lateral movement into home networks. Google warns consumers against apps offering payment for unused bandwidth and urges use of official app stores and Play Protect-certified devices.
Arctic Wolf's SecOps team discovered a GitHub page impersonating Arctic Wolf to distribute the 'BoryptGrab Stealer' information-stealing malware. The attack chain involved a fake GitHub page linking to a ZIP archive containing a trojanized executable that side-loads a malicious DLL to deploy the encrypted payload. Further OSINT investigation revealed nearly 300 similar repositories impersonating other cybersecurity vendors including Malwarebytes, Bitdefender, and 360 Total Security, with the threat actor using SEO keywords to attract victims. Indicators of compromise including domains and file hashes are provided, along with recommendations to verify software downloads and avoid unofficial sources.
A report covers what is described as the first end-to-end agentic ransomware attack, where an AI agent autonomously drives the entire ransomware lifecycle. The piece warns that victims should not rely on the LLM to return data even after paying a ransom, highlighting new risks posed by AI-powered cybercrime.