Пентагон успешно реализовал программу аутсорсинга. В Подмосковье 😶

Американская ИБ-фирма Hunted Labs провела исследование и выяснила, что популярнейшая Node.js-утилита fast-glob поддерживается всего одним человеком. И, судя по его профилям в сети, это разработчик из Яндекса по имени Денис Малиночкин, проживающий в РФ.

Казалось бы, типичная история для open source. Но есть нюанс. fast-glob скачали десятки миллионов раз, она является зависимостью в 5000+ публичных проектах, а самое забавное, что она используется как минимум в 30 проектах Министерства обороны США (DoD). Более того, она включена в Iron Bank, а это доверенный репозиторий ПО, который Пентагон использует для своих систем 🎩

Исследователи уточняют, что у fast-glob нет известных уязвимостей (CVE), а к самому разработчику нет никаких претензий. А проблема в самой модели угроз. Популярнейший пакет с глубоким доступом к файловой системе, который является частью критической инфраструктуры СЩА, поддерживается одним Денисом из подмосковья без какого-либо внешнего контроля 😗

Ребята из Hunted Labs сообщили о своих находках в Пентагон еще три недели назад. Особенно иронично это выглядит на фоне недавней директивы министра обороны США, которая запрещает закупать ПО, подверженное иностранному влиянию.

Чувствуете, что везде всё одинакого? 🤔 Идеальный пример того, как на самом деле устроена современная цепочка поставок ПО.

Типичный 🥸 Сисадмин

🔧 Google экстренно чинит дыру в Chrome

11 августа команда Google Big Sleep поймала серьёзную уязвимость в Chrome — CVE-2025-9478. В библиотеке ANGLE, которая отвечает за отрисовку WebGL и Canvas, найдена ошибка типа use-after-free (когда браузер пытался использовать память, которую уже освободил, и злоумышленник мог подменить её своим кодом). В итоге достаточно одного визита на заражённый сайт, чтобы запустить атаку без кликов, подтверждений или скачиваний.

Google отреагировала почти моментально и выпустила обновление в версиях Chrome 139.0.7258.154/.155 для Windows и macOS и .154 для Linux. Патч раздают автоматически, но в корпоративных сетях советуют не тянуть и руками закрывать дыру через MSI-пакеты или Enterprise Bundle.

Уязвимость неприятная, ведь заражённый сайт превращается в точку входа для drive-by атак, когда вредонос загружается просто при посещении страницы, без действий со стороны пользователя. Дальше атакующий может поставить шпионское ПО, шифровальщик или использовать браузер как трамплин для проникновения в корпоративную сеть.

Пока что детали эксплуатации Google держит при себе, чтобы выиграть время на массовое обновление. Однако практика показывает, что если эксплойт существует, то его применение в реальных атаках лишь вопрос времени.

Типичный 🥸 Сисадмин

🔥 Что делать, если знаешь, что тебя уволят в пятницу?

Инсайд из отдела кадров шепнул, что в пятницу вас и вашу команду сокращают. До этого момента у вас полный админский доступ, а в голове буря эмоций. Ваши действия?

Типичный 🥸 Сисадмин

Кластер Kubernetes на Raspberry Pi 5, удалённый доступ к BIOS через PiKVM, несколько свитчей, Pi-hole и Home Assistant.

И картонный лоток для авокадо 😬

Типичный 🥸 Сисадмин

VMware изобрела новый тип лицензий для админов на подводных лодках 👨‍🔬

VMware столкнулась с интересной проблемой после перехода на подписочную модель. Их новые лицензии требуют, чтобы система либо автоматически отправляла отчет об использовании каждые 180 дней, либо чтобы клиент делал это вручную. Но неожиданноый фидбек из морских глубин доложил, что требование регулярного выхода на связь для проверки лицензий поставило под угрозу скрытность операций подводных лодок работающих в режиме радиомолчания.

Пришлось изобретать новый "критический" тип лицензий. Они позволяют отложить отправку отчета о лицензировании до удобного момента, когда подлодка всплывёт. Использоваться такие лицензии будут не только на подлодках, но и других чувствительных местах, где выход в интернеты в принципе не предусмотрен или опасен.

— Капитан, всплываем! Лицензия VMware истекает через час!

Типичный 🥸 Сисадмин

Свищ и ролтон.
Аптека в г. Красноярск

🥸 @montajniklvs

🧹 Google чистит руководителей

Корпорация решила, что менеджеров стало слишком много, и под нож пошли руководители, у которых в подчинении меньше трёх человек. За год таких сотрудников стало на 35% меньше, и часть из них теперь работает не начальниками, а обычными работягами. Google делает это для повышения эффективности и борьбы с бюрократией 😎

История укладывается в общую линию компании на сокращение расходов. В прошлом году Google уволила 6% сотрудников, затем запустила программу добровольного выхода и замедлила найм. От 3 до 5% персонала в отдельных подразделениях уже согласились уйти сами. По словам гендира Google, такой вариант многим приятнее, чем классические массовые сокращения. Но это как в поговорке про два стула, где хороший вариант для сотрудников не предусмотрен 🚬

Типичный 🥸 Сисадмин

Когда садишься за компьютер общего пользования после студентов 😬

Типичный 🥸 Сисадмин

🗑 Как Биг Тех уже списал в утиль 500к человек.

Вся эта история с массовыми увольнениями в IT за последние три года довольно циничная. Нам вешают на уши лапшу про эффективный менеджер, неопределенную экономику и прочую лабубу. Но на самом деле схема простая. Они просто чистят поляну от балласта, а все освободившиеся деньги вливают в модное ИИ. Все, что можно заменить скриптом, будет заменено скриптом.

А теперь цифры для масштаба. С 2022 по 2024 год под нож пустили более 500 000 человек. Пик пришелся на 23-й, когда Цукер устроил ИТ-геноцид или "год эффективности":

In our Year of Efficiency, we will make our organization flatter by removing multiple layers of management.

Тогда-то и полетели головы... Google, Amazon, Microsoft, соцсети Цукера. Думаете, кончилось? Как бы не так. Только за июль 25-го еще 10 000 уволили чисто под соусом внедрения ИИ, а всего к августу на улицу вылетело около 80 тысяч айтишников.

Это плановая замена. Они выкидывают за борт тысячи проверенных работяг (инженеров, саппортов, тестировщиков, etc). А на их место ставят новых, модных, блестящих нейро-кадров. И самый цимес в том, что именно эти списанные в утиль и писали тот код, на котором теперь работают их сменщики.

Вангую, что через время прокатится новая волна оптимизации ИИ-работяг.

Типичный 🥸 Сисадмин