🔤🔤🔤 🔤🔤🔤🔤

🏳 Pompompurin, в быту известный как Конор Фицпатрик, дождался пересмотра приговора.

И несмотря на 15 лет, запрошенных пракуратурой, по всем трём пунктам обвинения получил всего три года лишения свободы. Чудеса...🙄

Напомним, Pompompurin и в первый раз невероятно удачно съехал с двузначного срока и отделался отбытым в СИЗО и двадцатилетним надзором. И тут же нарушил условия освобождения и соглашения о сотрудничестве, взявшись за старое и попутно попавшись с коллекцией ЦП для прохождения капчи “Я не фед” на киберпреступных серверах.

Ничто так не бодрит следователя, как поднадзорный хакер, обсуждающий с друзьями по Дискорду продажу госданных России и Китаю. Каким образом Фицпатрик выбил крошечный срок с оглядкой на обвинения — вопрос интересный. Ещё интереснее содержимое очередной сделки со следствием, оставшейся за кадром.

BJH Chat | BJH Info

🔤🔤🔤 🔤🔤🔤🔤

🪱 Первый самореплицирующийся червь, по цепочке заражающий всё новые пакеты в экосистеме.

Принцип довольно простой: червь обновляет пакеты на скомпрометированных аккаунтах через postinstall вредоносным bundle[.]js. Пакеты качают, малварь тянет токены, и заражение идёт дальше.

С учётом того, сколько там зависимостей, охват у атаки масштабный. Затронуты уже больше 500 пакетов, и число растёт. Скомпрометирован оказался даже аккаунт CrowdStrike. В черве инфостилер TruffleHog на 800 секретов, плюс приватные репы на скомпрометированных аккаунтах залетают в публичные.

В общем, если вы думали, что компрометация Nx — это плохо, подвезли Nx 2.0, гораздо хуже прежней. И ведь кроме нулевого пациента интеракции ноль — всё на самоподдуве через CI/CD. Автоматизация, которую мы заслужили 😁

BJH Chat | BJH Info

🔤🔤🔤 🔤🔤🔤🔤🔤🔤🔤

🤔 Почему мы до сих пор пользуемся QWERTY?

• Вы когда-нибудь задумывались, почему ваша клавиатура устроена именно так? Не потому что это удобно, а потому что в XIX веке механика пишущей машинки просто не могла работать иначе. Проблема была в рычагах: если нажимать соседние клавиши слишком быстро, они залипали. А рычаги тут при том, что пишущие машинки переросли в клавиатуры, сохранив свою суть.

• Кристофер Шоулз, журналист и изобретатель, нашел решение — перемешал буквы, чтобы часто используемые сочетания оказались на разных сторонах. Это снизило скорость набора, но спасло от заклинивания.

• К 1980-м QWERTY закрепилась в компьютерах. Производители не спешили переходить на другие раскладки, даже зная об их преимуществах. Эргономика не победила инерцию: сменить раскладку значило переучивать пользователей, ломать привычные шаблоны, тратить ресурсы на то, что не приносило явного выигрыша.

• Но давайте поговорим о самой эффективной раскладке - Dvorak Simplified Keyboard (DSK), появившаяся в 1936 году, обещала больше: 70% набора — на основном ряду, минимальное движение пальцев, снижение усталости. Исследования Дворака показали, что его раскладка позволяет новичкам достигать большей скорости за меньшее время тренировок чем на QWERTY. Такой подход позволил существенно сократить расстояние, которое пальцы проходят за день работы: если на QWERTY это до 32 км, то на Dvorak — всего около 1,5 км.

• Вначале 90-х Барбара Блэкберн установила мировой рекорд по скорости набора текста. На протяжении 50 минут она печатала в среднем 150 слов в минуту. Максимальная скорость достигла 212 слов в минуту. Это быстрее человеческой речи. Но чтобы добиться таких результатов, Блэкберн отказалась от привычной QWERTY-раскладки в пользу клавиатуры Дворака (на фото).

• Вокруг этого способа набора сформировался настоящий культ. Но эти успехи так и остались в теории, хотя люди создавали даже фанатские журналы в поддержку раскладки.

• Кроме того, для достижения скорости 40 слов в минуту новичку на QWERTY требуется в среднем 56 часов тренировки, а на Dvorak — всего 18 часов. Не удивляйтесь, мы сейчас говорим про бородатые года. Сейчас, конечно, каждый школьник печатает быстрее.

• Эффект сетевого стандарта оказался непреодолимым: уже на тот момент многие использовали QWERTY, а с каждым днем стоимость перехода для каждого нового пользователя только росла. К середине 1980-х на Dvorak печатали лишь около 100 тысяч человек, тогда как QWERTY оставалась безальтернативной для миллионов. Успехи не стали массовыми: тесты, доказывающие преимущества Dvorak, часто финансировались самим изобретателем, а независимые исследования давали менее впечатляющие цифры.

• Помимо Dvorak была еще раскладка Colemak, появившаяся в 2006 году, пыталась смягчить переход. Автор, Шолом Колеман, изменил всего 17 клавиш по сравнению с QWERTY, чтобы снизить когнитивное и мышечное «трение» при миграции. Сохранились базовые сочетания вроде Ctrl+Z и Cmd+C. Это не революция, а компромисс: уменьшить движение пальцев, но не ломать привычные хоткеи. Однако даже такая «мягкая» замена сталкивается с барьерами: нет поддержки «из коробки» в ОС, не все драйверы работают гладко, а в корпоративной среде, где каждый проект зависит от стандартов, смена раскладки — это риск.

• В профессиональных нишах, вроде программирования, есть свои варианты: Programmer Dvorak, Workman, русские БЭЙ и ЯВЕРТЫ. Они оптимизируют расположение символов под код или язык, но их аудитория остается узкой. Да и большинство проектов, документации и команд все еще написаны под QWERTY. Сейчас мало кто задумывается о раскладке, все привыкли, и даже не думают, что может быть по-другому.

BJH Chat | BJH Info

🔤🔤🔤 🔤🔤🔤🔤

🐊 Вышла свежая версия Tails 7.0.

В крупном апдейте ОС обзавелась новым ядром, свежим интерфейсом и обновлёнными приложениями. Это первый релиз на основе Debian 13 Trixie.

В нём сменили алгоритм сжатия, так что скорость запуска выросла на 10-15 секунд на радость любителям бенчмарков. Ядро обновили до версии 6.12.43 — это расширило поддержку оборудования и решит извечный вопрос отвалившегося беспроводного модуля, по крайней мере, на части устройств. При этом минимальные требования выросли с 2 ГБ оперативки до трёх.

Разрабы считают, что это затронет меньше 2% юзеров, но большие оригиналы в их числе из любителей запустить Tails на хлебопечке, заставшей VHS, конечно, будут недовольны. В общем, время накатывать апдейт, апдейт сам себя не накатит.

Буквально — автоматического апгрейда с ранних версий-то нет. Так что не пропустите.

BJH Chat | BJH Info

🔤🔤🔤 🔤🔤🔤🔤

✈️ На выходных в странах Европы пошли задержки и отмены рейсов. И, конечно, виной классика ИБ в таких случаях: кибератака по поставщику системы регистрации, рансомварь, околонулевые меры на случай отказа систем.

Атаку подтвердили вечером пятницы, на понедельник системы всё ещё восстанавливают и сроки не называют. Кто взломал, пока неизвестно. Поставщик системы — американская Collins Aerospace, дочка многомиллиардной RTX. Миллиарды её долларов крутятся в штатовской военке и авиаотрасли, и мелкая халтурка формата “система регистрации в аэропортах” по финансированию явно не в приоритете.

В служебной записке пишут, разраб поднял бэкапы, но обнаружил, что злоумышленники всё ещё в системах. Отличное реагирование на инциденты, моё почтение. В общем, одно чудесное решение от корпорации с замечательным маркетинговым отделом = единая точка отказа международного уровня. Так что здесь всё как всегда.

BJH Chat | BJH Info

🔤🔤🔤 🔤🔤🔤🔤

🎹 На npm оригинальный кейс использования QR-кода в малвари.

Его приспособили под нужды стеганографии: вместо картинок с котиками нагрузка подтягивается через QR.

В библиотеке обфусцированные инструкции, подтягивающие QR-код. Пакет его парсит и подгружает вредонос, здесь всё стандартно — инфостилер, стягивающий куки. При этом он ищет по ним связки юзернейм + пароль и завершает работу, если их не обнаружит.

Так что плюс одна картинка с котиками за оригинальное использование QR, минус одна — за странную работу по кукам. Впрочем, сам QR в стеганографии тоже больше забавная фишка, чем прорывной метод — преимуществ перед обычным изображением особо-то и нет. Зато автор залетел в новости со своей поделкой, чтобы все удивились, как он умеет 😱

В фишинге QR-кодами уже никого не впечатлить, так почему бы и для нагрузки их не приспособить. Свежо, но бесполезно. По итогам вышли в ноль.

BJH Chat | BJH Info

🔤🔤🔤 🔤🔤🔤🔤

🩸 Недавний червь Shai-Hulud на npm стал для GitHub последней каплей.

Компания анонсировала крупные изменения в системе аутентификации и публикации пакетов. GitHub откажется от "устаревших" механизмов аутентификации, а также усилит меры контроля. Двухфакторка будет обязательной для публикации, а токенам сократят время жизни до 7 дней. Кроме того, по умолчанию публикации с токенов будут заблокированы — либо Trusted Publishing, либо ручная с двухфакторкой. Исключения с обходом 2FA тоже отменят.

Нововведения говорящие: если разрабы не хотят сами пользоваться двухфакторкой и ограничивать себя в токенах, будут теперь это делать из-под палки. Шаи-Хулуд как драйвер положительных изменений в экосистеме что в мире Дюны, что в реальной жизни. Хороший кроссовер 👍

BJH Chat | BJH Info

🔤🔤🔤 🔤🔤🔤🔤

⌨️ Proizoshla Politika ⌨️

Microsoft отключила израильскому Unit 8200 доступ к своей облачной инфраструктуре. Это произошло по следам скандальчика с её использованием под массовую слежку за палестинцами.

История всплыла в начале августа: согласно расследованию, в Azure была развёрнута масштабная инфра под хранение и обработку телефонных звонков. 8,000 терабайт данных, “миллион звонков в час”. Проект работал с 2021-го, но на фоне окончательного решения палестинского вопроса и буйного умопомешательства на западе на этой почве держать инфраструктуру под такие цели Microsoft расхотелось — сказалось давление от инвесторов и сотрудников.

Unit 8200 оперативно вывел данные из систем Microsoft и по слухам планирует хостить их у Amazon — этим никакие репутационные издержки не страшны. В сухом остатке очередной хороший пример того, что такие проекты стоит хостить исключительно дома, чтобы не зависеть от конъюнктурных игрищь.

BJH Chat | BJH Info

🔤🔤🔤 🔤🔤🔤🔤

📲 В смартфонах OnePlus обнаружили критическую уязвимость, позволяющую любому приложению получить доступ к SMS.

Проблема на уровне OС, затронуты все версии от OxygenOS 12 до актуальной 15-й.
Уязвимость занятная: сумрачный гений из OnePlus модифицировал стоковый Android Telephony, добавив контент-провайдеров. А вот разрешений на запись на READ_SMS в них нет, так что доступ к ней по умолчанию получают все. В итоге при определённых условиях приложение может вытянуть SMS, включая, например, коды MFA.

Со связью с разрабом вышло как всегда: исследователи с мая по август семь раз написали компании, но не получили ответа — реагировать на репорты от лаоваев недостойно уважающего себя жителя Поднебесной. После публикации отчёта уязвимость пообещали когда-нибудь закрыть. Так что пользователи недорогих китайских смартфонов, как обычно, в счёт экономии получают оригинальный подход к безопасности устройств.

BJH Chat | BJH Info

🔤🔤🔤 🔤🔤🔤🔤

🇳🇱 В Нидерландах оригинальный кейс: двух местных подростков 17-ти лет поймали с Wi-Fi-сниффером и обвинили в шпионаже. Конечно же, в пользу России.

По версии следствия дети-шпионы крутились со сниффером у офисов Европола и Евроджаста, а также посольства Канады в Гааге. Юнош завербовали в Telegram, выцепили по наводке местной разведки и взяли с поличным – за выполнением домашней работы. Следов компрометации нет, но дело серьёзное – следствие разберётся.

Родители юных дарований в шоке: мы их готовили к ужасам взрослой жизни вроде курения, алкоголя и наркотиков, а не к вот этому. Но детям Нидерландов такие пошлости, очевидно, давно приелись. А вот кибершпионские игры через загадочный русский Телеграм – вот это досуг, достойный уважающего себя подростка в 2025-м.

BJH Chat | BJH Info

🔤🔤🔤 🔤🔤🔤🔤

📱 В Великобритании крупнейшая в истории конфискация преступной криптовалюты.

Битки на 7,3 миллиарда долларов. Масштабы намекают на источник: конечно же, это Китай.
Дело связано с гражданкой КНР, известной в 2010-х как "Королева биткоина". Королева сказочная: под обещания нарождающегося цифрового золота шло мошенничество с инвестициями. Здесь цифры тоже соответствуют: около 130 тысяч обманутых инвесторов на 40 миллиардов юаней. Всё это произошло в 2014-2017-х, ушло в биток, а он с тех пор, как известно, слегка подрос.

Организатор схемы сбежала в UK, где её теперь и судят. Изъяли 61 тысячу битков – в абсолютном выражении было и больше, но с оглядкой на текущую цену вышел рекорд. Такая королева – мечта любого криптобро. Биткоиновая. Заряженная на памп. Твоя. Даром что ей 47. Возраст – это просто число. Как и 61 тысяча биткоинов. Зато какое.

BJH Chat | BJH Info