Ну і до новин мілко-мʼяких.

GitHub, що належить Microsoft, був скомпрометований, коли розробник Microsoft, що використовує Microsoft VSCode, встановив несанкціоноване розширення з бібліотеки розширень Microsoft VSCode, яке модерується та розміщується Microsoft. 🤪

Якщо говорити конкретно, мова йде про свіжий злам популярного плагіна Nx Console (версія 18.95.0), який має понад 2.2 мільйона завантажень. Хакери з угруповання TeamPCP влаштували справжнє комбо, де все зав'язано на сервісах Microsoft.

Ось як виглядав цей іронічний ланцюжок насправді.

Хронологія "Microsoft-цент can't stop" атаки:

Крок 1 (GitHub): Зловмисники десь скомпрометували токен розробника (Personal Access Token) команди Nx. Завдяки цьому вони залили шкідливий код прямо в офіційний репозиторій на GitHub (який належить Microsoft). Причому сховали його хитро — у вигляді "висячого" orphaned-комміту, який не світився у головній гілці.
Крок 2 (VS Code): Використовуючи вкрадені облікові дані для публікації, хакери випустили оновлення розширення Nx Console в офіційному VS Code Marketplace (який хостить і модерує Microsoft).
Крок 3 (Ендшпіль): Розробники, які використовують редактор VS Code (від Microsoft), оновили плагін. Щойно вони відкривали будь-який воркспейс, розширення підтягувало той самий прихований шкідливий файл із GitHub.

Що робив малварь?
Ця гидота виявилася дуже "сучасною". Вона не просто крала стандартні SSH-ключі та AWS-токени, а цілеспрямовано полювала на конфіги Claude Code та витягувала паролі з 1Password. Щойно вона отримувала доступ, то створювала тисячі фейкових публічних репозиторіїв на тому ж GitHub для зливу даних.

Ложка позитиву: Малварь провисіла в маркетплейсі всього від 11 до 18 хвилин, поки розробники Nx не схаменулися і не знесли її.

Парад стрімів цього тижня починається 💪🏻

Сьогодні о 15:00 буду на стрімі у Сергія Немчинського і ми знову будемо говорити, ви не повірите, про Claude Code 😁 А точніше про стратегії керування витратами та лімітами ваших акаунтів, особливо в умовах, коли токени ставатимуть лише дорожчими. Тому приєднуйтесь!

https://www.youtube.com/watch?v=xqd7uAYBUQs

Добре, давайте розбиратись з тим Antigravity CLI в рамках пʼятничного стріма.

Збираємось в пʼятницю, 22 травня 2026 року в 17:00 і будемо дивитись на це диво дивне.

https://www.youtube.com/live/lsUkAzhmQmw

Новини української айтішечки, які ми заслужили

Google точно покусали Антропіки.

Скинули тижневі ліміти на Antigravity. І бустанули х3 ліміти на флеш модель на всі платні акаунти.

Всім доброго раночку!

Нагадую, що деплоїти сьогодні на прод ідея так собі.

Краще закінчуйте свої таски і побачимось на стрімі сьогодні.

І майте смачну кавусю ☕️

«…розробників, які не використовують АІ замінять розробники, які використовують АІ…» (с)
А ви продовжуйте в те не вірити і опиратись тому, що АІ треба опановувати як інструмент досить глибоко.
Деталі тут

Шо по каві, народ? 😉☕️

Готовність 15 хвилин. Заварюйте собі смачненьке і чекатиму вас на каналі.

Коли бізнес адекватний, але все одно може хайпанути на «нестандартних» для сучасних реалій рішеннях. Респектую EPAM.

*наспівує «ета новий дєєєнь в епааам»*

Так і живемо 💁‍♂️

Понеділкове. Шо по каві? Бо я сьогодні в себе маю влити літри 3 допіо, щоб роздуплитись 🫠

Або так

Погнали! Вриваємось в кризу токенів. Токени — нова нафта? 😜

Ну все, всіх спалили 😁

Хакери, вирішили подарувати світу доступ до 340 мільйонів акаунтів користувачів OnlyFans. Просто геніально!

Вони стверджують, що тепер володіють іменами профілів, номерами телефонів, даними платіжних карток та іншою особистою інформацією користувачів.

Сам OnlyFans поки мовчить, ніби це просто технічний збій, який минає сам собою. Не підтверджують і не спростовують.