// Popular Articles
NGate biến thể mới: trojan hoá HandyPay, hút NFC + PIN thẻ ngân hàng để rút ATM
ESET công bố biến thể NGate nhúng mã độc (nghi có sự hỗ trợ của GenAI) vào HandyPay — app NFC relay hợp pháp trên Google Play từ 2021. Chiến dịch active từ 11/2025, đang càn quét Android users ở Brazil, cướp luôn cả PIN để đồng phạm rút tiền tại ATM trong vài giây.
GitHub cắt INP từ 450ms xuống 100ms: bên trong cuộc đại tu React của trang "Files changed"
Đội GitHub rewrite kiến trúc React của tab "Files changed", hạ INP từ ~450ms xuống ~100ms, cắt 74% component render, giảm 50% memory. Với PR p95+, TanStack Virtual kéo INP từ 275–700ms về 40–80ms. Đây là case study hiếm về perf ở scale thật.
Now You See mi: RCE không dây trên Xiaomi C400 — TASZK mổ xẻ miIO
TASZK Security Labs công bố full exploit chain ba lỗ hổng trong giao thức miIO của Xiaomi: auth bypass, PRNG yếu (đoán được sau ~22 gói), và heap buffer overflow qua UDP 54321 — đủ để RCE camera C400 từ trong tầm Wi-Fi. 6.5 tháng sau báo cáo, Xiaomi vẫn chưa vá và chưa cấp CVE.
Misconfigured PostgreSQL is a hacker's front door — here's Canonical's hardening playbook
Canonical's free PostgreSQL security guide turns defaults into a breach surface. Five pillars — sandboxing, supply chain, storage, logging, install — map to PCI-DSS, CIS, DISA-STIG. Here's what actually matters.
Android Studio Panda 4 lên stable: Planning Mode, Next Edit Prediction và Agent Web Search
Google vừa chuyển Android Studio Panda 4 (2025.3.4) sang kênh stable ngày 21/4/2026. Bốn tính năng chủ lực — Planning Mode, Next Edit Prediction, Gemini API Starter Template và Agent Web Search — đưa Agent Mode từ 'chạy lệnh' lên 'lập kế hoạch và tự tra cứu'.
RustScan: quét 65.535 cổng trong 3 giây — vũ khí recon mới của bug hunter
RustScan của bee-san viết bằng Rust, quét toàn bộ 65.535 cổng trong khoảng 3 giây, tự động đẩy kết quả sang Nmap, có scripting Python/Lua/Shell và adaptive learning. Dưới đây là cách nó hoạt động và tại sao dân bug bounty đang chuyển sang dùng nó.
CrowdStrike ra mắt Shadow AI Visibility Service: soi mọi công cụ AI nhân viên đang dùng chui
CrowdStrike vừa công bố tại RSAC 2026 dịch vụ Shadow AI Visibility Service — tự động phát hiện AI tools, agents, LLM runtimes, MCP servers trên endpoint, cloud và SaaS. Con số giật mình: 45% nhân viên dùng AI không báo sếp, 1.800+ ứng dụng AI, 160 triệu instance được phát hiện trên thiết bị doanh nghiệp.
Secrets Patterns DB: 1600+ regex vá lỗ hổng leak secrets cho Gitleaks & TruffleHog
Mazin Ahmed mở mã nguồn database regex lớn nhất cho detect secrets — 1600+ pattern, format-agnostic, ReDoS-safe, export sang Gitleaks TOML hoặc TruffleHog JSON/YAML chỉ một lệnh. Gấp đôi rule set mặc định của TruffleHog v3 và gấp 27 lần Gitleaks gốc.
OpenShell v0.0.34: Cập nhật policy sandbox live, không cần restart runtime
NVIDIA vừa phát hành OpenShell v0.0.34 (21/4/2026) với tính năng chính là hot-reload chính sách mạng trên sandbox đang chạy, install-vm gộp gateway và VM driver, sandbox get phản ánh policy runtime thực tế, cùng hardening supervisor seccomp và chuẩn hóa HTTP request-target trước khi đánh giá L7.
Gemma 4 26B A4B: 10+ instances chạy song song trên MacBook Pro M4 Max
Google DeepMind open-source demo chạy 10+ Gemma 4 26B A4B song song trên một MacBook Pro M4 Max, mỗi instance giữ 18 tok/s. Đây là bằng chứng sống cho kiến trúc MoE 3.8B active/25.2B total — ~180 tok/s aggregate chỉ trên một máy laptop.