С выходом iOS 26 Apple внесла, на первый взгляд, незаметное техническое изменение, но для мира кибербезопасности оно прозвучало как выстрел. Пропал ключевой свидетель — системный журнал shutdown.log, который годами был незаменимым инструментом в охоте на самых изощренных цифровых хищников: шпионские программы вроде Pegasus и Predator.

➡️Раньше файл shutdown.log работал как подробный бортовой самописец вашего iPhone. При каждой перезагрузке он дописывал новые данные в конец, сохраняя историю процессов, включая аномалии, характерные для взлома.

В iOS 26 логика изменилась кардинально. Теперь при каждой перезагрузке система не дополняет, а полностью перезаписывает этот файл. Проще говоря, старые записи бесследно исчезают.

🧷Этот журнал был не просто логом, а детектором лжи для устройства.
🟡Даже если шпионское ПО пыталось замести следы, сам факт его вмешательства в системные процессы оставлял артефакты в структуре файла.
🟡Журнал позволял установить не только факт заражения, но и его примерную дату, что было критически важно для расследований.

Яркий пример —

в 2021 году

именно анализ

shutdown.log

позволил независимым экспертам подтвердить массовое заражение телефонов журналистов и правозащитников программой

Pegasus

.

🔖 Кто в выигрыше?
🟡Разработчики шпионского ПО (такие как NSO Group) - теперь одна перезагрузка устройства после атаки уничтожает критически важные доказательства. Это значительно усложняет доказательство взлома и снижает риски для самих злоумышленников.
🟡Активисты, журналисты и политики, чьи телефоны были заражены до обновления, после перехода на iOS 26 и перезагрузки потеряют возможность это обнаружить. Они останутся в неведении под колпаком.

‼️ Версии и последствия
Эксперты строят два основных предположения:
🟡Радикальное улучшение производительности и стабильности системы. Упрощение работы с логами могло быть частью общей оптимизации iOS.
🟡Apple годами ведет юридические баталии с правительствами, требующими доступа к данным. Возможно, это шаг к усложнению независимого анализа, который часто становился основой для громких судебных исков.

📱 OpenAI представила Aardvark — автономного агента безопасности на базе искусственного интеллекта (GPT-5). В настоящее время инструмент доступен в режиме закрытой бета-версии. Его цель — помочь разработчикам и командам безопасности находить и устранять уязвимости в масштабе, смещая баланс сил в сторону защитников.

Рабочий процесс строится на четырёх ключевых этапах:
🔺Aardvark анализирует все хранилище кода, чтобы создать модель угроз, отражающую цели безопасности и дизайн проекта.
🔺Проверяет изменения на уровне коммитов и сверяет новый код с моделью угроз. При первом подключении сканируется вся история репозитория. Найденные уязвимости подробно объясняются с аннотацией кода для удобства проверки человеком.
🔺Обнаруженные потенциальные уязвимости Aardvark пытается воспроизвести в изолированной среде, чтобы подтвердить их эксплуатацию. Это позволяет минимизировать ложные срабатывания и обеспечивать точность данных.
🔺Интегрируясь с OpenAI Codex, Aardvark помогает исправить уязвимости. К каждому отчету прикрепляет сгенерированный и проверенный патч для удобного человеческого обзора и быстрого внедрения.

За несколько месяцев работы во внутренних репозиториях OpenAI и у внешних партнеров Aardvark выявил критические уязвимости, включая сложно обнаруживаемые. В тестах на эталонных репозиториях инструмент показал 92% эффективности, обнаружив подавляющее большинство известных и синтетических уязвимостей.

➡️При применении к open-source проектам Aardvark обнаружил множество уязвимостей, десять из которых получили идентификаторы CVE. Планируется предоставление бесплатного сканирования для избранных некоммерческих open-source репозиториев.

Обновленная политика раскрытия информации делает акцент на сотрудничестве с разработчиками, а не на жестких сроках, что способствует долгосрочной устойчивости по мере роста возможностей инструментов обнаружения.

Доступ к Aardvark открывается в рамках частной беты для избранных партнеров. Участники получат ранний доступ к инструменту и возможность совместной работы над улучшением его точности и рабочих процессов. Организации и open-source проекты могут подать заявку на участие в тестировании можно тут.

🔥А что думаете вы? Пользовались бы таким помощником?

Друзья, напоминаем, на каких курсах начинается обучение в ноябре⤵

Старт 10 ноября:
🔵Курс «Реверсивный инжиниринг ПО под ОС Windows» — освоим техники по поиску уязвимости и рассмотрим методы заражения машин 💸68 990 ₽ 78 990₽
🔵Курс «Введение в Реверс инжиниринг» — научимся взламывать программы и файлы без наличия исходного кода на компилируемых языках 💸55 990 ₽ 63 990 ₽

Старт 20 ноября:
🔵Курс «Администрирование ОС Linux» — познакомимся с Linux и смежным ПО: от основ командной строки до развертывания Kubernetes

Старт 24 ноября:
🔵Курс «Пентест Active Directory» — изучаем техники и методики атак на инфраструктуру Active Directoryв лаборатории на 30+ виртуальных машин

Успейте записаться на первые потоки новых курсов по специальным условиям⤵

Старт 10 ноября:
🔵Курс «Профессия DevSecOps - инженер: безопасная разработка» - освоите DevSecOps-инженерию: от автоматизации безопасности до работы с Kubernetes и Terraform. Запись на первый поток с выгодой 10%

Старт 24 ноября:
🔵Курс «Антифрод-аналитик» - освоите антифрод-анализ для защиты финансовых операций. Запись на первый поток с выгодой до 18%

🔵Курс «Основы кибербезопасности» - освоите ключевые навыки информационной безопасности: от основ Linux до проведения пентестов. Запись на первый поток с выгодой до 18%

✅Запишитесь у нашего менеджера @CodebyManagerBot 🚀или узнайте подробности на сайте!

🛍 Пакеты воруют!

🚛 Исследователи кибербезопасности обнаружили набор из 10 вредоносных пакетов npm, предназначенных для доставки вредоносного ПО для кражи информации, нацеленного на системы Windows, Linux и macOS.

🖥 «Вредоносное ПО использует четыре уровня обфускации для сокрытия своей полезной нагрузки, отображает поддельную CAPTCHA, чтобы казаться подлинным, идентифицирует жертв по IP-адресу и загружает упакованный в PyInstaller похититель информации размером 24 МБ, который собирает учетные данные из системных связок ключей, браузеров и служб аутентификации в Windows, Linux и macOS», — сообщил исследователь безопасности Socket Куш Пандья .

➡️ Пакеты npm были загружены в реестр 4 июля 2025 года и, в общей сложности, были загружены более 9900 раз.

deezcord.js
dezcord.js
dizcordjs
etherdjs
ethesjs
ethetsjs
nodemonjs
react-router-dom.js
typescriptjs
zustand.js

📚 Многоступенчатая операция по краже учетных данных проявилась в виде различных typosquatted пакетов, выдававших себя за популярные библиотеки npm, такие как TypeScript, discord.js, ethers.js, nodemon, react-router-dom и zustand.

🦠 После установки вредоносная программа выдаёт поддельный запрос CAPTCHA и отображает реалистичный вывод, имитирующий установку легитимных пакетов, создавая впечатление, что процесс установки идёт по плану. Однако в фоновом режиме пакет захватывает IP-адрес жертвы, отправляет его на внешний сервер («195.133.79[.]43»), а затем устанавливает основную вредоносную программу.

❗️ Будьте внимательны и осторожны!