Когда у тебя идеальный мониторинг, который реально смотрит логи и не задает глупых вопросов, да ещё и мурчит.

Типичный 🥸 Сисадмин

Когда твой homelab начал влиять на климат в комнате.

Типичный 🥸 Сисадмин

Узнали себя? 🎩 Кто также делает вид, что слушает доклад и параллельно проектирует новую инфраструктуру... на стиле.

Типичный 🥸 Сисадмин

Виртуальную машину не пнёшь, когда она зависнет. А здесь целый домашний кластер для тактильной обратной связи 🔨

Типичный 🥸 Сисадмин

Хакеры через дыру в VS Code Marketplace захватывают имена удаленных расширений

Исследователи из ReversingLabs обнаружили опасную лазейку в VS Code Marketplace, которая позволяет злоумышленникам повторно использовать имена легитимных, но удаленных расширений. Это сбивает с толку невнимательных разрабов, когда они устанавливают вредоносное ПО, думая, что это старое, проверенное расширение.

Проблема в том, как Marketplace управляет именами. У каждого расширения есть уникальный ID в формате <издатель>.<имя>. Согласно документации, имя должно быть уникальным. Но, как оказалось, это правило работает с нюансами. VS Code Marketplace предлагает два способа убрать расширение: unpublish (снять с публикации) и remove (удалить).

Если расширение снято с публикации, оно исчезает из поиска, но его имя и статистика остаются зарезервированы. Никто другой не может использовать это имя.

Если расширение полностью удалено, его имя освобождается и может быть занято кем угодно.

Именно этой фичей и воспользовались креативные личности 🎹. Они опубликовали вредоносное расширение с именем shiba, которое ранее уже использовалось для другого вредоноса и было удалено. Новое расширение ahbanC.shiba (с другим издателем, но тем же именем) было простым загрузчиком, который скачивал и запускал тренировочный шифровальщик, шифровавший тестовую папку на рабочем столе и требовавший в качестве выкупа один токен Shiba Inu 🐶

Та же самая история, кстати, была и в PyPI, когда имена удаленных пакетов можно было спокойно занимать. И это фундаментальная проблема многих репозиториев.

Типичный 🥸 Сисадмин

Я как-то видел как главбух загрузила всю зарплатную ведомость в бесплатный онлайн-конвертер PDF 😶

Типичный 🥸 Сисадмин

Случилась классика постановки точки, вернее не постановки 🎩

Судьба сама подкинула идеальный повод снести Debian и наконец-то попробовать Arch.

Типичный 🥸 Сисадмин

🤑 Google не будет запрещать установку приложений на Android со сторонних сайтов, но....

Но вводит обязательную верификацию разработчиков. Теперь каждому придётся привязать к аккаунту имя, телефон, почту и адрес. Паспорт при этом не нужен. Тест стартует в октябре 2025-го, а с 2027-го система станет глобальной. Первые страны под прицелом — Бразилия, Индонезия, Сингапур и Таиланд, где вирусы на Android особенно распространены.

Для пользователей APK всё ещё останется доступным, но часть старых и заброшенных приложений просто не пройдёт проверку и перестанет устанавливаться на новые версии Android. Под удар попадут и альтернативные магазины вроде RuStore, AppGallery и 4PDA — им придётся договариваться с разработчиками напрямую или терять каталоги. Дополнительно Google усилит проверку цифровых подписей и будет фиксировать сторонние изменения в коде, что усложнит жизнь любителям модификаций и взломов.

🥸 godnoTECH - Новости IT

Спустя 48 лет Microsoft выложила в исходники своей первой версии BASIC для процессора MOS 6502

Впервые код опубликован под свободной лицензией и доступен для изучения и модификации. Это версия BASIC 1.1, которая использовалась в ранних ПК, включая Apple II и Commodore PET.

Коммит в репозитории датирован 27 июля 1978 года 👨‍🦳

Типичный 🥸 Сисадмин

postmarketOS (мобильный Linux) в процессе обновления выдал, возможно, лучшее системное сообщение. После установки пакетов система оказалась в странном состоянии между двумя версиями и предупредила:

Your system is in a weird state between v23.12 and v24.06 now.
All bugs are features until rebooted.
If you know what you are doing and don't want to reboot, press ^C.

Все баги - это фичи, пока вы не перезагрузитесь 🎩

Типичный 🥸 Сисадмин

Пятница, вторая половина для. И тут вдруг понимаешь, что просто хочется сделать рансомварь от всех рабочих проблем, и чтобы тебя не нашли до понедельника 🤔

Типичный 🥸 Сисадмин

Когда паранойя встречает неограниченный IT-бюджет 💸

Тут на конференции VMware Explore всплыла история, как один крупный западный банк каждые 2-3 недели полностью стирает и пересобирает с нуля свою приватную облачную инфраструктуру. Примерный масштаб до пяти миллионов вычислительных ядер 😨

Весь этот цифровой день сурка нужен для нулевой терпимости к персистентным угрозам. Любой бэкдор, любой спящий вредонос, который мог неделями прятаться в глубине системы, просто выжигается напалмом. Это, пожалуй, самая экстремальная форма неизменяемой инфраструктуры, которую я видел, когда серверы буквально восстают из пепла, как фениксы.

Вся инфраструктура описана как код. Используются эталонные образы, которые собираются и тестируются в CI/CD пайплайнах. Развертывание, скорее всего, идет волнами, когда трафик переключается на свежеразвернутый, чистый пул, а старый просто уничтожается. Все данные и состояние хранятся на отдельных, независимых слоях (реплицируемые СХД, внешние БД), а сами вычислительные узлы просто расходный материал.

Зато бекапы не нужны, ведь вся инфра - это один большой, постоянно восстанавливающийся бэкап 😬

Типичный 🥸 Сисадмин

Это плашки DDR5 PMEM 300 😮

Технологический артефакт, инженерный образец энергонезависимой памяти Intel Optane PMEM в формате DDR5. Это гибрид между сверхбыстрой RAM и SSD, который не теряет данные после выключения питания. Технология должна была стереть грань между оперативной и постоянной памятью, но из-за высокой цены и слабой поддержки так и не взлетела.

Типичный 🥸 Сисадмин

Cначала ты работаешь на автоматизацию, а потом она работает... против тебя 😬

Типичный 🥸 Сисадмин

⌨️ Как один старый ключ из мануала привел к полному захвату сети

Тут Mandiant опубликовал детальный разбор атаки на CMS Sitecore. Получилась классическая история о том, как одна маленькая ошибка в документации может привести к полному фиаско. Хакеры нашли сервер с Sitecore, который торчал наружу в интернет, и воспользовались дырой в обработке ViewState (CVE-2025-53690). Суть проблемы в том, что в старых мануалах по развертыванию Sitecore (до 2017 года) лежал один и тот же демонстрационный ключ шифрования. Если админ при установке просто скопипастил конфиг из инструкции и поленился сгенерировать свой ключ, его система становилась уязвимой.

Пайплайн атаки красив. Сначала атакующий, зная этот дефолтный ключ, отправил на легитимную страницу /sitecore/blocked.aspx POST-запрос с вредоносным ViewState-объектом, получив удаленное выполнение кода. В качестве первого пейлоада использовалась малварь WEEPSTEEL, которая собрала всю информацию о системе и отправила ее атакующему, замаскировав под легитимный __VIEWSTATE ответ.

Получив доступ с правами NETWORK SERVICE, атакующий выгрузил на сервер свой тулкит, включая туннелер EARTHWORM и RAT DWAGENT. После этого он создал двух локальных админов (asp$ и sawadmin), чтобы выглядеть легитимно, сдампил SAM/SYSTEM и извлек хэши доменных админов.

После получения доступа к доменным админам, временные локальные аккаунты были удалены, и началось движение по сети. Атакующий использовал RDP для перехода на другие хосты и развернул SharpHound. Это легитимный инструмент для аудита безопасности 😬 Active Directory, который в руках атакующего превращается в навигатор по домену. С его помощью он провел полную разведку, выискивая слабые места, вроде GPO с сохраненными паролями.

Вся эта многоходовочка стала возможной из-за одной-единственной строчки, скопированной из старого мануала. В общем, RTFM - это, конечно, хорошо. Но иногда лучше сначала подумать, а потом копипастить 🎩

Типичный 🥸 Сисадмин

netcat слушает порты 😺

Типичный 🥸 Сисадмин

Пусть смеются. Зато это твой личный ДЦ, не требующий согласований с безопасниками и менеджерами. А эти люди просто завидуют свободе и контролю 😬

Типичный 🥸 Сисадмин

Обряд посвящения: первая попытка смонтировать 4U-сервер в стойку и осознание, что миллиметры имеют значение. Кто проходил, тот поймёт.

Типичный 🥸 Сисадмин

Вот почему у меня проблемы с доверием 😬

Типичный 🥸 Сисадмин

Бэкапы - это для тех, кто не верит в стабильность своего прода.

Типичный 🥸 Сисадмин

Как одна дыра в GitHub Action превратила 6700 приватных репозиториев в публичные 🤔

Тут подъехал детальный разбор недавней атаки на цепочку поставок Nx от Wiz Research. Все началось с компрометации npm-токена через уязвимый GitHub Action. Атакующий выпустил вредоносные версии пакетов Nx, которые собирали переменные окружения, npm- и GitHub-токены и публиковали их в открытых репозиториях. Затем, используя утекшие GitHub-токены, он сделал публичными более 6700 приватных репозиториев у почти 500 скомпрометированных пользователей, включая целые организации.

Вредонос проверял наличие в системе ИИ CLI-утилит (Claude, Gemini, Amazon Q) и просил их найти интересные файлы на диске. Однако эффективность этого подхода оказалась низкой. AI-инструменты были установлены только у половины жертв, а в некоторых случаев Claude просто отказывался выполнять вредоносный промпт из-за встроенных защит. В итоге, ИИ-часть атаки сработала успешно менее чем в 25% случаев.

Интересен и подход атакующего к собственной безопасности. Вместо того чтобы палить свою инфраструктуру и поднимать свой сервер, он сначала использовал webhook.site для слива данных, а затем переключился на создание публичных репозиториев на аккаунтах жертв. Это минимизирует его собственный след и не дает себя вычислить. Для доступа к скомпрометированным аккаунтам использовался TOR, а для публикации репозиториев простой Python-скрипт.

Типичный 🥸 Сисадмин