Google, in coordination with the FBI and Lumen, disrupted the NetNut residential proxy network (also known as Popa), estimated to control at least 2 million hijacked consumer devices worldwide. Actions included disabling Google accounts used for malware C2, sharing technical intelligence with law enforcement and platform providers, and using Google Play Protect to warn users and disable apps containing NetNut SDKs. NetNut populates its botnet via SDKs embedded in smart TVs and streaming boxes, and operates a whitelabel reseller program used by many popular proxy brands. In a single week in June 2026, 316 distinct threat clusters — including cybercriminal and espionage groups — were observed using NetNut exit nodes for password spraying, origin masking, and lateral movement into home networks. Google warns consumers against apps offering payment for unused bandwidth and urges use of official app stores and Play Protect-certified devices.
Nguồn: https://cloud.google.com/blog/topics/threat-intelligence/google-continued-disruption-residential-proxy-networks. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
OpenAI's tính năng nén ngữ cảnh native giảm tới ~86% lượng token đầu vào mà không ảnh hưởng đáng kể đến chất lượng tổng thể trong phân tích malware tự động, dù mô hình hóa đối tượng miền có giảm nhẹ. Bài viết phân biệt rõ memory làm việc (xử lý bởi nén ngữ cảnh) và storage bền vững (lưu trữ artifacts chính xác), đồng thời hướng dẫn sử dụng hai kiểu API nén (server-side và standalone) kèm ví dụ code, nhấn mạnh tầm quan trọng của "context engineering" trong workflow bảo mật agentic lâu dài.
Những lập trình viên phát triển hệ thống an ninh tự động cần đọc để tối ưu hóa hiệu suất và độ chính xác của các agent AI trong phân tích malware bằng cách hiểu cách điều khiển bộ nhớ và ngữ cảnh hiệu quả, từ đó giảm chi phí tính toán và bảo đảm chất lượng kết quả.
Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.
Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.
Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.
Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.
Arctic Wolf's SecOps team discovered a GitHub page impersonating Arctic Wolf to distribute the 'BoryptGrab Stealer' information-stealing malware. The attack chain involved a fake GitHub page linking to a ZIP archive containing a trojanized executable that side-loads a malicious DLL to deploy the encrypted payload. Further OSINT investigation revealed nearly 300 similar repositories impersonating other cybersecurity vendors including Malwarebytes, Bitdefender, and 360 Total Security, with the threat actor using SEO keywords to attract victims. Indicators of compromise including domains and file hashes are provided, along with recommendations to verify software downloads and avoid unofficial sources.
A report covers what is described as the first end-to-end agentic ransomware attack, where an AI agent autonomously drives the entire ransomware lifecycle. The piece warns that victims should not rely on the LLM to return data even after paying a ransom, highlighting new risks posed by AI-powered cybercrime.

A ransomware campaign is targeting small and medium-sized businesses (SMBs) globally using phishing emails impersonating Interpol's cybercrime unit. The emails create urgency by claiming the recipient's company is under investigation, then direct victims to a Proton Drive link containing a password-protected archive. Inside is an executable disguised as a video file that, when opened, encrypts files on available drives. The malware appears custom-built rather than from a known ransomware-as-a-service operation, lacking sophisticated features like hardcoded encryption passwords and dedicated dark web negotiation portals. Victims are directed to contact attackers via Tox messaging. Researchers from Bitdefender note the campaign's strength lies in its social engineering rather than technical sophistication, exploiting fear and authority to trick victims into launching the malware themselves. SMBs are particularly vulnerable due to limited IT staff, security budgets, and lack of formal verification processes.
Deep technical analysis of the Everest double-extortion ransomware, a .NET 4.0 binary protected with ConfuserEx. Key findings include misleading cryptographic declarations (code claims RSA-4096/AES-256 but runtime uses RSA-1024/AES-128), a noisy pre-encryption sequence involving recovery sabotage, SMBv1 re-enablement, Controlled Folder Access disablement, and broad permission grants. Distinctive behaviors include Wake-on-LAN broadcasts to wake dormant hosts, DACL-based process self-protection, a dedicated Raccine anti-ransomware neutralization routine, and three continuous background threads that kill analysis tools, disable security/backup services, and terminate memory-intensive processes. The analysis also covers the encryption workflow (full encryption for files ≤10MB, partial for larger files), geo-fencing targeting CIS locales, and self-deletion via fsutil. AttackIQ has released an adversary emulation assessment based on these TTPs to help security teams validate their defenses.
Kaspersky MDR uncovered a large-scale malware campaign after investigating a single ScreenConnect incident. Threat actors built a network of 90+ spoofed freeware download sites (mimicking OBS Studio, DNS Jumper, DS4Windows, Bandicam, and others) optimized with SEO to rank in Google and Bing results. Victims downloading from these sites receive a ZIP archive containing a legitimate Microsoft-signed binary alongside a malicious DLL loaded via DLL sideloading. This silently installs ScreenConnect as a hidden service, which then deploys AsyncRAT through a multi-stage chain involving PowerShell, VBScript, XOR-decrypted shellcode, and process hollowing into RegAsm.exe. The campaign, active from October 2025 through March 2026, spans 10 languages and targets both individual users and corporate networks. Mitigations include application allowlisting, blocking MSI execution from untrusted sources, monitoring for new remote admin services, and user training on safe download practices. Full IOCs including C2 domains, malicious hashes, and fake site addresses are provided.